近年、デジタルトランスフォーメーション(DX)が進むにつれて、情報通信技術の役割はますます重要になっていますが、それに伴いサイバー攻撃による社会への影響も深刻化しています。
このブログでは経済産業省の「ASM導入ガイダンス」をもとに基づき、インタネット上の外部から見える自社IT資産のの弱点を発見するASM(攻撃面管理)を解説します。
徳島の病院を襲った攻撃が示すもの
2021年、徳島県の公立病院がサイバー攻撃を受け、一般診療が約2か月間停止しました。
原因は、診療システムの遠隔保守用機器が脆弱性を抱えたままインターネットからアクセス可能な状態で放置されていたこと。攻撃者はこれを発見し、内部に侵入したとみられます。
「うちは把握している」と思っていても、実は把握できていないIT資産が存在する。これが現実です。
攻撃者は常にあなたの会社を「偵察」している
攻撃者は、サイバー攻撃の初期段階で「偵察」を行います。公開されている情報やインターネットからアクセス可能なIT資産から得られる情報を用いて、攻撃対象を選定したり、攻撃手法を確立したりするのです。
攻撃者が調べていること
- どんなWebサーバが動いているか
- どのバージョンのソフトウェアを使っているか
- どのポートが開いているか
- 古い脆弱性を抱えたシステムはないか
好むと好まざるとに関わらず、現実には相当数の偵察が繰り返されています。攻撃者は常に、あなたの会社の隙を探していいます。
1 ASM(攻撃面管理)とは何か?
ASM(Attack Surface Management)とは、組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスを指します。
攻撃者が調べていること
ASMの最大の特徴は、攻撃者の視点を持って、実態をベースに自社のIT資産を発見するという点です。
従来のIT資産管理は「申告」ベースで行われることが多いため、申告漏れや誤認によって管理情報と実態にズレが生じている場合があります。また、買収や経営統合によってグループ内に多数の企業が存在する場合、管理しきれていない広範囲のIT資産が存在することもあります。
ASMは、従来のIT資産管理と合わせて実施することで、内部と外部、申告と実態の二重のチェックを行うことが可能になります。
2 ASMの基本的な進め方(3つのプロセス)
ASMは主に以下の3つのプロセスで構成されます。
プロセス 1
攻撃面(IT資産)の発見
企業が保有・管理している外部からアクセス可能なIT資産(IPアドレスやホスト名など)を発見します。組織名やドメイン名をもとに、外部に公開しているWebサイトや「WHOIS」などを利用して特定します。
プロセス 2
攻撃面(IT資産)の発見
企業が保有・管理している外部からアクセス可能なIT資産(IPアドレスやホスト名など)を発見します。組織名やドメイン名をもとに、外部に公開しているWebサイトや「WHOIS」などを利用して特定します。
プロセス 3
攻撃面のリスク評価
収集した情報と、公開されている既知の脆弱性情報を照らし合わせ、脆弱性が存在する可能性を識別します。
脆弱性診断との違い
ASMは脆弱性診断と目的は同じですが、役割が異なります。
| 項目 | ASM | 脆弱性診断 |
|---|---|---|
| 対象 | インターネット上で、未把握のものを含む外部からアクセス可能なIT資産 | 把握済みのIT資産を指定 |
| 脆弱性の確度 | 通常アクセスの範囲で行うため確度が低い可能性(あくまで「可能性」を示す) | 攻撃を模したパケットを送信し評価するため一定の確度が確保される |
| 対象への影響 | パケットがセキュリティ監視装置に検出されることはほとんどない | セキュリティ監視装置でアラームを検出したり、システムダウンを誘発することがある |
ASMで対象を発見し、重要なものについて脆弱性診断を実施する、という組み合わせが効果的です。
3 ASMの実施とツール・サービスの活用
ASMの実施は、すべてを手作業で行うのは難しいため、ASMツールやASMサービスを活用するのが一般的です。
ASMツールの種類
検索エンジン型
ツール提供事業者が独自に収集した情報をデータベースに保存し、ユーザーがそれを検索します。
オンアクセス型
ユーザーが検索を実行したタイミングで、対象のIT資産に通信を行い、情報を収集します。
ASMサービスの活用
中小企業やITリソースが限られた企業にとって、ツールの選定や運用は負担となる可能性があります。そのような場合、外部の事業者によるASMサービスを活用することが非常に有効です。
継続的な取り組みと組織的な対応体制が鍵
ASMは、IT資産の状況が時間経過とともに変化するため、継続的に取り組む必要があります。新たな脆弱性は毎日発見されており、実施の頻度は、セキュリティポリシーや業務負荷などを考慮して総合的に判断してください。
また、ASMツールやサービスでリスクが発見された場合、それを放置しては意味がありません:
- 発見された脆弱性への対応
リスク評価後に、パッチ適用(リスクの低減)や対策見送り(リスクの受容)など、脆弱性管理と同様の対応を実施する必要があります。 - 組織的な対応体制
ASMで発見されたIT資産の管理者が不明な場合の対処や、リスクが発見された場合の連絡方法、脆弱性対応の役割分担などを事前に整理しておくことが、運用を円滑に進める上で非常に重要です。
4 実施にあたっての注意点
情報の確度に注意
ASMで発見される脆弱性情報は、あくまで「可能性」です。実際に脆弱性が存在するかは、別途確認が必要です。偽陽性・偽陰性が発生する可能性もあります。
他社システムの調査
調査対象が他社によって管理・運用されているシステムの場合、事前に承認を得ることを推奨します。特にオンアクセス型のツールは対象に負荷を与える可能性があるためです。
まず何をすべきか
ASMを始めるには、まず実施計画を策定します
- 導入目的を明確にする
未把握のIT資産を発見したいのか、グループ企業のセキュリティレベルを評価したいのか - 調査対象範囲を決める
自社のみか、グループ企業も含めるか - 運用方法を決める
調査頻度、発見された脆弱性への対応フローなど
その上で、自社に合ったASMツールまたはASMサービスを選定します。
終わりに
ASMは「防御側が攻撃者と同じ視点」で自社をチェックすることで、攻撃被害が発生してから課題に気づくのではなく、攻撃被害の発生前にIT資産の課題に気づくことを可能にします。
ASMを効果的に活用し、自社のセキュリティ強化につなげるためには、継続的な取り組みや担当者のスキル向上、システム管理者との連携、そしてIT資産管理や脆弱性管理など他の施策との連携が重要です。
サイバー攻撃から自社と取引先を守るために、ASMの導入を検討してみてはいかがでしょうか。
トラストブレーンのASM診断サービス
「ASMの重要性は理解できたが、どこから始めればいいかわからない」「専門的な知識やリソースが社内にない」という企業様も多いのではないでしょうか。
トラストブレーンでは、中小企業の皆様がASMに取り組みやすいよう、専門家によるプラットフォーム(ASM)診断サービスを提供しています。
まずは簡易診断から(初回限定無料)
初めてASMに取り組む企業様向けに、簡易診断を初回限定で無料でご提供しています(1社1回限り・1ドメインまたは1IPアドレス)。
継続的なセキュリティ対策に
ASMは一度実施すれば終わりではなく、継続的に取り組む必要があります。
トラストブレーンでは、月次での定期診断プランもご用意しており、新たな脆弱性の発見や対策実施後の確認など、継続的なセキュリティ向上をサポートします。
攻撃者の視点で脆弱性を発見する
