アタックサーフェスマネジメント(ASM)とは 専門家が解説
内閣官房内閣サイバーセキュリティセンター(NISC)は、2024年7月19日に「横断的アタックサーフェスマネジメント(ASM)事業の運用開始に係るプレスリリース」を発出し、各府省庁、独立行政法人・指定法人の情報システムを対象に、システムの脆弱性等を調査・是正する横断的アタックサーフェスマネジメント事業を令和 6 年 7 月 22 日以降、順次開始すると発表しました。
NISCの発表によれば、本事業は、「令和 4 年 12 月 16 日に策定された「国家安全保障戦略」において、サイバー安全保障分野での対応能力を向上させるため、「政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する」こととされていることを受けて実施するものであり、政府機関等のシステムを常時評価し、セキュリティ対策を随時是正するための事業」とされます。
しかし、今回のプレスリリースで使用されているアタックサーフェスマネジメント(Attack Surface Management)(以下、「ASM」と略)というIT 用語は、セキュリィティソフトに詳しい方を除いては、一般的な用語とは言い難く、今回初めて聞いたという方もおられるのではないでしょうか。そこで、本日はASMの概要について簡単に説明していきます。
目次
1. ASM(アタックサーフェスマネジメント)とはASMの概要
上記NISCのプレスリリース内では、ASM(アタックサーフェスマネジメント)とは
「組織の外部(インターネット)に公開されているサーバやネットワーク機器等の IT 資産の情報を収集・分析し、存在する脆弱性等のリスクを継続的に検出・評価するとともに、それらに基づき、脅威対策やシステムの脆弱性等を是正する一連のプロセスです。」と説明されています。
少しわかりづらいですね。
そこで、そもそもアタックサーフェスとは何か、という点から話をします。
アタックサーフェスとは攻撃対象領域とも呼ばれ、攻撃者の視点からサイバー攻撃が行われる可能性があるデジタル資産やサービス、環境を指します。
具体的には、クライアント端末、モバイル端末、IoTデバイス、サーバ、VPN機器といったネットワーク機器などに加えて、ソフトウェア、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。
※ 詳しい定義等はアメリカ国立標準技術研究所(NIST)が出すこちらの文書を確認してください。
従来の対策では、侵入経路/入口防御の観点から外部公開されているアタックサーフェスのみが重視されがちでしたが、ビジネス環境の変化やサイバー攻撃の高度化により、攻撃者の組織内への侵入を前提とした対策が当然になっています。
このため、米国の定義では外部公開されているデジタル資産だけでなく、攻撃者に悪用されうる内部のデジタル資産をすべて含めています。
しかしながら、米国と日本ではやや概念が異なり、日本の場合は、まず優先すべき領域として外部公開された領域を焦点とするように定義付されています。このあたり、同じ言葉でも日米でやや捉え方が違うという点は、海外とのビジネスを行う場合には注意が必要な点ですね。
2. ASM のプロセス
実は、経済産業省は昨年5月に「ASM (Attack Surface Management)導⼊ガイダンス ー外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する」という文書(以下、「経産省ガイダンス」という。)を公表しています。この中で、ASMのプロセスについて詳細に解説しており、
まず、ASMは、主に「①攻撃⾯の発⾒」「②攻撃⾯の情報収集」「③攻撃⾯のリスク評価」 の 3 つのプロセスで構成されるとしています。
① 攻撃⾯の発⾒
はじめに、自らの組織が保有または管理し、外部(インターネット)からアクセス可能 な IT 資産を発⾒することから始めます。このプロセスにおけるアウトプットは、インターネットから確認できる自組織の IP アドレス・ホスト名のリスト等が該当します。具体的には、自らが管理者となっているドメイン名を公開しているWeb サイトを確認、あるいは WHOIS等を使用して特定し、その特定したドメイン名に対して、DNS による検索や、ツールなどを活⽤して IP アドレス・ホスト名の⼀覧を取得する等が考えられます。
② 攻撃⾯の情報収集
次の段階では、①で発⾒した IT 資産の情報を収集します。具体的には、攻撃⾯を構成する個々の IT資産が持つ OS、ソフトウェア、ソフトウェアのバージョン、 オープンなポート番号などの情報です。⼀般的にこのプロセスは、調査対象に影響を及ぼさないよう、Web ページの表⽰など通常のアクセスの範囲で⾏われます。
③ 攻撃⾯のリスク評価
最後に②で収集した情報をもとに攻撃⾯のリスクを評価します。⼀般的には、公開されて いる既知の脆弱性情報と、②で収集した情報を突合し、脆弱性が存在する可能性を識別します。 経産省ガイダンスでは、ASMのプロセスはリスク評価までで終わっており、評価したリスクへの対応についてはプロセスには含めていません。しかしながら、ASM導入の目的である⾃社のセキュリティリスクを減らすという観点からは、当然評価後したリスクへの対応を検討すべきであると、経産省ガイダンスも述べています。
3. ASM と脆弱性診断の違い
セキュリティに関するリスクの把握として、一般的に広く用いられる手法として脆弱性診断があります。ASMと脆弱性診断とは何が異なるのでしょうか。
ASMも脆弱静診断も、自らの組織が有するIT 資産に存在する脆弱性などのリスクを検出・評価するという⽬的は同じなのですが、一番大きな違いは、対象とする IT 資産の違いであると考えられます。
ASM は外部(インターネット)からアクセス可能な IT 資産が対象で、これには未把握の IT 資産の発見という要素も含まれます。⼀⽅で、脆弱性診断は、あくまで把握済みの IT 資産が対象となっています。つまり、外部的から、すなわち攻撃者目線で評価するか、内部からの、すなわち開発者あるいは管理者目線で評価するのか、という評価の目線が決定的に異なるということです。このため、ASMでは脆弱性診断では発見できなかった脆弱性を発見できる可能性があります。
一方で、脆弱性情報の確度については脆弱性診断に軍配が上がります。ASM では、通常のアクセスの範囲で得られた情報をもとに、IT 資産に含まれている可能性のある脆弱性情報を提⽰するものですから、あくまで可能性のレベルであり、脆弱性を確定的に特定しているわけではありません。⼀⽅で、脆弱性診断では、既知のIT資産に対し疑似的な攻撃を行う等により、具体的な脆弱性を特定するところまで行います。このため、⼀般的には脆弱性診断のほうが脆弱性特定の確度は⾼いと考えられます。要は、両者を組み合わせることが重要、ということです。
4. ASM(アタックサーフェスマネジメント)導入のメリットとデメリット
ASM(アタックサーフェスマネジメント)導入のメリットとデメリットは以下になります。
ASM(アタックサーフェスマネジメント)導入のメリット
ASM の最大の特性は、攻撃者視点での脆弱性の発見が可能という点です。これにより、従来の脆弱性診断等では発見できなかった弱点を発見し、実際にサイバー攻撃を受けて被害が発⽣する前に IT 資産の課題に気づくことができる可能があります。更にOSINTや脅威インテリジェンスと組み合わせることで、より現実的な脅威に即した効率的なセキュリィテを実現できる可能性があります。
ASM(アタックサーフェスマネジメント)導入のデメリット
一方で、デメリットですが、真っ先に考えられるのがコストの問題です。ASMでは一般に専用ツールの使用や外部サービスの利用が不可欠とされます。これらに要するコストは自社の規模やサービス内容により変化するため一概には言えませんが、リスクと照らし合わせ、導入効果がコストに見合うものかどうかを慎重に判断することが必要と考えられます。また、実際にASMを運用するにあたっては、運用側に一定のセキュリテイレベルが必要であり、単純に導入すればすぐに効果が発揮できるものではない、ということもデメリットの一つとして挙げられます。
5. まとめ
本日はASMについて解説いたしました。ASMは、ASM導入のデメリットでも触れましたが、導入効果を期待するにあたってはすでに一定のセキュリテイに関する基盤が整っていることが必要であり、従来の手法と組み合わせて使用することで効果を発揮するものであると言えます。その観点では、やや上級者向けの手法であるということが言えるかと思います。従いまして、導入にあたっては、組織の特性や状況を踏まえ、導入の必要性や費用対効果をしっかりと見積もることが望ましいのでは、と思います。