攻撃対象領域管理（ASM）対 脆弱性管理（VM）

企業は、システムとそこに保存された機密データを外部からの潜在的な攻撃から保護するために、様々なサイバーセキュリティ戦略を必要とします。この点に関して、攻撃対象領域管理と脆弱性管理（VM）という二つのアプローチが詳細に議論されています。これらは組織の防御戦略を構成する二つの要素ですが、セキュリティの異なる側面で機能し、サイバー攻撃を寄せ付けない共生関係を築いています。

ASMは、ハッカーによる攻撃経路（ウェブサイトからAPI、IoTまであらゆるものを対象とする）の可能性をスキャン、追跡、低減します。攻撃侵入の可能性をスキャン、追跡、低減します。これはウェブサイトからAPI、IoTに至るまで全てをカバーします。VMは内部をスキャンし、古いソフトウェアや設定ミスのあるサーバーなど既知の脆弱性に対して警戒を怠りません。

両方の戦略は適切なセキュリティアーキテクチャ構築に極めて重要です。連邦取引委員会（FTC）の報告だけでも、2022年には110万件以上の個人情報盗難被害が報告されています。これは、データ侵害や詐欺を防ぐために、外部と内部の両方からの保護が必要であることを示す事実です。本記事では、攻撃対象領域管理と脆弱性管理の違いについて深く掘り下げます。両アプローチが互いに補完し合い、より効果的なサイバーセキュリティフレームワークを形成する方法について解説します。さらに、SentinelOneのSingularity™ Cloud Securityが、進化する脅威に対するより強力な保護のために、これらのアプローチを合理化および自動化するのにどのように役立つかについて議論します。

攻撃対象領域管理とは？

本質的に、攻撃対象領域管理とは、サイバー犯罪者が組織のネットワークに不正アクセスする可能性が最も高い攻撃ベクトル（侵入経路）を発見し、軽減する継続的なプロセスです。既知および未知の資産、ウェブサイト、API、クラウドインフラストラクチャ、IoTデバイス、あらゆるシステムを含むデジタル上で露出しているコンポーネントは、すべて攻撃対象領域に該当します。ASMの基本的な目的は、組織が内部および外部のデジタルシステム全体を可視化し、悪意のある攻撃者に悪用される可能性のある潜在的な脆弱性を明らかにすることにあります。

2022年のPalo Alto Networksレポートは、クラウド環境の設定ミスが原因で発生した既知のインシデントの65%以上がクラウドセキュリティに関連する既知のインシデントの65%以上が、クラウド環境の設定ミスに起因していたことを明らかにしています。この数値は、企業がクラウドベースのソリューションを導入しデジタル事業を拡大する中で、こうした外部攻撃対象領域を監視する必要性が極めて高いことを十分に裏付けています。現代のIT環境は複雑すぎて、ASM（攻撃表面管理）がサイバーセキュリティにおいて不可欠でないはずがありません。ウェブサイトであれクラウドアプリケーションであれ、新たな資産を追加するたびに攻撃対象領域は拡大します。つまり、侵害されるリスクを低減するためには、継続的な監視と対策が必要なのです。

ASMはシャドーITの管理も包含します。これは従業員が組織内に持ち込んだ未管理・未承認のソフトウェアやデバイスを指します。これらは発見されず管理されない場合、組織の攻撃対象領域においてはるかに大きな割合を占めることが多々あります。包括的なASMアプローチにより、組織は潜在的な攻撃ベクトルや修正が必要な脆弱性をリアルタイムで積極的に特定し、新たな脅威に先手を打つことが保証されます。

脆弱性管理とは？

脆弱性管理とは、ソフトウェア、サーバー、データベース、その他のネットワークインフラストラクチャにおける既知の弱点を特定・分析する体系的なプロセスです。VM はリスク低減プロセスの一部であり、特定された潜在的な脆弱性はハッカーが悪用する可能性のあるあらゆるポイントとなるためです。

この作業の大部分は脆弱性スキャンツールを通じて行われ、システム現在のセキュリティ状態をスキャンして特定し、修正のための実用的な情報を提供します。脆弱性管理は、ハッカーが何らかのサイバー攻撃で悪用する前に、こうしたセキュリティホールを防御することを主目的としています。ポネモン研究所によれば、データ侵害の60%はパッチ未適用の脆弱性が原因でした。したがってVMは、コーディング上の欠陥や古いソフトウェアパッチを含む多様な脆弱性に対処し、予防可能な攻撃と戦うための重要なツールです。VMで実施される中核的な手順には、発見、優先順位付け、修正が含まれます。CVSSスコアなどの評価フレームワークが脆弱性をスコアリングします。これによりセキュリティチームはより大きなリスクに集中でき、脆弱性が悪用される前にパッチを適時に適用できるようになります。

VMとASMの決定的な違いは、対象とする資産の範囲にあります。VMは事前に特定された資産上の既知の脆弱性に対処しますが、ASMは能動的かつ動的に動作し、毎回新たな脆弱性を発見し、それらが引き起こす可能性のあるリスクを認識します。両者は合わせて、サイバー脅威に対する防御システムの全範囲を構成します。

攻撃対象領域管理と脆弱性管理の違い

ASMとVMは、企業のサイバーセキュリティ態勢を支援する取り組みという点で基本的な性質を共有していますが、その範囲、プロセス、焦点は明らかに異なります。組織外部から発生する脅威と内部から生じる脆弱性の両方に対抗する総合戦略の一環として、両者の機能は顕著に区別されます。

どちらも進化するサイバー脅威に対する防御において、多層的なアプローチを表しています。主な相違点は以下の通りです：

1. 対象資産の範囲：ASMは、特定されたIT資産への対応に加え、サードパーティシステムやシャドーIT、インターネットに接続されたその他のIT構造にも対応するため、より広範なカバー範囲を持つ。この可視性により、未調査の攻撃対象領域が潜在的な攻撃者に晒されることを防ぐ。ASMは攻撃者が到達可能な領域を拡大する新たな脆弱性を発見する。一方、VMはサーバー、データセンター、アプリケーションなど組織構造内の特定リソース管理が主目的であり、その多くは中央集権的に管理される傾向があります。
2. 発見プロセス: ASMは常に他の潜在的資産（未認識または未承認のWeb資産を含む）を監視します。これは、新しいプログラム、ソフトウェア、ネットワーク、サービスによって脆弱性のフットプリントが急速に拡大する可能性があるクラウドシステムにおいて特に重要です。ASM ツールは、新しいデジタル資産を通知する機能を備え、ほぼ自動的に動作する場合があります。一方、VMスキャンは既知の脆弱性（例：パッチ未適用のソフトウェアや設定ミスのあるOS）を検出します。内部セキュリティ維持ツールとしても、VMの適用範囲には限界があり、特に組織のセキュリティを脅かす可能性のある他の資産を発見できません。
3. リスクの焦点： ASMは外部脅威に脆弱なリソースや接触点を評価するため、外部脅威に重点を置きます。通常、設定ミスのあるクラウドサービス、公開されたAPI、パッチ未適用のWebアプリケーションなどの問題をカバーします。一方、VMは社内の構造内に存在する、更新されていないソフトウェア、誤った設定、ソースコードのバグなどの内部リスクに対処します。ASMが外部アクセスに関連する一般的なビジネスリスクを扱うのに対し、VMは組織内の特定の技術的リスクに対処します。
4. 監視サイクル： スキャン頻度がASMとVMの決定的な違いです。ASMは全資産と関連攻撃ベクトルをリアルタイムで監視する必要があります。組織のデジタル環境は、新サービスの導入や旧サービスの廃止により常に変化しているため、ASMツールはこれらの変更を追跡し、攻撃者が悪用できるスキャン漏れのない状態を維持します。VMは基本的に、脆弱性スキャンの定期的な実施など、間隔を置いて実行されます。  一部の高度なVMツールでは継続的監視が可能ですが、ソフトウェア更新や監査といった特定イベントをトリガーに、定期的な間隔でVM評価が実施されるケースが一般的です。
5. 予防 vs. 治療: ASMは攻撃の発生を未然に防ぐプロアクティブな手法であり、攻撃者に悪用される可能性のある侵入経路を常に特定・無力化します。こうした侵入経路の削減により、サイバー攻撃の可能性を根絶します。一方、VMはより反応的とみなされ、システム内に存在する脆弱性（最終的に侵入経路となり得るもの）に焦点を当てます。既知の脆弱性（パッチ未適用のソフトウェアや設定ミスなど）のみを特定対象とし、それらの問題が対処されるまでシステムは脆弱な状態のまま放置されます。
6. リスクスコアリング： ASMとVMの双方がリスクスコアを付与するが、その手法は異なる。ASMは資産の露出度、事業重要性、侵害された資産が発見された場合に企業が被る可能性のある損害といった外部要因に基づくリスクスコアリングを採用する。この広範なリスクスコアリングにより、企業は優先的に保護すべき資産を特定できます。VMは主に、脆弱性の深刻度と潜在的影響を考慮したCommon Vulnerability Scoring System（CVSS）などの標準化されたリスクスコアリング手法に依存します。VMが技術的リスクに焦点を当てる一方、ASMは技術的リスクと事業リスクの両方を包含する包括的な視点の確保までをカバーします。&
7. 外部脅威と内部脅威: ASMは主に外部脅威を対象とします。これはAPI、Webアプリケーション、クラウドインフラなど、外部に公開されたデジタル資産が攻撃される可能性のあるポイントです。組織のデジタルフットプリントを管理することで侵害を減らし、ネットワーク外部からアクセス可能な潜在的な侵入経路を排除します。一方、VMは組織が所有する管理対象インフラ上の内部脅威や脆弱性、具体的にはパッチ未適用のシステムやソフトウェアのバグ、設定ミスなどを対象とします。ASMとVMを組み合わせることで、外部脅威と内部脅威の両方に対処することが保証されます。
8. 自動化：両者は自動化の適用方法が異なります。ASMでは自動化ツールが新規資産を発見し、リスクを算出するためにさらに評価します。現代のITインフラの規模では、外部に公開されている全資産を手動で発見することは不可能であり、リアルタイム可視性を維持するには自動化が不可欠です。VMは脆弱性を検出しますが、パッチ適用、修復、再構成が必要な場合、一般的に管理者の人的負担がはるかに大きくなります。VMでは自動化は脆弱性の発見と優先順位付けに大きく制限される一方、ASMは全デジタル資産の継続的監視とリスク評価に自動化を活用します。
9. コンテキストに基づく脅威の洞察：ASMは、資産の一般的な露出状況と関連する外部リスクの可能性を考慮するため、よりビジネス志向の視点を提供します。公開された資産には、攻撃者がその資産をどのように悪用し得るか、侵害時に引き起こされる可能性のある損害の考慮が含まれます。このような洞察は、セキュリティチームが組織のビジネス優先度から見たリスクを考慮できる重要な高レベルな意思決定に役立ちます。一方、VMは組織のシステム内の微細な脆弱性やその悪用方法など、より技術的な情報を提供します。文脈上、VMからの知見は即時の技術的解決策に重点を置くのに対し、ASMはリスク環境全体のより戦略的な視点を提供します。

攻撃対象領域管理（ASM）対脆弱性管理（VM）：9つの重要な相違点

ASMとVMはいずれも、企業がサイバー攻撃の被害者となるのを防ぐために機能しますが、より包括的なセキュリティ戦略を構築する上で重要な相違点がいくつか存在します。

両戦略とも組織保護のために考案されていますが、それぞれ対象範囲、焦点、方法論が異なります。以下に両戦略の簡略比較を示します：

上記の比較表は、ASMとVMの違いを示しています。これにより、ASMが外部視点からの脅威を考慮することで組織のサイバーセキュリティリスクをより広範かつ包括的に対処し攻撃対象領域を縮小する一方、VMはデジタル環境での継続的変化と新たな脅威の絶え間ない出現に対応するため、継続的監視によって脅威の数を削減することが理解できます。VMは発見された既知の脆弱性（未修正ソフトウェアや設定ミスを含む）に対処します。その結果、差し迫ったリスクに対処するための非常に的を絞ったアプローチを提供します。

ASMが攻撃に悪用される前に攻撃ベクトルを積極的に特定・低減する一方、VMは既知の脆弱性が発見された後に修正に取り組みます。したがって、両者は強固な防御態勢の構築において重要な役割を果たします。ASMとVMの両方を導入する組織は、外部からの攻撃源と内部に潜む脆弱性の両方を対象とした、さらに多層的な防御メカニズムを構築できるでしょう。

SentinelOneはどのように役立つのか？

SentinelOne の Singularity™ Cloud Security は、組織の脅威対象領域に基づいて、内部攻撃や脆弱性から組織を保護する力を提供します。さらに、この単一の強力なプラットフォームは、AI による高度な検出、リアルタイムの監視、修復機能によって補完されており、そのすべては、組織がデジタル環境内の脅威を予防的に防止できるように設計されています。SentinelOne が、あらゆるクラウド環境における組織のセキュリティ体制の強化に役立つ 6 つの重要な方法をご紹介します。SentinelOne

1. 詳細な資産発見：SentinelOne’s Singularity™ Cloud Security プラットフォームは、すべてのデジタル資産を自動的に発見します。これにより、組織は外部および内部の攻撃対象領域の両方を完全に可視化できます。このプラットフォームは、通常見落とされがちでありながら企業のセキュリティ態勢にとって極めて重要なシャドーITやサードパーティシステムもカバーします。新たな資産はプラットフォームによって継続的に特定され、サイバー脅威に晒される可能性のあるギャップを埋めるのに役立ちます。
2. リアルタイム脅威検知：本プラットフォームはクラウド検知・対応（CDR）を採用し、クラウド環境を継続的にスキャンして潜在的なセキュリティ脅威を検知します。既知および未知のリスクカテゴリにおける脅威をCDRがリアルタイムで特定します。システムのリアルタイム機能により、新たな脆弱性や攻撃ベクトルが出現した瞬間に脅威を無力化する迅速な対応が可能となり、ダウンタイムや侵害の可能性を最小限に抑えます。
3. AI搭載セキュリティ：Singularity™プラットフォームのAI搭載機能は、AIセキュリティポスチャ管理（AI-SPM）を提供します。これは、機械学習とAIの機能を活用して、プラットフォームが自律的に脅威を特定し軽減する機能です。これにより、脆弱性が認識されるのと同時に攻撃対象領域の削減がさらに促進され、クラウドセキュリティが強化されます。
4. 脆弱性管理の統合： プラットフォームは脆弱性管理を統合し、ビジネスシステムの弱点を迅速に特定、優先順位付け、修正を支援します。この積極的な組み込みにより、組織のインフラストラクチャの弱点が悪用される前に体系的に除去され、サイバー犯罪者がネットワークやシステムに侵入することが困難になります。
5. 継続的リスクスコアリング:プラットフォームはリアルタイムの外部攻撃対象領域管理と動的リスクスコアリングも提供します。資産は、露出度、ビジネス重要度、および資産侵害時の影響に基づいてスキャンされます。このような脅威の効果的な優先順位付けにより、企業は最も重要な資産の保護に集中でき、結果としてサイバーセキュリティ管理全体の強化にもつながります。
6. ハイパーオートメーションによる修復：ローコード／ノーコードによるワークフローを活用し、攻撃対象領域のリスクや脆弱性を自動修復します。ハイパーオートメーションは脅威の封じ込めと解決を迅速化する対応速度を加速します。プラットフォームは企業が潜在的な脅威に迅速に対応することを可能にし、自動化を通じて修復までの時間を短縮し、リスク露出を制限します。

結論

結論として、このような複雑なデジタル環境においてシステムを保護することは、あらゆる現代組織にとって極めて重要です。したがって、ASMとVMを組み合わせたアプローチが不可欠です。ASMは継続的なスキャンにより外部からの脅威を検知・軽減し、攻撃ベクトルを積極的に削減します。VMは悪用される可能性のある既知の脆弱性に対処します。このような戦略により、組織は進化するサイバー脅威に対する効果的な防御体制を構築できます。

SentinelOne Singularity™Vulnerability Managementのようなプラットフォームへの投資は、リスクのリアルタイム検出と修復を通じてこうした取り組みを強化し、すべての重要なセキュリティプロセスを自動化します。これにより、外部リスクと内部リスクの両方の管理が容易になり、組織が攻撃状況に優先順位を付けて迅速に対応する能力が強化されます。SentinelOneは、サイバーセキュリティ体制の強化を目指すあらゆる組織にとって、現代のサイバーセキュリティが抱える多面的な課題に対処する包括的かつ効果的なソリューションです。