攻撃可能領域管理とは? 

アタックサーフェス管理(ASM)は、変化を続けるネットワーク環境を可視化することで、セキュリティチームが脆弱性にパッチを適用し、新たな脅威から防御できるようにするプロセスです。 では、 アタックサーフェスとは何でしょうか? オンプレミスとオフプレミスのネットワーク全体であり、攻撃者が侵入する可能性のある潜在的な脆弱なポイントを指します。

Forrester は、アタックサーフェスマネージメントの定義を、エンティティのIT資産資産の エクスポージャー を継続的に検出、識別、インベントリ化、および評価するプロセスとしています。 上記のすべてを考慮すると、ASMはセキュリティチームにとって、常に把握し、対処することが難しいものであると考えて間違いないでしょう。 環境内の可視性が限られているということは、組織やビジネスに損害を与える可能性のあるすべてのことを把握できないことを意味します。

また、可視性に制限があると、本番環境でのコードの動作面などの可観測性が欠如し、アプリケーション開発のあらゆる種類のプロセスが危険にさらされる可能性もあります。簡単に言うと、攻撃可能領域に対する可視性が限られているために、ビジネス運用とセキュリティの多くの側面の信頼性が低下することになります。

セキュリティ組織は、脆弱性を管理し、ウェブアプリケーションを定期的にテストするだけでなく、脅威検知対応を自動化し、最新の侵害の兆候(IOC)を可視化することで、アタックサーフェスを監視・管理できます。アタックサーフェス全体の管理に適した方法は、特に大規模なエンタープライズ組織では1つではありません。ただ、可視性を高めることで、セキュリティチームはアクションを調整し、環境に固有のソリューションを探索できるようになります。

攻撃可能領域管理が重要な理由

攻撃可能領域管理は、攻撃者に悪用される前に脆弱性に対処する上で必要な可視性、コンテキスト、優先順位を提供するため重要で、主要なリスク領域をより深く理解したいチームにとって必須と言えます。また、IT、セキュリティ担当者や経営陣が攻撃に対して脆弱な領域を認識するのにも役立ち、組織はリスクを最小限に抑える方法を見つけることができます。

脆弱性評価や侵入テストなどのプロセスの側面は、チームが攻撃可能領域のうち侵害が発生する可能性がある箇所を可視化し、コンテキストを得るために活用できるベストプラクティスです。こうした全体的な攻撃可能領域分析戦略を適用することで、技術的リスクとプロセス関連のリスクの両方に対する認識を高めることができます。

  • 脆弱性評価脆弱性評価により、システムとその脆弱性のベースラインを確立し、環境の可視性を継続的に維持し、潜在的なリスクの存在をステークホルダーに認識させることができます。ここで重要なのは、悪用することではなく、識別することにあります。悪用については後に検討します。
  • 侵入テスト:NISTでは、実際の攻撃者が使用したものと同じツールとテクニックを使用し、実際のシステムやデータに対して実際に攻撃を行うことと定義しています。侵入テスト(別名ペンテスト)には、組織がコンプライアンスを維持し、攻撃者の侵入を成功させる可能性の詳細を記述した確かなデータを取得する上で役立つという利点もあります。

外部攻撃可能領域のマッピングに関する課題 

外部攻撃可能領域のマッピングに関する課題は数多くありますが、有能なSOCの解決策がないわけではありません。チームメンバー全員が一同に会している場合でも、世界中に分散している場合でも、全世界に散らばる従業員に対して最新の攻撃可能領域を保護することは不可欠です。こうした課題のうち、主なものを見てみましょう。

分散型ITエコシステム

クラウド上で業務の大部分が維持される現代の一時的な環境においては、オンプレミスのみだったかつての環境のような定義された境界は存在しません。組織のクラウドをホストし、収容する分散型ITエコシステムの課題は、ローカルネットワークを保護するファイアウォールなどのプロトコルを超えて、国やグローバルな境界を監視し、保護することが難しい点にあります。

サイロ化したチーム

従来サイロ化されていたチーム 間のコラボレーションは、芽生えつつある脅威を監視し、攻撃可能領域をマッピングしようとする際、特に、リモートワーカー、地域オフィス、多国籍企業のネットワークなど、チームが地理的に分散している場合には、課題となる可能性があります。最近では、これまでサイロ化されていたチームを統合し、脅威の防止という共通の目標に向かって取り組むことができる共有のビューと言語を提供できるソリューションに注目が集まっています。

変化を続ける外部攻撃可能領域 

把握しているいないに関わらず、多くの資産が絶えずネットワークに繋がっている状態では、攻撃対象領域は日々拡大し、変化します。 効果的な 外部アタックサーフェス管理(EASM) 戦略で運用を自動化することで、パブリックインターネットに公開され、パブリッククラウドの設定ミスに影響を受ける可能性のあるポストペリメータ資産の保護にかかる時間を短縮できます。

クラウドセキュリティ態勢をより最適化することができるEASMソリューションは、不正な外部資産の特定に特化されています。外部の脅威インテリジェンスを活用して、ターゲットを絞った脅威ハンティングを実施し、最も身近なネットワークエンドポイントから、ディープウェブやダークウェブまで、修復に優先順位を付けることができなければなりません。こうして、セキュリティ担当者が、脅威アクターが実際に何をしているのか、そしてそれが内部環境にどのように影響する可能性があるのかを理解することができるのです。

攻撃可能領域管理の中核機能とは?

検出

これには、特に脅威にさらされている可能性のあるシステムや資産の検出のための広範なスキャンが含まれます。この種の資産には、アプリケーションのビルドから、企業のネットワークにアクセスする個人の資産、サプライチェーンパートナーのハードウェアやソフトウェアまで、あらゆるものが含まれます。存在するほぼすべての企業が複数のベンダーのサービスを利用しており、こうしたベンダー自身もさらに複数のベンダーのサービスを利用している現状を踏まえれば、最後の点は特に懸念されます。

この複雑さと非常に多数のパートナーネットワークへの依存から、検出にとどまらず、リアルタイム領域のスキャンと可視化の加速の必要性が浮き彫りになります。脅威アクターが侵害の手口を加速させ、悪用までの時間が短縮し続ける中、セキュリティ組織はこうした動きに歩調を合わせる必要があります。

テスト

定期的にテストを実施することで、アプリケーションとシステムが適切に保護されていることを確認することができます。 そこから、ネットワーク境界を強化するためにどのようなアクションを実行する必要があるかを判断するのです。

  • 動的アプリケーションセキュリティ テスト(DAST)DASTのアプローチでは、攻撃者が利用しようとする可能性のあるウェブアプリケーションの脆弱性を探索します。
  • 静的アプリケーション セキュリティ テスト(SAST):SASTは、DASTとは異なり、ウェブアプリケーションのソースコードにある脆弱性を探すより厳格なアプローチをとります。
  • アプリケーション侵入テスト:アプリケーション侵入テストには、人的要素が含まれます。セキュリティの専門家は、攻撃者がウェブアプリケーションに侵入する方法を真似て、個人的なセキュリティのノウハウとさまざまな侵入テストツールを使って、悪用可能な欠陥を見つけようとします。

コンテキスト

潜在的なリスクや脅威に関するコンテキストを把握することが重要です。データが無秩序に拡大し、複雑化する中、攻撃可能領域への対応は難しくなる一方で、脅威を完全に理解し、脆弱性管理をペースアップしようとしているセキュリティ運用(SecOps)チームにとって大きな課題となります。

コンテキスト化された脅威インテリジェンスは、技術スタックのすべての層に対する洞察を提供し、リスクと脅威に効果的に優先順位を付け、対応する上で役立ちます。これは単にインテリジェンスの提供にとどまらず、パブリックアクセシビリティ、脆弱性の存在、リソースがビジネスクリティカルなアプリケーションに関連付けられているかどうかの理解も含まれます。ネットワーク上のすべての資産と同様、脆弱性には一定レベルのリスクが伴うため、最も機微なリスクが実際の脅威になる前に、優先的に修復する戦略をとることが極めて重要です。

優先順位付け 

1つのセキュリティ組織(SOCなど)で発生する可能性のある膨大なセキュリティ問題の数は、必ずしも脅威を阻止し、脆弱性にパッチを適用するチームの能力を表すものではありません。最新の攻撃可能領域には、オンプレミス環境とクラウド環境の両方が含まれます。この種の無秩序な増加の要因としては、各リソースとサービスへのロールの割り当て時にIDおよびアクセス管理(IAM)チームが何百万ものIDを処理しなければならない場合などが考えられます。これらの各ロールにはそれぞれ、悪用可能なアクセス許可と特権があります。

昨年には、組織の88%が、アラートのコンテキストと優先順位付けの改善に関して特に支出を増やす計画があると報告しました。リスク分析やワークフローフレームワークなどのプロセスを自動化することで、タイムリーな修復を最も必要としているインシデントを評価する際の複雑さと困難さを大幅に軽減できます。

コンプライアンスの確立と強制

内部コンプライアンス(および該当する場合は規制)の基準を導入し、継続的に実施して、攻撃可能領域を可能な限り縮小することが重要です。

コンプライアンスポリシーの厳密な遵守には、攻撃可能領域の縮小と対応時間の短縮という利点があります。また、可能な限り自動化を組み込むことで、攻撃や侵害が発生した場合の爆発範囲を縮小することができます。セキュリティのシフトレフトは、こうした基準が迅速な対応文化を生み出すことができる一例で、ビルドの実行中と展開後に継続的にテンプレートスキャンを行うことで、セキュリティをアプリケーションの開発/展開プロセスに早期に統合することを指します。

修復

ネットワークが拡大するにつれて、攻撃可能領域も拡大します。つまり、攻撃者が侵入経路を見つけ、最大限に利用するためのスペースが拡がることになります。上述のとおり、状況に応じた脅威インテリジェンスと優先順位付けにより、次第に攻撃者のように動作できるようになり、悪用される前に一歩先に手を打ち、問題を修復することが可能になります。修正の自動化は、次々と発生する潜在的な脅威に迅速に対処できるようにする上で重要な役割を果たします。

攻撃可能領域のセキュリティの詳細を読む

攻撃可能領域のセキュリティに関するニュース: 最新のRapid7ブログ記事

Rapid7ブログ:サイバー資産の攻撃可能領域管理の基本