攻撃経路分析

攻撃経路、攻撃ベクトル、攻撃可能領域の比較

「攻撃経路」と似ており、定義や機能の点でも重複する用語は多数あります。そのような類似する用語をいくつか取り上げ、主な違いをご紹介します。

攻撃経路

攻撃経路は、攻撃者が機密データにアクセスしたり、システムへのアクセスを利用して脆弱性を悪用するためにたどる具体的な経路をビジュアルで表現したものです。通常はグラフで表され、クラウドセキュリティソリューションがアカウントや関連サービスからすでに収集・分析しているデータからアクセスできます。その後、各攻撃経路のソース、ターゲットと重大度を伝達できるソリューションを選ぶのが望ましいでしょう。

攻撃ベクトル

攻撃ベクトルは、基本的に、攻撃者がシステムに侵入した箇所にあります。 そこから、攻撃者は目的の情報またはリソースへの攻撃パスをたどります。 たとえば、マルウェアには、トロイの木馬、ウイルス、ワームの3つの主要なベクトルタイプがあり、電子メールなどの一般的な通信を利用します。その他の典型的なベクトルには、認証情報の侵害、 ランサムウェア、フィッシング、クラウドの構成ミスの悪用などがあります。

攻撃可能領域

攻撃可能領域とは、ネットワーク全体（オンプレミスとクラウド）で用いられる、脆弱性を突く攻撃ベクトル（侵入経路や手段）の総称です。攻撃ベクトルの一つひとつは小さくとも、こうしたエントリーポイントが数多く作られた結果、脆弱性が高まり、一般的なネットワークが攻撃可能領域として拡大する可能性が出てきます。攻撃可能領域には、攻撃者が機密性の高いアセットやデータにたどり着くまでの経路として使用する攻撃ベクトルも含まれます。

攻撃経路分析の仕組み

攻撃経路分析は、セキュリティチームがクラウド環境全体のリスクをリアルタイムで視覚化することに役立ちます。元々はネットワーク内で有用となるよう設計されたものの、–エントリーポイントとなる箇所が増え、被害が拡大する可能性を明らかにする中で、現在のネットワークにおける全体的な健全性も把握できるようになります。現状で組織とそのビジネスが比較的高いリスクにさらされているのか、実際には比較的安全な状態なのかが見えてきます。

攻撃経路の管理と分析の仕組みの例として、IDおよびアクセス管理（IAM）の概念を考えてみましょう。セキュリティチームが攻撃者の存在を事前に把握できない場合、攻撃者が無防備に移動できる環境では、実際にアカウント乗っ取りの危険はあるでしょうか。

ログイン認証情報が取得され、顧客情報や知的財産にさらにアクセスするために悪用されるリスクがあります。IAMシステムが侵害されて認証情報が盗まれた場合、攻撃者はあらゆるものにアクセスできるでしょう。その手順は以下のようになります。

• ある攻撃者がIAMシステムを侵害し、個々のユーザーの認証情報を盗みました。
• 攻撃者はこれらの認証情報を使用して、大規模なセキュリティ組織やIT組織内のさらに大きなサブグループにアクセスします。
• その後、攻撃者は大量の認証情報に手を伸ばし、これを利用して水平展開し、ネットワーク全体に大規模な攻撃経路を確立することができます。
• 攻撃者は最終的に、何千人もの顧客に関する機密の金融データにたどり着き、そのデータはまたたく間に抽出されます。

こうした攻撃者の動きをいち早く察知したり、攻撃を開始する前に阻止するためには、以下が重要です。

• ネットワーク上のリソース接続を調べ、それらの相互関係を調べる。
• 担当者が考えられる攻撃経路に沿ってリソースと関連するリスク要因を確認できるよう、視覚的なグラフを見直す。
• アクセス制御やセキュリティ設定などの側面を変更し、脆弱性にパッチを適用することで、攻撃経路のつながりを断ち切るための適切な手順を決定する。
• 関連するリソース所有者に警告を発し、技術部門とそれ以外の部門のステークホルダーに同様に情報を伝達できるコミュニケーションを生成する自動通知を構成する。

攻撃経路分析の重要性

攻撃経路分析は、ますます巧妙化する攻撃者の手法に先手を打つために重要なツールです。特定の局面では有益な構成や接続であっても、悪用されうる大きな脆弱性が存在する可能性があることをセキュリティ組織が把握する上で役立ちます。

攻撃経路分析は、攻撃経路のマッピングと識別のスピードを重視した総合的なクラウドセキュリティソリューションの一部として組み込むべきツールであり、順調な事業運営を進めつつネットワークを保護する最善の方法を可視化し、理解を深める上でも役立ちます。

分析のもつこうした性質からリスクの優先順位付けが可能となり、分析担当者の労力をどこに注ぐべきかを常に把握し、新たな脅威に対して積極的に行動を起こせるようになります。

攻撃者の立場になって考える

セキュリティチームにとっての最大の利点は、攻撃経路分析によって可視化、脅威に対する対応の迅速化、リスクの優先順位付けが可能となることで、これまで以上に攻撃者の視点から考えられるようになることです。攻撃を見抜かれるリスクが高い場合、攻撃者は素早く犯行に及ぶことを好みます。そのため、攻撃が仕掛けられる前に、攻撃経路内で考えられるある一定の手順を事前に判定しておく必要があります。

セキュリティ組織が考えられる経路を特定し、攻撃者が機密情報にアクセスするまでの過程で行う可能性のある水平展開について事前対応的に考え始めると、自社のネットワークの独自性、さらに脅威からそのネットワークを保護する最善の方法を真に理解できるようになります。

攻撃経路分析の使用例

セキュリティチームや、技術的な知識が少なく、そうしたチームにセキュリティを任せるステークホルダーに対し、攻撃経路分析の具体的な使用例と分析を活用する機会の見極め方法について説明しておくことをお勧めします。

• 攻撃者による機密情報へのアクセス方法を把握：攻撃者が機密情報を保存しているリソースに直接、間接的にアクセスする際に用いる可能性のあるさまざまな方法を分かりやすくビジュアルで捉えることができます。
• 過検知を可能な限り削減し、最重要リスクへの対応時間を短縮：攻撃の発生源とその経路を特定し、修正対象とすることで、リスクの優先順位付けと対応にかかる時間を短縮します。
• 修正プロジェクトの優先順位付け：セキュリティチームが考えられる攻撃経路を視覚化し、クラウドのリスクと脅威に優先順位を付ける上で役立つほか、悪意のある攻撃者が環境内で水平展開し、機密情報にアクセスする方法に関するコンテキストを提供します。
• 専門知識の少ないステークホルダーにリスクを分かりやすく伝達：攻撃経路をグラフで可視化することで、技術部門以外のステークホルダー（経営幹部や役員など）にもサイバー攻撃が与えうるリスクと被害を効果的に伝えられます。
• コンプライアンスを維持：セキュリティチームと監査人が、あらゆる攻撃経路を考慮した顧客データ管理を行うために厳格な基準を確立するSOC2など、コンプライアンスの維持は、さまざまな規制に関するコンプライアンス違反を特定、追跡、修正する上で役立ちます。

攻撃経路のセキュリティについてもっと読む

• 攻撃可能領域のセキュリティに関するニュース： 最新のRapid7ブログ記事
• Rapid7ブログ：攻撃経路分析による有害な組み合わせの発見と修復