Written by WizLANSCOPE編集部
目 次
アタックサーフェス(Attack Surface)とは、公開サーバやネットワーク機器、VPN機器やクラウドサービスなど、サイバー攻撃の対象となり得るIT資産や攻撃経路のことです。
近年、リモートワークの普及などにより、企業・組織のアタックサーフェスは拡大しています。
サイバー攻撃を受けるリスクを最小限に抑えるためにも、企業にとってアタックサーフェスを適切に管理することは急務といえます。
本記事では、アタックサーフェスの概要やアタックサーフェスの把握・管理によってセキュリティを強化するアタックサーフェスマネジメントなどについて解説します。
▼本記事でわかること
- アタックサーフェスの概要
- アタックサーフェスマネジメントの概要
「アタックサーフェスとは何か」を知りたい方はぜひご一読ください。
また、本記事では、自社のアタックサーフェス把握に役立つ「サイバーリスク健康診断」、アタックサーフェス管理に役立つサプライチェーンリスク評価サービス「Panorays」についても紹介しています。ぜひご確認ください。
アタックサーフェスとは
アタックサーフェス(Attack Surface)とは、サイバー攻撃の対象となり得るIT資産や攻撃経路のことで、具体的には以下のようなものがアタックサーフェスに該当します。
- Webサーバー
- VPN機器
- クラウドサービス
- アプリケーション
近年、リモートワークの普及やクラウドサービスの利用増加、IoT機器の導入などによってアタックサーフェスが拡大しています。
アタックサーフェスが拡大すれば、それだけ企業・組織が直面するリスクも増大します。
たとえば、社内で誰かが個人的に利用しはじめたクラウドサービス(シャドーIT)、期限切れになったまま放置されたSSL証明書、アクセス制御の甘いAPIなどは、サイバー攻撃の足がかりとして悪用される危険性が高いです。
そのため、企業・組織には、自社のアタックサーフェスを適切に管理することが求められます。
アタックサーフェスの種類
アタックサーフェスは大きく分けて「デジタルアタックサーフェス」と「フィジカルアタックサーフェス」の2種類があります。
それぞれの特徴について解説します。
デジタルアタックサーフェス
「デジタルアタックサーフェス」とは、ネットワークを介して、外部から攻撃を受ける可能性のある領域を指します。
たとえば、以下のようなIT資産が対象となります。
- Webサーバー
- クラウドサービス
- VPN
- ソフトウェア
これらの資産はインターネットへ接続されているため、攻撃者にとってスキャンしやすく、侵入口として狙われやすい傾向があります。
フィジカルアタックサーフェス
「フィジカルアタックサーフェス」とは、物理的に攻撃を受ける可能性のある領域のことを指します。
具体的には以下のようなものが挙げられます。
- オフィスやデータセンター
- USBメモリ
- サーバー
- PCやスマートフォン
これらはすべて、「物理的にその場にいるからこそ可能になる攻撃手段」です。
そのため、いくらシステム面でセキュリティを強化していても、物理的な対策が甘ければ情報漏洩やシステム破壊のリスクを完全に排除することはできません。
社外で業務をおこなうリモートワークが増加傾向にある昨今、従業員が扱うデバイスの管理はますます重要性を増しているといえるでしょう。
また近年は、物理的な対策はもちろん、ネットワークを介した攻撃に高度化・巧妙化が見られているため、デジタルアタックサーフェスへの対策がいっそう求められています。
攻撃ベクトルとは
攻撃ベクトル(Attack Vector)とは、サイバー攻撃者がターゲットに侵入・攻撃をおこなうために利用する手法です。
攻撃ベクトルの正しい理解は、企業や組織がセキュリティを強化するうえで非常に重要です。
どのような経路を通じて攻撃される可能性があるかを把握することで、優先的に対策すべきポイントが明確になるためです。
代表的な攻撃ベクトルについて解説します。
| 攻撃ベクトル名 | 概要 |
|---|---|
| フィッシング | ・偽のメールやWebサイトを使って、ユーザーの個人情報やログイン情報を盗み取る手法 ・正規の企業やサービスを装って信頼を得ようとするのが特徴 |
| マルウェア | ・ウイルスやトロイの木馬などの悪意あるソフトウェアをデバイスやシステムに感染させ、情報窃取や破壊行為を仕掛ける攻撃 |
| DDoS攻撃 | ・複数のデバイスから、攻撃対象のサーバーやサイトに対して意図的に大量のパケットを送信し、相手のサーバーやネットワークへ膨大な負荷をかける攻撃 |
| ゼロデイ攻撃 | ・修正プログラムがリリースされていない未知の脆弱性(=ゼロデイ脆弱性)を突いて、不正アクセスなどのサイバー攻撃を仕掛ける攻撃 |
| ブルートフォース攻撃 | ・想定されるすべてのパスワードパターンを総当たりで入力し、不正に認証の突破を試みる攻撃 |
アタックサーフェスマネジメント(ASM)とは
アタックサーフェスマネジメント(Attack Surface Management、ASM)とは、企業・組織が保有するすべてのIT資産(アタックサーフェス)を正確に把握し、継続的に管理することでセキュリティを強化する仕組みです。
アタックサーフェスマネジメントは、潜在的な脅威や脆弱性を早期に特定・対処することを目的としています。
アタックサーフェスマネジメントの重要性
リモートワークの普及やクラウドサービスの利用増加、IoT機器の導入などによって、近年、アタックサーフェスは拡大傾向にあり、企業のIT資産は急速に拡大・複雑化しています。
従業員のデバイス、クラウド環境、Webアプリケーション、API、IoTデバイスなど、社外からアクセス可能な資産も多く、これらが攻撃者にとっての「入り口」になり得ます。
多くのセキュリティインシデントは、「管理されていない」「存在に気づいていない」IT資産(シャドーIT)を起点に発生しています。
アタックサーフェスマネジメントはこうした盲点をなくすための手段であり、「知らないものは守れない」という原則に立った、非常に実践的なアプローチです。
アタックサーフェスマネジメントのプロセス
アタックサーフェスマネジメントは、以下のようなプロセスで進められます。
| プロセス | 概要 |
|---|---|
| IT資産の特定 | ・サイバー攻撃の対象となりえるIT資産を特定する ・企業・組織が正式に管理しているIT資産だけでなく、把握できていないIT資産や子会社が保有するIT資産も洗い出す必要がある |
| 情報収集 | ・特定されたIT資産に関する情報(OS、ソフトウェア、ソフトウェアのバージョン、ポート番号など)を収集する |
| リスク評価 | ・収集した情報をもとに、脆弱性の有無や設定ミス、不適切な公開状態などを分析する ・リスクの深刻度や影響範囲を評価し、優先順位をつけて整理する |
| リスク対応 | ・発見されたリスクに対して、アクセス制限、構成変更、パッチ適用、資産の削除などの対応をおこなう ・対応後も継続的に監視・改善を続ける |
ASMは、「見える化 → 評価 → 対応 → 継続的監視」という一連のサイクルを繰り返しおこないます。
4つのプロセスを繰り返すことで、常に変化する攻撃対象領域を最新の状態に保ち、リスクを最小限に抑えることを目的としています。
セキュリティリスクの可視化に「サイバーリスク健康診断」
リモートワークの普及やクラウドサービスの利用増加、IoT機器の導入などによって、近年アタックサーフェスが拡大しています。
アタックサーフェスが拡大するにつれ、直面するリスクも増大するため、企業・組織は、自社のアタックサーフェスを適切に把握し・管理することが求められます。
LANSCOPE プロフェッショナルサービスの「サイバーリスク健康診断」は、攻撃者視点で調査を実施し、自社の外部公開資産や脆弱性の有無を把握できるサービスです。
サイバーリスクの可視化だけでなく、適切な対策のサポートまで実施するため、リスクの棚卸しをした上で、優先順位付けをおこないたい企業・組織に最適なサービスです。
外部公開資産には、Webアプリケーションやネットワーク機器も含まれており、これらに対するセキュリティ評価も重要です。
ASMを実施する上で、自社が攻撃者からどう見えているのかを把握することは重要なポイントです。
「管理の行き届いていないサーバーやサイトがある」「外部公開資産の状態を把握できていない」などの課題をお持ちの場合は、ぜひ実施をご検討ください。
関連ページ
また、より手頃な価格で診断を受けたい場合には、Webアプリケーションやネットワークに特化した診断を短期間・低コストで実施できる「セキュリティ健康診断パッケージ」もご用意しています。
はじめて診断を受ける企業様にもおすすめのサービスのため、何からはじめたらよいのかわからないといった課題がある企業の方は、実施をご検討ください。
ASM対策ソリューション「Panorays(パノレイズ)」
サプライチェーンリスク評価サービス「Panorays」は、企業や取引先が外部に公開しているIT資産を自動で検出し、セキュリティ上の脆弱性や攻撃対象となるリスクを迅速に特定・管理することが可能です。
サイバー攻撃では、把握していない「見落とし資産」を狙ってくるケースが多いため、企業・組織は、取引先を含めて、どのようなIT資産がどのような状態になっているのかを正しく把握することが重要です。
「Panorays」では、取引先が公開しているIT資産をスキャンし、脆弱性や攻撃対象領域を特定する「外部評価」と、セキュリティ調査票をオンラインで収集・分析し、取引先の対策状況を可視化する「内部評価」の両面からリスクを管理します。
さらに、自動モニタリング機能で、サプライヤーのセキュリティ状態の変化を継続的に監視することが可能なため、リスクの増減を即座に把握することができます。
「Panorays」は、サプライヤーを含む、包括的なアタックサーフェス管理の実現を支援します。
取引先や子会社など、自社に関するサプライヤー全体のセキュリティリスクを把握したい場合は、ぜひ「Panorays」をご活用ください。
「Panorays」についてより詳しく知りたい方は、下記のページをあわせてご確認ください。
まとめ
本記事では、「アタックサーフェス」をテーマとして、種類や昨今注目を集める背景、アタックサーフェスマネジメントなどについて解説しました。
▼本記事のまとめ
- アタックサーフェスとは、サイバー攻撃の対象となり得るIT資産や攻撃経路のこと
- アタックサーフェスは大きく分けて「デジタルアタックサーフェス」と「フィジカルアタックサーフェス」の2種類がある
- アタックサーフェスマネジメントとは、アタックサーフェスを正確に把握し、継続的に管理することでセキュリティを強化する仕組みである
IT技術の発展が目まぐるしい昨今、アタックサーフェスはますます拡大していくことが想定されます。
攻撃者に狙われるリスクを減らすためにも、企業・組織の担当者の方は、自社のIT資産を正しく把握し、継続的に管理することが求められます。
本記事で紹介した「サイバーリスク健康診断」や「Panorays」を活用し、ぜひ効率的なASM(アタックサーフェスマネジメント)の実現を目指してください。
おすすめ記事
