リモートワークソリューション、クラウドベースのサービス、相互接続されたシステムの導入により、あらゆる組織のデジタルフットプリントが進化・拡大するにつれ、潜在的な攻撃の侵入経路も増加します。増加する潜在的なアクセスポイントは攻撃対象領域を形成します。これは、不正なユーザーが環境へ侵入しデータへのアクセス権を取得したり、環境からデータを抽出したりできる可能性のある全ポイントの総和です。
デジタル資産の保護を目指す組織にとって、攻撃対象領域評価(ASA)は不可欠な実践です。セキュリティチームは攻撃対象領域を強力に把握し、そのあらゆる側面(脆弱性管理の側面を含みます。これにより組織は、戦略的なセキュリティ優先順位付けとリソース配分を通じて、事後対応から予防へ移行できます。
本ブログでは、攻撃対象領域評価の重要性、その利点と課題について議論します。また、より洗練された脅威環境から組織の IT 資産を守るために役立つプロセスについても探ります。
攻撃対象領域評価とは?
攻撃対象領域評価とは、組織のITインフラストラクチャ(ハードウェア、ソフトウェア、デジタルソリューションを含む)において、潜在的な脅威アクターが悪意を持って組織にアクセスできる可能性のあるすべてのポイント(公的に可視化されているもの)を発見、特定、分析するための体系的なアプローチです。これには、ネットワークポート、アプリケーションインターフェース、ユーザーポータル、API、物理的アクセスポイントなど、特定システムへの全アクセスポイントの列挙が含まれます。最終的には、組織が攻撃を受けやすい可能性のある箇所を包括的に把握できます。
攻撃対象領域評価は、環境の技術的要素と非技術的要素を評価するものです。これにはハードウェアデバイス、ソフトウェアアプリケーション、ネットワークサービス、プロトコル、ユーザーアカウントが含まれます。非技術的な部分は、人的側面、組織プロセス、物理的セキュリティに関連します。これらを総合することで、組織のセキュリティ態勢の全体像を把握し、改善すべき対象領域を特定します。
攻撃対象領域評価を実施する理由とは?
組織は、認識していないものを保護することはできません。セキュリティ侵害は、放棄されたシステム、未知の資産、あるいはセキュリティチームが保護計画に含めることを考えもしなかった範囲外のアクセスポイントを利用して発生します。
組織が攻撃者がどのように侵入できるかを把握すれば、それが古いソフトウェア、適用されていないパッチ、効果のない認証メカニズム、あるいは十分に防御されていないインターフェースであるかに関わらず、弱点を特定することができます。これによりセキュリティチームは、攻撃者に悪用される前に脆弱性を修正する時間的余裕を得られる。
多くの組織はセキュリティアラートやインシデントへの対応において、終わりのないループに陥っている。チームは疲弊し、組織は危険に晒される。攻撃対象領域評価(ASA)はこのパターンを変革する。チームは脆弱性が悪用される前に発見・解決できるからだ。
ASAの一般的な評価手法
セキュリティチームは攻撃対象領域を効果的に評価・管理するため、様々な手法を採用します。組織が選択するアプローチは、通常、セキュリティ要件、利用可能なリソース、デジタル環境の複雑性によって決まります。
自動検出技術
自動検出技術は、ほとんどの攻撃対象領域評価プログラムの基盤です。これらのツールはネットワーク、システム、アプリケーションをスキャンし、最小限の人手作業で資産と脆弱性の両方を検出します。ポートスキャナーは開いているネットワークサービスをマッピングし、サブドメイン列挙ツールは休眠中のWebプロパティを発見し、構成解析ツールは不安全な設定を探します。
手動検証プロセス
自動化が攻撃対象領域評価に広さを与えるのに対し、手動検証プロセスは深みをもたらします。これには、自動化ツールでは見逃される可能性のある問題(ビジネスプロセスの論理的欠陥、認証バイパス手法、セキュリティ専門家によるアクセス権限のレビューなど)を特定するための、重要システムの手動レビュー、アクセス制御テスト、セキュリティアーキテクチャ評価が含まれます。
継続的評価と特定時点評価の比較
セキュリティプログラムを設計する際、組織は継続的モニタリングと特定時点評価のいずれかを選択する必要があります。特定時点評価と呼ばれるスナップショット型のセキュリティ評価は、四半期ごとまたは年次で実施されることが一般的です。こうした評価は徹底的な分析となる傾向がありますが、評価サイクル中に新たに発生した脆弱性を見逃す可能性があります。一方、継続的モニタリングでは常に新たな資産、設定変更、脆弱性をチェックします。
リスクベースの優先順位付けフレームワーク
リスクベースの優先順位付けフレームワークにより、セキュリティチームは最も重要な項目を優先的に対応できます。これらのフレームワークは、侵害時の潜在的影響、悪用可能性、影響を受ける資産のビジネス価値を考慮します。リスクベースのアプローチにより、セキュリティチームは、単に件数が最も多いものや最近公開されたものだけでなく、最も大きな脆弱性を最初に対処することができます。
攻撃的セキュリティの視点の適用
攻撃対象領域の評価に対するこの攻撃的セキュリティアプローチは、実際の攻撃経路をよりよく理解する機会を提供します。このアプローチでは、セキュリティチームが攻撃者の視点に立ち、攻撃者が行うであろう方法でシステムをテストします。これには、攻撃経路のマッピング、重大な侵害につながる脆弱性の連鎖のマッピング、特定の脅威グループが使用する技術を模倣する敵対者エミュレーションなどが含まれます。
攻撃対象領域評価の実施方法とは?
効率的な攻撃対象領域評価は、技術ツールと戦略的論理能力を融合した体系的な手法で実施する必要があります。組織がセキュリティ態勢を評価し弱点を把握するために従うべき基本手順を以下に示します。
初期スコープ設定と目標策定
優れた攻撃対象領域評価には、明確な目標と範囲設定が不可欠です。このフェーズでは、セキュリティチームが調査対象システム、探求するセキュリティ欠陥の種類、評価の成功基準を明確にします。この計画フェーズで、評価対象が特定の重要資産、新規導入システム、あるいは組織全体かを定義します。
資産列挙と発見フェーズ
企業のデジタルプレゼンスを構成する全てのシステム、アプリケーション、サービスを特定し登録することが、このフェーズの焦点となります。発見プロセスは受動的および能動的手法から始まります。受動的手法には、既存文書の全読解、ネットワーク図分析、DNSレコードチェック、公開データベースにおける組織資産の推定検索などが含まれます。
外部攻撃ベクトルのマッピング
資産を特定した後、セキュリティチームはサイバー犯罪者が外部からこれらのシステムにアクセスする方法を把握することに注力します。このステップでは、攻撃者が初期アクセスを得るために利用可能な複数の経路を分析します。外部攻撃ベクトルのマッピングとは、内部システムから外部世界への全接続ポイントの詳細なマッピングを確立するプロセスである。これには、インターネットに公開されている全サービス、VPNエンドポイント、メールゲートウェイ、サードパーティ接続が含まれる。
インターネットに公開されているサービスとアプリケーションの特定
インターネットに直接または間接的(VPNトンネル経由など)に接続するシステムは、その性質上最も標的となりやすく、評価時に特別な注意が必要です。このステップでは、パブリックインターネット経由で直接アクセス可能なすべてのサービスを徹底的に調査します。チームは公開されているすべてのIP範囲とドメインをスキャンし、開いているポートと稼働中のサービスを検出します。
認証およびアクセス制御システムの評価
不正なユーザーを遮断するアクセス制御が機能しないと、十分に保護されたシステムであってもあらゆるユーザーが侵入可能になります。この部分では、ユーザーがどのように身元を認証しているか、およびどのユーザーがリソースにアクセスできるかを判断します。認証評価には、パスワードポリシー、二要素認証、セッション処理、認証情報の保存方法の確認が含まれます。
調査結果の文書化とリスクプロファイルの作成
最終段階では、技術的な調査結果を実行可能なセキュリティインテリジェンスに変換します。具体的には脆弱性を文書化し、ビジネスへの影響を評価します。修正計画とセキュリティ全体の改善は、この文書に基づいて行われます。チームは、各脆弱性について技術的な説明を記述し、その潜在的な影響の概要を説明し、悪用される可能性の程度を説明します。
攻撃対象領域評価のメリット
攻撃対象領域評価は、脆弱性の特定以外にも、組織に大きな価値をもたらします。セキュリティ分析のための体系的なフレームワークは、企業のセキュリティ体制に回復力と運用効率をもたらすいくつかの利点をもたらします。
可視性の向上
定期的な攻撃対象領域の評価は、複雑な環境における可視性を高めます。組織が発展するにつれて、自社が所有する IT 資産を正確に把握し、その理解を維持することはますます困難になります。シャドー IT、レガシーシステム、不正なアプリケーションは、セキュリティリスクが検出されないままになる盲点を作り出します。セキュリティチームは、環境全体を可視化し、保護することができます。
インシデント対応コストの削減
脆弱性を早期に検出することで、攻撃対象領域の評価によりインシデント対応コストを大幅に削減できます。ハッカーが検出されないまま長期間滞在すればするほど、セキュリティインシデントのコストは高くなります。脆弱性評価を通じて脆弱性を積極的に特定することで、攻撃者に先んじて脆弱性を把握でき、侵害対応、顧客への通知、システム復旧、規制当局からの罰金といった問題が発生する前に修正措置を講じることが可能になります。
戦略的なリソース配分
これらの評価は、組織が必要な分野にセキュリティ支出を集中させ、より戦略的なリソース配分を実現するのにも役立ちます。現代のセキュリティチームは、限られたリソースでかつてない数のシステムを保護するプレッシャーに直面しています。攻撃対象領域評価が提供する情報は、意思決定者にとって極めて重要です。なぜなら、どのシステムが最も高いリスクを抱えているか、どの脆弱性が悪用された場合に最大の損害をもたらす可能性があるかを正確に特定するからです。
事業拡大の容易化
導入前のセキュリティ分析は事業拡大の安全性を高めます。組織が新製品を開発し、新規市場へ進出したり、新技術を導入したりする際には、新たな攻撃経路も生じます。こうした拡大に先立ち攻撃対象領域評価を実施することで、セキュリティ脅威に対して先制的なアプローチが可能となります。なぜなら、これらの脅威はプロセスの初期段階で修正する方が容易で費用対効果が高い傾向にあるからです。
攻撃対象領域評価の課題
攻撃対象領域評価の成果物はセキュリティチームにとって確かに価値がありますが、攻撃対象領域評価プログラムの実施と維持には、特有の大きな課題が数多く存在します。組織がこれらの課題を認識することで、評価に関するより適切な考慮事項を策定し、目標を再設定することが可能になります。
動的で進化するIT環境
セキュリティチームにとって、絶え間ない変化、特に活発な開発チームと頻繁なリリースがある組織では、そのペースを維持することは困難です。現代のインフラの流動的な性質と、それを監視するために設計されたツール/プロセスとの間にはギャップが存在します。新たなデプロイは追加の潜在的な攻撃ベクトルをもたらし、廃止されたシステムはしばしばアクセス可能なまま放置されたリソースを残します。
クラウドとコンテナ化されたインフラの複雑性
従来のオンプレミスインフラ向けに構築された評価ツールは、設定ミスのあるストレージバケット、過剰なIAM権限、不安全なサーバーレス関数といったクラウドベースのリスクをほとんど可視化できません。コンテナ化されたアプリケーションは、マルチティアの環境オーケストレーションシステムやレジストリのセキュリティ面により、さらなる複雑さを加えます。
正確な資産インベントリの維持
資産発見ツールはシステムを見落とすことが多く、完全な情報を提供しない場合もあります。セキュリティチームの認識なしに展開されたシャドーITリソースは、セキュリティカバレッジの死角となります。レガシーシステムは文書化されることが稀であり、その機能や相互関係が常に明らかであるとは限りません。
リソース制約と優先順位付け
リソース課題の背景には、ツール・専門知識・時間の不足があります。大半のチームはクラウド環境、IoTデバイス、特殊アプリケーションを評価する高度な専門知識を持ちません。評価ツールは高額で、割り当て予算を超える場合も。事業部門からの時間的圧迫により評価が短縮され、重大な脆弱性を見逃すリスクがあります。
誤検知の管理
洞察を得るには、セキュリティチームが手動で調査結果を確認・検証する必要があり、評価規模によっては数時間から数日を要します。頻繁な誤警報により、アナリストはそれらに鈍感になりやすく、その中に潜む真の脅威を見逃す可能性があります。結果の優先順位付けや検証プロセスが欠如していると、チームは情報の雪崩に埋もれてしまいます。
攻撃対象領域評価のベストプラクティス
多くの組織は、一般的な落とし穴を回避し、セキュリティ価値を最大化するために、効果的な攻撃対象領域評価のベストプラクティスを理解すべきです。
包括的な資産インベントリの確立
完全かつ正確な資産インベントリは、効果的な攻撃対象領域管理の基盤です。組織が資産を保護するには、まず自らが保有する資産を把握する必要があります。先進的な組織では、すべてのハードウェア、ソフトウェア、クラウドリソース、デジタルサービスに関する資産インベントリを維持しています。
継続的モニタリングの実施
全インフラにセンサーを展開し、脆弱性データや構成変更、不審な活動を含むセキュリティテレメトリを収集します。オーケストレーションツールを用いて、現在の状態が想定されるベースラインと一致しているかを自動検証し、逸脱を検知します。同時に、固定スケジュールに依存しない継続的脆弱性スキャンを実施します。
脅威インテリジェンスによる発見の文脈化
セキュリティチームは、実際に悪用されている脆弱性、新興の手法、業界固有の脅威トピックに関する詳細情報を得るため、脅威フィードに参加すべきです。組織の攻撃対象領域の発見事項をこのインテリジェンスと関連付け、近い将来に悪用される可能性が最も高い脆弱性を特定します。業界全体や類似組織プロファイルを持つ企業を標的とする可能性のある脅威アクターのキャンペーンを監視し、想定される攻撃経路を把握する。
リスクベースの修正優先順位付け
脆弱性の深刻度、資産の重要度、悪用可能性、データの機密性を考慮したスコアリングシステムに基づき、課題の優先順位付けを行う。攻撃者が容易に悪用でき、機密システムやデータへのアクセスを提供する脆弱性に焦点を当てる。リスクに晒されるビジネス価値に基づいて様々な修正スケジュールを策定する。例えば、重大な問題は数日以内に修正し、リスクの低い要素は定期的なメンテナンス パッチ適用サイクルで対応する。
ステークホルダーへの伝達と報告
技術的知見を業務リスクの観点(運用上・財務上・評判上の潜在的影響)に集約した経営層向け報告書を作成する。IT部門向け技術報告書には、実施すべき是正措置と確認チェックポイントに関する情報を含める。
攻撃対象領域の現実的な事例
2017年のエクイファックス侵害事件は、壊滅的な結果をもたらした攻撃対象領域の最大級の事例の一つである。この事件では、攻撃者がウェブアプリケーションフレームワークであるApache Strutsの未修正脆弱性を悪用し、エクイファックスのシステムに侵入した。この脆弱性は既に公表されており修正プログラムも提供されていたが、エクイファックスは自社環境全体に修正プログラムを適用していなかった。この見落としが原因で、攻撃者は約1億4700万人の機密消費者信用データにアクセスする機会を得た。
2019年には、AWSの元従業員がキャピタル・ワンのAWS環境で設定ミスがあったWAFを悪用し、同社のデータ侵害が発生しました。この設定ミスにより、攻撃者はメタデータサービス上でコマンドを実行し、S3バケットデータにアクセスするための認証情報を取得することが可能になりました。このハッキングにより、約1億人のアメリカ人と約600万人のカナダ人が被害を受けた。これは、クラウド環境のセキュリティがいかに一見単純に見えても複雑であるか、そしてクラウド構成管理がいかに重要であるかを示す好例である。
結論
現代の進化し続ける脅威環境において、組織はデジタル資産を保護するために様々な戦略を採用する必要があり、その一環として攻撃対象領域評価が挙げられます。侵入経路となり得る箇所を体系的に特定・分析・修正することで、セキュリティチームはサイバー攻撃リスクを大幅に低減できます。定期的な評価により、攻撃者が脆弱性を発見・悪用する前に問題を修正できます。この予防的措置はセキュリティ強化だけでなく、コンプライアンス対応やリソース配分にも寄与し、セキュリティ戦略の洞察を深めます。
FAQs
攻撃対象領域評価とは、攻撃者に悪用される可能性のある組織のITインフラへの侵入経路をすべて特定・文書化・分析するプロセスです。これには、ハッカーや不正ユーザーが侵入する可能性のあるハードウェア、ソフトウェア、ネットワークサービスなど、あらゆる要素の追跡が含まれます。
あらゆる攻撃対象領域において、主要な構成要素にはインターネットに公開されているアプリケーションやサービス、ネットワーク境界、エンドポイントおよびユーザーデバイス、クラウドリソース、サードパーティ接続、API、ユーザーアカウント、物理的アクセスポイントが含まれます。これらの構成要素はすべて、攻撃者にとって潜在的な侵入経路となります。
攻撃対象領域評価はあらゆる侵入経路とアクセスベクトルを特定するのに対し、脆弱性評価はこれらの侵入経路における既知の脆弱性のみを調査します。攻撃対象領域評価が「何が攻撃されているか」に焦点を当てるのに対し、脆弱性評価は「どのように攻撃されるか」を深く掘り下げます。
パッチ未適用のソフトウェア、設定ミスのあるクラウドサービス、APIの公開、認証システムの欠陥、フィッシング攻撃に脆弱なユーザー、不安全または不要なネットワークサービス、デフォルト認証情報、サードパーティのサプライチェーンなどが一般的な攻撃ベクトルです。これらのベクトルは、攻撃者が実際にシステムへの侵入を試みる際に取る経路を示しています。
組織は少なくとも四半期に一度は包括的な攻撃対象領域評価を実施し、主要な評価の合間にも積極的に監視すべきです。変化の激しい環境や規制の厳しい業界では、より頻繁な評価が必要です。また、主要なインフラ変更時には必ず評価を実施すべきです。
はい、攻撃対象領域評価は攻撃者が脆弱性を悪用する前にそれらを特定・修正することでサイバー攻撃の防止に役立ちます。組織は自らがどこで攻撃に晒されているかを理解することで、標的を絞ったセキュリティ対策を実施し、攻撃対象領域を縮小し、攻撃者にとって魅力の低い標的となることができます。
