Share :
2021-09-30

アタックサーフェス(攻撃対象領域)管理の重要性

skull

アタックサーフェス(攻撃対象領域)管理の重要性

今回は、アタックサーフェス(Attack Surface)、日本語訳では「攻撃対象領域」と訳されるサイバー攻撃を受ける可能性のある領域の管理について考えてみます。

アタックサーフェスという言葉は便利な言葉で実に多様な領域をカバーしています。「サイバー攻撃を受ける可能性のある領域」という言葉を考えてみると受け手の属性によってさまざまな解釈が可能です。
例えばアプリケーションセキュリティの世界ではアタックサーフェスというと以下のように定義されています。

  • ・アプリケーションにデータやコマンドが出入りする経路のすべて
  • ・それらの経路を保護するコード (リソース接続と認証、認可、アクティビティロギング、データの検証とエンコーディングを含む)
  • ・アプリケーションで使用する重要データのすべて (シークレットとキー、知的財産、クリティカルなビジネスデータ、個人データと PII を含む)
  • ・重要データを保護するコード (暗号とチェックサム、アクセス監査、データ完全性、運用上のセキュリティ制御を含む)

「サイバー攻撃を受ける可能性のある領域」は他にはどのようなものがあるでしょうか。もちろんシステムは外せません。モバイル端末もサイバー攻撃を受ける可能性があります。ソーシャルエンジニアリングやメールを受け取る人も対象と言えるかもしれません。
これらすべてにおいて同じ考え方で対応していくことは難しいので、今回は、「外部攻撃対象領域(External Attack Surface)」の管理について考えます。

マルウェア感染について、最近侵入経路が変わってきていることにお気づきでしょうか。マルウェアはメールやWebアクセス、USBの3か所が侵入経路であるから、ここを徹底的に守るべき、という風に言われていた時代がありました。しかし、昨今、VPNシステムやリモートデスクトップ経由、ネットワーク機器やクラウドサービスなど別の侵入経路による被害が増えています。これらに共通する状況は「外部に公開しているシステム」であるというところです。
世界を取り巻く情勢によりリモートワークを推進するためのネットワーク環境やシステムが増えています。その結果、外部に公開されているシステムも増加しています。令和2年に発行された「情報通信白書」(総務省)によると、クラウドサービスを一部でも利用している企業の割合は64.7%だそうです。利用しているクラウドサービスの内訳では、「ファイル保管・データ共有」が56.0%、「電子メール」が48.0%、「社内情報共有・ポータル」が43.0%とのことです。
日々のビジネスを円滑に進めるうえで基礎的でありながら重要なシステムがクラウドシフトしていることがわかります。
攻撃する側からしても外部に公開されているシステムは容易に探索が可能です。管理が甘いシステムをひとつでも見つければ、そこを侵入口として本来の目的を達成するきっかけとすることができます。何重かのセキュリティシステムを突破してメールでマルウェアに感染させるよりも少ない労力で済みます。

このように攻撃者の視点で見ると、外部に公開されているシステムというのは大変おいしい存在です。社内システムへ安全にアクセスするために導入したVPN装置やどこからでもアクセスできるように利用したクラウドサービス、クライアントPCが社外にあることが多くなったため導入したSaaS型のIT管理システムなど、攻撃者にとっては一度でも侵害できれば十分価値のあるものが増えています。

守る側である組織は、この点を意識する必要があります。攻撃者の視点に立てば、外部に公開しているシステムは野放しにしていいものではないことが分かると思います。ではどうすればいいのかを考える上で役に立つ考え方が外部攻撃対象領域管理(External Attack Surface Management)です。字面は難しそうに見えますが、実施内容は非常に単純です。

1. 外部に公開されているIT資産やシステムを把握する
2. それらに存在する脆弱性を管理する

いかがでしょう。大変単純な内容ですが、よくよく考えると「1.外部に公開されているIT資産やシステムを把握する」ことが意外と難しいものです。本社分は把握していても支社支店や海外現法、子会社など把握できていないシステムが多数あると思います。もちろん、攻撃者にとっては、目的を達成するための侵入口に過ぎませんので、そのシステムが本社管理かどうかは関係ありません。また、先のデータにあるとおり、多くの組織においてクラウドシフトが推進されつつあり、必ずしもIT部門が把握していないシステムも出てきています。オンプレ時代は台帳管理できていてもクラウドシフトの現状ではすべて管理できていないのが実情ではないでしょうか。

このように自組織では中々把握しきることのできない外部に公開されているシステムを発見するサービスが出てきています。弊社でも「攻撃者の視点」で「敵から見える自分を知る」ことのできるアタックサーフェス管理を支援するサービスを提供していますので、ご興味のある方は、どうぞお気軽にお問い合わせください。

◆参考文献

情報通信白書(総務省):

https://www.soumu.go.jp/johotsusintokei/whitepaper/r02.html

Attack Surface Analysis Cheat Sheet(OWASP):

https://cheatsheetseries.owasp.org/cheatsheets/Attack_Surface_Analysis_Cheat_Sheet.html

 

CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。

CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています!

✧毎週火曜日に発行「Weekly Security Update」

CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。
その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。
ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、
ご興味のある方は下記よりお申込下さい。
※同業他社の方はお断りする場合がございます、ご了承下さい。

メルマガお申込

✧毎月定期開催「CYFIRMA ウェビナー」

脅威インテリジェンスとは何かという初歩的な内容から、MITRE ATT&CKフレームワークの活用方法、
毎月の脅威トレンド報告などなど、旬な話題を取り入れ、かつ弊社独自目線も取り入れた内容となっており、
弊社サービス紹介というよりも、脅威インテリジェンスをどう考えるか、どう活用するかという部分で
皆様のヒントとなるよう運営しております。是非お気軽にご参加下さいませ!!!

ウェビナー詳細&お申込

 

✧その他、ご不明な点がございましたらこちらからご連絡下さい。