攻撃可能域管理(ASM)とは、セキュリティチームが脆弱性にパッチを当て、新たな脅威を防御できるよう、絶えず変化するネットワーク環境の可視性を維持するプロセスです。ここでの攻撃可能領域とは、オンプレミスとクラウドのネットワーク全体であり、攻撃者が侵入できる可能性のある脆弱なポイントを指します。
Forrester では、攻撃可能領域管理を、エンティティの IT 資産資産のエクスポージャーを継続的に検出、特定、インベントリ、および評価するプロセスと定義しています。 上記のすべてに基づいて、これはセキュリティチームが常に把握して対処するのが困難なものであると安全に推測できます。 環境内の可視性が限られているということは、組織とビジネスに損害を与える可能性のあるすべてのことを把握していないことを意味します。
また、可視性に制限があると、本番環境でのコードの動作面などの可観測性が欠如し、アプリケーション開発のあらゆる種類のプロセスが危険にさらされる可能性もあります。簡単に言うと、攻撃可能領域に対する可視性が限られているために、ビジネス運用とセキュリティの多くの側面の信頼性が低下することになります。
セキュリティ組織は、脆弱性を管理し、ウェブアプリケーションを定期的にテストするだけでなく、脅威検知対応を自動化し、最新の侵害の兆候(IOC)を可視化することで、攻撃可能領域を監視・管理できます。攻撃可能領域全体の管理に適した方法は、特に大規模なエンタープライズ組織では1つではありません。ただ、可視性を高めることで、セキュリティチームはアクションを調整し、環境に固有のソリューションを探索できるようになります。
攻撃可能領域管理は、攻撃者に悪用される前に脆弱性に対処する上で必要な可視性、コンテキスト、優先順位を提供するため重要で、主要なリスク領域をより深く理解したいチームにとって必須と言えます。また、IT、セキュリティ担当者や経営陣が攻撃に対して脆弱な領域を認識するのにも役立ち、組織はリスクを最小限に抑える方法を見つけることができます。
脆弱性評価や侵入テストなどのプロセスの側面は、チームが攻撃可能領域のうち侵害が発生する可能性がある箇所を可視化し、コンテキストを得るために活用できるベストプラクティスです。こうした全体的な攻撃可能領域分析戦略を適用することで、技術的リスクとプロセス関連のリスクの両方に対する認識を高めることができます。
外部攻撃可能領域管理(EASM)とは、パブリックインターネットに面している内部ビジネス資産を特定し、攻撃者に悪用される可能性のある脆弱性、パブリッククラウドの設定ミス、暴露された認証情報、その他の外部情報やプロセスを監視するプロセスを指します。これらの資産の目録をすべて作成することはできないため、目標は、クラウドのセキュリティ態勢の評価に役立てるために、できるだけ近いスナップショットを取得することです。
上述のとおり、設定ミスは脆弱性の状況に大きな影響を与える可能性があります。したがって、クラウド環境を適切に設定することは、意図的な攻撃や予期せぬ設定ミスなどの多彩な脅威からクラウド環境を保護するために重要なのです。
EASMソリューションは、組織の攻撃対象領域の一部である可能性のある不正な外部資産を特定することに重点を置きます。 このソリューションには、積極的な脅威ハンティングを可能にする脅威フィードの提供を通じ、悪意のある者が実際に何をしており、それがどのように内部環境に浸透するのかを理解できるようにするための機能が求められます。
また、自社ネットワーク外部にある攻撃対象領域から得られる 外部の脅威インテリジェンスを活用して 、最も近いネットワークエンドやポイントから、ディープウェブや ダークウェブまで、リスクや脅威を適切に検出して優先順位を付けることができる必要があります。 これには、全体的な S/N 比が低下するというメリットもあります。
外部攻撃可能領域のマッピングに関する課題は数多くありますが、有能なSOCの解決策がないわけではありません。チームメンバー全員が一同に会している場合でも、世界中に分散している場合でも、全世界に散らばる従業員に対して最新の攻撃可能領域を保護することは不可欠です。こうした課題のうち、主なものを見てみましょう。
クラウド上で業務の大部分が維持される現代の一時的な環境においては、オンプレミスのみだったかつての環境のような定義された境界は存在しません。組織のクラウドをホストし、収容する分散型ITエコシステムの課題は、ローカルネットワークを保護するファイアウォールなどのプロトコルを超えて、国やグローバルな境界を監視し、保護することが難しい点にあります。
従来サイロ化されていたチーム 間のコラボレーションは、芽生えつつある脅威を監視し、攻撃可能領域をマッピングしようとする際、特に、リモートワーカー、地域オフィス、多国籍企業のネットワークなど、チームが地理的に分散している場合には、課題となる可能性があります。最近では、これまでサイロ化されていたチームを統合し、脅威の防止という共通の目標に向かって取り組むことができる共有のビューと言語を提供できるソリューションに注目が集まっています。
ネットワークに常に参加する既知の資産と未知の資産の間で、攻撃可能領域は日々拡大し、変化します。ほとんどの場合、これは会社の成長によるものであり、喜ばしいことですが、才能あるSOCならば、境界の拡張を可能な限り安全なものにしたいと考えるでしょう。運用を自動化すると、拡大する攻撃可能領域の保護にかかる時間が確実に短縮され、開発者とセキュリティアナリストがより緊密に連携して脆弱性の優先順位を付けることが可能となります。
これには、特に脅威にさらされている可能性のあるシステムや資産の検出のための広範なスキャンが含まれます。この種の資産には、アプリケーションのビルドから、企業のネットワークにアクセスする個人の資産、サプライチェーンパートナーのハードウェアやソフトウェアまで、あらゆるものが含まれます。存在するほぼすべての企業が複数のベンダーのサービスを利用しており、こうしたベンダー自身もさらに複数のベンダーのサービスを利用している現状を踏まえれば、最後の点は特に懸念されます。
この複雑さと非常に多数のパートナーネットワークへの依存から、検出にとどまらず、リアルタイム領域のスキャンと可視化の加速の必要性が浮き彫りになります。脅威アクターが侵害の手口を加速させ、悪用までの時間が短縮し続ける中、セキュリティ組織はこうした動きに歩調を合わせる必要があります。
さまざまな種類の定期的なテストを行うことで、アプリケーションとシステムが適切に保護されていることを確認することができます。テストの結果から、境界を強化するためにどのような行動を取るべきかを判断することができます。
潜在的なリスクや脅威に関するコンテキストを把握することが重要です。データが無秩序に拡大し、複雑化する中、攻撃可能領域への対応は難しくなる一方で、脅威を完全に理解し、脆弱性管理をペースアップしようとしているセキュリティ運用(SecOps)チームにとって大きな課題となります。
コンテキスト化された脅威インテリジェンスは、技術スタックのすべての層に対する洞察を提供し、リスクと脅威に効果的に優先順位を付け、対応する上で役立ちます。これは単にインテリジェンスの提供にとどまらず、パブリックアクセシビリティ、脆弱性の存在、リソースがビジネスクリティカルなアプリケーションに関連付けられているかどうかの理解も含まれます。ネットワーク上のすべての資産と同様、脆弱性には一定レベルのリスクが伴うため、最も機微なリスクが実際の脅威になる前に、優先的に修復する戦略をとることが極めて重要です。
1つのセキュリティ組織(SOCなど)で発生する可能性のある膨大なセキュリティ問題の数は、必ずしも脅威を阻止し、脆弱性にパッチを適用するチームの能力を表すものではありません。最新の攻撃可能領域には、オンプレミス環境とクラウド環境の両方が含まれます。この種の無秩序な増加の要因としては、各リソースとサービスへのロールの割り当て時にIDおよびアクセス管理(IAM)チームが何百万ものIDを処理しなければならない場合などが考えられます。これらの各ロールにはそれぞれ、悪用可能なアクセス許可と特権があります。
昨年には、組織の88%が、アラートのコンテキストと優先順位付けの改善に関して特に支出を増やす計画があると報告しました。リスク分析やワークフローフレームワークなどのプロセスを自動化することで、タイムリーな修復を最も必要としているインシデントを評価する際の複雑さと困難さを大幅に軽減できます。
攻撃可能領域を可能な限り縮小する社内コンプライアンス、さらに該当する場合は規制の基準を実装し、継続的に強制することが重要です。
コンプライアンスポリシーの厳密な遵守には、攻撃可能領域の縮小と対応時間の短縮という利点があります。また、可能な限り自動化を組み込むことで、攻撃や侵害が発生した場合の爆発範囲を縮小することができます。セキュリティのシフトレフトは、こうした基準が迅速な対応文化を生み出すことができる一例で、ビルドの実行中と展開後に継続的にテンプレートスキャンを行うことで、セキュリティをアプリケーションの開発/展開プロセスに早期に統合することを指します。
ネットワークが拡大するにつれて、攻撃可能領域も拡大します。つまり、攻撃者が侵入経路を見つけ、最大限に利用するためのスペースが拡がることになります。上述のとおり、状況に応じた脅威インテリジェンスと優先順位付けにより、次第に攻撃者のように動作できるようになり、悪用される前に一歩先に手を打ち、問題を修復することが可能になります。修正の自動化は、次々と発生する潜在的な脅威に迅速に対処できるようにする上で重要な役割を果たします。