Attack Surface Management
アタックサーフェスマネジメント
組織が保有するデジタル資産全体における潜在的な攻撃対象領域(アタックサーフェス)を継続的に発見、分析、優先順位付けし、そのリスクを管理・最小化するための一連のセキュリティ戦略およびプロセスである。特にクラウド、IoT、サードパーティ連携が複雑化する現代において、外部からの予期せぬ侵入経路や、シャドーITなどの未管理資産を網羅的に把握し、予防的なセキュリティ体制を維持するために不可欠な活動と位置づけられる。
概要
Attack Surface Management(ASM、アタックサーフェスマネジメント)は、企業や組織のデジタル環境全体に存在する潜在的な攻撃対象領域を、外部と内部の両面から継続的に監視・評価し、管理するプロセスである。現代のITインフラストラクチャは、クラウドサービス、リモートワーク、サプライチェーンの拡大によってかつてないほど複雑化しており、セキュリティ担当者が全ての資産を把握することは困難になりつつある。ASMは、この複雑化した環境において「何が、どこに、どのような形で露出しているのか」を明確にし、セキュリティギャップを埋めることを目的とする。
特に重要なのは、ASMが単なる一時的な脆弱性診断ではなく、継続的なプロセスである点だ。攻撃者が常に新しい手法や標的を探すのと同様に、組織側も資産の追加・変更・削除をリアルタイムで追跡し、セキュリティ態勢を常に最新の状態に保つ必要がある。
特徴と構成要素
ASMは、広範な技術とプロセスを包含するが、特に以下の三つの主要な要素に分類されることが多い。
1. 外部攻撃対象領域管理 (EASM: External Attack Surface Management)
EASMは、攻撃者と同じ視点から組織のデジタル資産を継続的にスキャンし、外部からアクセス可能なすべての資産と脆弱性を特定する活動である。これには、組織の既知のIPアドレスやドメイン名を手がかりに、関連するサブドメイン、関連組織の資産、公開されているAPIエンドポイント、クラウド環境の設定ミスなどを発見する手法が含まれる。EASMの主要な焦点は、組織が認識していない外部公開資産、すなわちシャドーITや設定ミスによって生じたリスクを明確にすることである。
2. サイバー資産攻撃対象領域管理 (CAASM: Cyber Asset Attack Surface Management)
CAASMは、EASMが外部に特化するのに対し、組織がすでに所有し、何らかの管理下にある内部的なIT資産の情報を集約・標準化し、一元的に管理する枠組みである。セキュリティツール(脆弱性スキャナー、EDR、IT資産管理台帳など)が個別に保持している情報を統合し、資産の最新の状態、適用されているパッチ、構成情報を把握する。これにより、内部的なセキュリティカバレッジのギャップや、セキュリティポリシーからの逸脱を効率的に特定することが可能となる。
3. リスクの優先順位付けと修復
単に多くの資産を発見するだけでは不十分であり、発見されたリスクに対して重要度を付与し、修復の優先順位を決定することがASMの中核である。優先順位付けには、その資産が持つビジネス上の重要性、存在する脆弱性の深刻度(CVSSスコア)、そして実際にその脆弱性が攻撃者によって悪用されているかどうかの脅威インテリジェンス(TI)が組み合わされる。ASMは、修復チームが限られたリソースを最もリスクの高いポイントに集中させるための意思決定支援システムとして機能する。
具体的な使用例・シーン
ASMは、以下のような多岐にわたるセキュリティ運用シーンで活用される。
M&A時のリスク評価
企業買収(M&A)プロセスにおいて、買収対象企業のIT資産が持つ潜在的なリスクを迅速かつ網羅的に評価するためにASMが用いられる。買収対象企業の持つ外部公開資産、特に古いシステムやパッチ未適用のサーバーなどが、統合前に新たな侵入経路となるリスクを事前に特定し、対処計画を立てる。
サプライチェーンリスク管理
組織が利用するサードパーティベンダーやパートナー企業の攻撃対象領域を評価する際にもASMが有効である。自社のセキュリティは強固でも、サプライヤーの脆弱性を突いて侵入されるケースが増加しているため、ASMツールを用いてベンダーの外部公開資産を継続的に監視し、セキュリティ体制の基準を満たしているかを確認する。
規制・コンプライアンス遵守の確認
特定の規制(例:GDPR、PCI DSSなど)が要求するセキュリティ基準や構成要件が、組織の全資産に適用されているかを自動的に検証する。例えば、特定のポートが外部に公開されていないか、特定のプロトコルが無効化されているかといったコンプライアンス違反の発生をリアルタイムで検知し、是正を促す。
関連する概念
脆弱性管理 (Vulnerability Management)
脆弱性管理は、特定されたIT資産における既知の脆弱性(CVE)をスキャンし、パッチ適用や設定変更を通じて修復するプロセスである。これに対し、ASMはまず「何が」攻撃対象になり得る資産であるかを特定し、把握できていない資産も含めて網羅的に可視化することに重点を置く。脆弱性管理が「既知の資産の既知の欠陥」に対処するのに対し、ASMは「未知の資産の既知・未知の欠陥」に対処するための基盤を提供する。両者は密接に連携し、ASMによって発見された資産が脆弱性管理の対象に追加されることで、セキュリティカバレッジが向上する。
脅威インテリジェンス (Threat Intelligence)
脅威インテリジェンスは、現在活動中の攻撃グループや、特定された脆弱性が実際に悪用されている状況に関する情報を提供する。ASMが膨大な量の脆弱性と構成ミスを発見した際、脅威インテリジェンスを統合することで、「今、最も攻撃者に狙われやすい資産はどれか」という文脈情報が付加され、リスクスコアリングの精度が劇的に向上する。
ペネトレーションテスト (Penetration Testing)
ペネトレーションテスト(侵入テスト)は、特定の期間とスコープを設定し、熟練した技術者が手動で侵入を試みる能動的な検証作業である。これに対し、ASMは広範な資産を対象に自動的かつ継続的にリスクを評価する。ペネトレーションテストは特定のシステムの深いセキュリティ評価に適しているが、ASMは広大なデジタル環境全体のリスクを常時監視する役割を担い、相互に補完し合う関係にある。
由来・語源
「アタックサーフェス(攻撃対象領域)」という概念は、古くからソフトウェア設計におけるセキュリティの文脈で用いられてきた。これは、悪意あるユーザーがシステムにデータを入力したり、システムからデータを出力したりできる全てのポイントを指す。この概念が「マネジメント」として体系化された背景には、2010年代後半から加速したクラウドシフトとデジタルトランスフォーメーション(DX)がある。
従来のオンプレミス中心のセキュリティモデルでは、組織の境界(ペリメーター)が明確であり、ファイアウォールやIDS/IPSによってその境界を守ることが主要な戦略であった。しかし、SaaSの利用拡大、マルチクラウド環境の普及、そしてサプライチェーンを通じた連携の深化により、境界は曖昧になり、資産が組織のコントロール範囲外に分散する事態が常態化した。
このような環境の変化により、組織が予期せず外部に公開してしまったサーバー、設定ミスのあるクラウドストレージ、有効期限切れのドメイン、開発者がテスト目的で立ち上げたまま放置されたインスタンス(シャドーIT)などが、新たな主要な攻撃経路となり始めた。これらの「未知の未知」(Unknown Unknowns)のリスクに対応するため、外部からの視点を取り入れた自動的かつ継続的な監視、すなわちAttack Surface Managementが不可欠な専門分野として確立された。
使用例
(記述募集中)
関連用語
- (なし)