外部アタックサーフェス管理(EASM)とは、パブリックインターネットに面している内部ビジネス資産を特定し、攻撃者に悪用される可能性のある脆弱性、パブリッククラウドの誤設定、漏えいした認証情報、その他の外部情報やプロセスを監視するプロセスを指します。この取り組みは、クラウドのセキュリティ態勢を明確に把握するという目標に沿ったものです。
上述のとおり、誤設定は脆弱性の状況に大きな影響を与える可能性があります。クラウド環境の適切な設定とは、意図的な攻撃や意図せぬミス(設定ミスや不適切なセキュリティ意識など)など、攻撃への取り掛かりとなってしまうようなさまざまな脅威からクラウド環境を守るためにデジタルリスク対策を実施することを意味します。
内部アタックサーフェス管理は、企業のファイアウォールや保護セキュリティ対策の背後にある資産(フィッシングなどのソーシャルエンジニアリングの影響を受ける可能性のある人間を含む)のセキュリティに対処します。こうした資産は理論的にはパブリックインターネットに公開されることはなく、企業の内部運営や企業秘密を保護するための防御手段の背後に隠されています。
EASMは、ASMの一部ではありますが、内部セキュリティ対策の保護の枠を超えた、企業のより商業的な活動の保護に重点を置いています。これには、公開ウェブサイト、アプリ、電子商取引業務、さらに攻撃者がこれらのデジタル資産を悪用した場合にアクセスされる可能性のあるバックエンドが含まれます。
EASMと CAASM(Cyber Attack Surface Management) の主な違いは、EASMは、インターネット上で事実上だれもがアクセスできる公開資産の検出と保護に主眼を置いている点です。 CAASMは内部と外部の両方のアタックサーフェスに焦点を当て、セキュリティ組織に境界線内外両方のアタックサーフェスに対する最大限の可視性を提供します。 CAASMプラットフォームは、組織の各種セキュリティ対策ソリューションとAPI介して統合され、その全体像を提供します。
外部アタックサーフェス管理(EASM)が重要なのは、公共のインターネットに面した、つまり外部の資産に悪用や攻撃が及ぶ可能性があるためです。この外部アタックサーフェスは、脅威アクターが内部アタックサーフェスの悪用の取り掛かりとなる可能性があることを覚えておくことが重要です。
一般公開されるたびに新しい攻撃ベクトルが発生する中、企業のアタックサーフェスの一部となる外部資産を特定するEASMソリューションの能力は向上しています。EASMソリューションは、脅威フィードを活用して脅威ハンティングを実行できるものであるべきです。これは、脅威アクターが実際に何を悪用しているかを理解し、チームメンバーを結集して潜在的な問題に積極的に対処する価値があるかどうかを理解する上で重要です。脅威の兆候を発見し対処する上で重要な側面には、以下が含まれます。
EASMは、ネットワーク境界付近にあるアタックサーフェスから得られる外部の脅威インテリジェンスを活用して、エンドポイントからディープウェブやダークウェブに至るまで、リスクと脅威を適切に検出して優先順位を付けることができる必要があります。企業が日々、パブリックインターネット上に配置する資産の数は本当に驚くべきものであり、こうした資産のそれぞれがオンラインとなるにつれて、悪用を防止するための考慮が個別に必要になります。
外部のプロアクティブな脅威インテリジェンスは、企業におけるアタックサーフェスを最大限に保護したいと考えているセキュリティ組織にとって必須です。動的なアタックサーフェスに沿ったインシデントにそれぞれ対応できるようにするには、ネットワーク境界を越えて予防措置を講じることが重要です。
EASMは、インターネットに接続された公開資産を継続的に監視し、攻撃ベクトルとして悪用される可能性のある潜在的な脆弱性を検出することで機能します。これが発生した場合、脅威アクターは組織の内部アタックサーフェスに侵入する可能性があります。
実際にForresterは、EASMが「ツールまたは機能がインターネットに接続された資産を継続的にスキャン、検出、列挙し、発見された資産の一意のフィンガープリントを確立し、既知と未知の資産の両方のエクスポージャーを特定する」形で機能するとしています。Forresterが特定した、EASMの機能の詳細に説明できるユースケースをいくつか見てみましょう。
こうした形での活用により、パブリックインターネットに接続し、組織のアタックサーフェスを内部から外部、ひいてはグローバルに拡大することを明確な目的に、毎日どれだけの資産がスピンアップされているかを理解できるようになります。外部脅威インテリジェンスフィードは、外部のアタックサーフェスでの脅威を軽減し阻止するために重要となります。
EASMの機能の一部については上記のさまざまなセクションですでに説明しましたが、いくつかの追加を加えてここでまとめます。
プロバイダーによっては、脅威インテリジェンスと検知エンジニアリングチームがSaaS配信を通じて検知を提供できる場合もあります。この場合、最新のアラート、アップデート、脅威インテリジェンスへのアクセスが可能となり、EASMの実践者は最新の情報で脅威管理ツールを継続的に強化できるようになります。
セキュリティ オペレーションセンター(SOC)は、EASMプラットフォームを活用して、ポストペリメーターと考えうるすべての資産の構成ミスデータに迅速にアクセスできます。そこから、優先順位付けプロセスを実行して、どの資産に直ちに対応すべきかを決定できます。事前対応の面では、EASMを活用することで、演習を行うレッド、ブルー、パープルの各チームに脅威情報を収集させることができます。
EASMプラットフォームは、主に、実務者が外部に面している重要な資産を可視化し、攻撃者が脆弱性を発見する前に優先順位を付けてそれを修復できるようにするものであるべきです。
EASMの利点は大きく、プロアクティブなセキュリティ対策の有効性とビジネス全体の評判に信じられないほど良い影響を与える可能性があります。