サイバー攻撃による被害が深刻化するなか、攻撃対象となり得る“アタックサーフェス”を把握・管理する、新たなセキュリティ対策の導入が不可欠となっている。

テレワークの普及にともない、社外のネットワークから自社のサーバーやシステム・ネットワーク機器などにアクセスする機会が増えました。社外からさまざまなIT資産へのアクセスが可能となった一方で、脆弱性が新たな不正侵入経路として、サイバー攻撃の被害に遭うケースが増えています。機密情報や個人情報が漏洩するなど、企業として致命的な損害を被ってしまうことも少なくありません。
攻撃者から自社のIT資産を守るためには、アタックサーフェス（攻撃対象領域）を定常的に管理し、セキュリティリスクに対し対策を講じる必要があります。
本コラムでは、サイバー攻撃によるセキュリティリスクを軽減するセキュリティソリューションとして注目されている「EASM（External Attack Surface Management）」について、重要性や活用法、導入のポイントを解説します。

EASM（External Attack Surface Management）とは、悪意ある攻撃者にインターネットなど外部から攻撃を受ける可能性のある対象を正確に把握する技術やソリューション、あるいは外部からの攻撃を受ける可能性のある対象について把握、分析、修復、継続的に行うことを指します。

サイバー攻撃の対象となり得るすべてのIT資産を指し、攻撃対象領域とも呼ばれています。
対象範囲は、攻撃者がインターネットからアクセスできるサーバーやシステム、ネットワーク機器、アプリケーションなどのデジタル資産に限らず、PCやスマートフォン、USBメモリー、各種デバイスなどの物理資産やIPアドレス、ドメインなども含まれます。企業のDX推進やICT化にともない、アタックサーフェスは増加しており、今後もその傾向は続いていくでしょう。

アタックサーフェスは攻撃者の侵入起点やアクセスポイントとなるため、どのIT資産にどのようなリスクがあるかを理解しておくことが重要です。企業は、拡大するアタックサーフェスを適切に管理するための措置を講じる必要があります。

近年、企業の脅威となるサイバー攻撃は巧妙化し、被害額が増大しています。
FBIの「Internet Crime Report 2021」によると、サイバー犯罪の被害総額は約8,970億円（1ドル=130円）となり、過去最高を記録しました。

また、IPAが発表した「情報セキュリティ10大脅威 2023（組織編）」では、2022年に国内で発生した社会的に影響が大きかった脅威として「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」など、サイバー攻撃による被害が上位にランクインしています。
「サプライチェーンの弱点を悪用した攻撃」は前年の3位から2位にランクアップしており、自社だけではなくセキュリティ体制が不十分な海外拠点や、取引先企業が狙われる事例も報告されています。

ランサムウェアや標的型攻撃などにおいて、攻撃者が企業に侵入する経路として悪用しているのが、脆弱性が残された状態で外部に公開されているサーバーやネットワーク機器、リモートデスクトップなどのアタックサーフェスです。

サイバー攻撃は従来、Webやメール、USB経由で企業のネットワークに侵入するのが一般的でしたが、多くの企業で境界型の多層防御や監視体制が敷かれたため、容易に突破できなくなりました。
近年ではVPNサーバーなど複数のネットワーク機器で重大な脆弱性が報告されたことで、その脆弱性を狙ってネットワーク機器やリモートデスクトップ、クラウドサービスなど、従来の侵入経路以外からのサイバー攻撃による被害が増加しています。

インターネットに接続されているシステムは、攻撃者にとって容易に探索が可能です。管理の甘いシステムは、攻撃者が本来の目的を達成するための侵入口となり得るでしょう。
主な侵入経路としては、以下が挙げられます。
・インターネットに公開されているサーバー
・サポートが終了したOSを利用しているサーバー
・ソフトウェアアップデートが適切に行われず脆弱性が残っているネットワーク機器やPC
・公開ポート
それらの脆弱性を悪用して、ランサムウェアをはじめとしたマルウェアに感染させて情報漏洩を狙う手口が多く報告されています。

このように、アタックサーフェスの侵害による被害状況が深刻化していることから、企業においてはアタックサーフェスの適切な管理が急務となりつつあります。

セキュリティリスクを低減するためには、自社だけではなく、国内外の関連企業や取引先の企業を含めて、外部に公開されている脆弱なIT資産が存在していないかを確認する必要があります。リスクが高い脆弱性が存在するIT資産が見つかった場合は、早急に対処しなければなりません。しかし、実際にはなかなかセキュリティ対策を進められないケースも多く、課題が顕在化しています。
多くの企業でセキュリティ対策の実施が進まない理由はどこにあるのでしょうか。

企業が管理すべき情報資産は増加傾向にあり、どこにどのような外部公開されているIT資産が存在しているのかを正確に把握することは困難です。多くの企業では業務システムがクラウドサービスへの移行が進んでいるため、従来の管理体制だけでは管理部門の対応が追いつかない場合もあり、シャドーITなどが発生するリスクが高まっています。

外部公開のIT資産の棚卸しを実施し、自社のセキュリティリスクを認識しているものの、優先度がわからず対応できないケースが多くあります。緊急度に応じて優先順位を付ける必要がありますが、自社で一つひとつのセキュリティリスクを詳細に調べるのは多大な労力がかかるため、現実的ではありません。
また、侵入者目線で自社のセキュリティ体制の脆弱性を把握し、アタックサーフェスの変化に対応できていなければ、適切な優先度で管理することは困難でしょう。

社内のIT管理部門の人材不足により、外部公開のIT資産の棚卸しが実施できていないケースも散見されます。とくに、管理体制が整っていない海外拠点や、担当者のいない拠点は、セキュリティ対策が不十分となり脆弱性が生まれやすい状態です。
また、自社だけではなく、取引先や委託先企業のリスクまで把握しようとすると、管理する外部公開されているIT資産の範囲が膨大となり、管理・運用の体制を整えられなくなるおそれがあります。

外部公開のIT資産が膨大となる場合、そのすべてを把握して守るためには、人材の確保や最新のセキュリティ対策に多くの費用をかけなければなりません。
そのため、攻撃された場合の被害が大きいものや、重要度の高いものから優先的に対処する必要があります。しかし、自社の外部公開されているIT資産の状況や、どこにどのようなリスクが存在しているのかを具体的に把握できていない状況では、有効な対策は実施できないでしょう。
有効な対策を検討できないと、実際にセキュリティインシデントが発生するまで脆弱性が放置されるケースが多く、攻撃者に狙われるリスクが高まってしまいます。

アタックサーフェスにおける課題を解決するには、EASMの導入が非常に有効です。EASMを活用することで、自社だけでは把握しきれない外部公開のIT資産やシステムを特定しやすくなり、適切に管理できます。
ここでは、2章で挙げた課題を解決する方法として、EASMを活用した解決策を紹介していきます。

EASMでは、攻撃者の侵入ポイントとなり得るインターネットに対応したIT機器やソフトウェア、クラウドサービスなどのIT資産を、自動的かつ継続的にスキャンして特定します。
対象となる主なIT資産は以下のとおりです。

既知のIT資産
ルーター、サーバー、企業または個人所有のデバイス（PC、ノートPC、モバイルデバイス）、IoTデバイスなどが挙げられます。

未管理のIT資産
シャドーITや未管理のサーバーなど、企業が把握せずに業務で利用されているIT資産です。

サードパーティーやベンダーのIT資産
SaaSなどベンダーから提供されているソフトウェアやアプリケーション・APIなどが挙げられます。

国内外の関連企業のIT資産
国内外の関連会社のネットワークに属する既知のIT資産、把握できていないIT資産、またはサードパーティーやベンダーのIT資産などが挙げられます。

悪意のあるIT資産または不良資産
企業をターゲットにした悪意のある攻撃者により作成、または盗まれたIT資産です。
たとえば、企業のブランドになりすましたフィッシングWebサイト、ダークウェブ上で共有されている盗まれた機密データなどが含まれます。

EASMでは、管理者が手動で一つひとつ登録する必要がなく、管理範囲外の外部公開資産も自動で検索・発見が可能です。結果として、シャドーITを含むあらゆる外部公開情報の発見と管理を実現できます。

IT資産が特定されると、分類や脆弱性の分析、攻撃者がその資産をどれくらいターゲットにするリスクがあるかといった「攻撃可能性」により、客観的な優先順位付けが行われます。
具体的には、以下のような流れで実施されます。

EASMでは、自社保有のアタックサーフェスに存在する脆弱性やセキュリティリスクを自動で検出・可視化することが可能です。EASMが定期的にチェックを行うため、新たな脆弱性も迅速に発見でき、最新の脅威に対する優先順位付けを実現できます。

攻撃者の攻撃対象となる領域は常に拡張しているため、自社や関連企業の環境を継続的に監視して、脆弱性に気づかない状態を防ぐことが重要となります。
EASMを活用すると、管理が不十分な海外拠点や担当者のいない拠点においても、定常的な監視が可能です。

そうすることで、公開されているポートがないか、ソフトウェアアップデートが適切に行われているか、設定ミスがないかといったチェックを実施でき、セキュリティリスクの改善につながるでしょう。

また社内の管理者の人員を増やさずに国内外のさまざまな外部公開されているIT資産を一元管理できるため、セキュリティ対策強化の基盤として活用できます。

EASMはハイブリッドクラウドやマルチクラウドにまたがるインフラ構成においても、それぞれのデータから自動的にアタックサーフェスを発見し分析が可能です。緊急時にもトリアージ（優先順位決め）を自動化できるため、管理者がイベントやアラートを分析して対応する作業時間の大幅な短縮や、セキュリティ担当者の工数を削減する効果が期待できます。

また、最新の脅威に関する情報を自社のセキュリティ運用に組み入れることも可能です。包括的なセキュリティ対策の基盤となる仕組みを構築でき、効率的かつ効果的なセキュリティ運用を実現できます。

従来多くのセキュリティリスク管理を行うために必要だった複数のセキュリティ対策にともなうコストを削減できます。

EASMは、IT資産の網羅的な把握と適切なセキュリティ対策を推進し、サイバー攻撃の脅威から自社や関連企業を守るために不可欠な取り組みです。ここでは、EASMを導入する際に重要となるポイントを3つ紹介します。

未管理のものも含めた国内外のIT資産を網羅的に洗い出し、把握することは極めて重要です。一方で、社内の人員だけで広範な外部公開のIT資産の状況を確認するのは、容易ではありません。
とくに大手企業の場合、国内の管理はできていても、海外拠点の管理が行き届いておらずサイバー攻撃を受けるケースが多く見られます。
脆弱性は日々新しいものが発見されており、アタックサーフェスは常に変化しています。継続的かつ網羅的にIT資産を監視し、適切に管理するためにもEASMを用いた対策が重要です。

サーバーであればアクセス制限や認証管理が適切に行われているか、ネットワーク機器であれば脆弱性対策が十分かなど、自社のセキュリティ上のリスクを確認する必要があります。
また、近年ではリスクの高い脆弱性が次々と報告されている状況です。自社のIT資産に関連する脆弱性情報を定期的に収集し、気を配ることも欠かせません。その際に有用なのが、JPCERT/CCの注意喚起情報（※）です。
脆弱性が実際の攻撃で悪用されるような危機的な状況となった際に、迅速な注意喚起が行われるため、情報収集のために定期的に確認しましょう。

参考記事：参考：JPCERT/CC_注意喚起

外部公開のIT資産を把握したあとは、各アタックサーフェスにおけるセキュリティの管理体制を明文化しておく必要があります。万が一サイバー攻撃を受けた場合でも緊急時の対応体制を整備しておくことで、適切な対策の実行が可能となり、迅速な復旧につながります。
また、IT部門の管理外となる海外拠点や、各部門管理のIT資産については、セキュリティ責任者を配置して、あらかじめ役割の割り当てや権限の付与を行っておくとよいでしょう。責任の所在があいまいだと脆弱性が生まれやすくなるため、必ず管理体制を構築し、適宜見直しを行うことが望ましいです。

EASMを導入する際は、運用サイクルを回すことも重要になります。まずリスクを洗い出し、そのリスクに対してセキュリティ対策を実施、そして定期的に対策を見直すというサイクルを行うことで、日々変化するアタックサーフェスに対応できるセキュリティ体制を維持することが可能です。

サイバー攻撃の対象となる領域が劇的に拡大しているなか、企業がインフラ環境全体を把握し制御するためにはEASMが不可欠です。EASMを活用したセキュリティ対策の推進は、企業の抱えるセキュリティ課題をタイムリーに解決していくのに役立つでしょう。
広範なアタックサーフェスの発見や状況の可視化、対策の検討と実施、対策の見直しを行うことで、リスクのある領域に対して注意を喚起し、適切な対策を実行できます。EASMを導入して、セキュリティ対策の強化を図ってみてはいかかでしょうか。EASMを検討される場合は、ノウハウを持つ日立ソリューションズにぜひご相談ください。