アタックサーフェスとは?

アタックサーフェスとは、企業のデジタルネットワークによって生み出される脆弱性全体を指します。この場合、ネットワークとは「表面(サーフェス)」を意味し、脅威アクターは、アクセスが可能なあらゆる箇所からこの表面への侵入を試みます。

米国政府の『National Initiative of Cybersecurity Careers and Studies』によると、アプリケーションのアタックサーフェスは、攻撃者がソフトウェアに触れることができるエントリーポイントの数を表します。アタックサーフェスが大きいほど、攻撃者が攻撃に使用できる方法も多くなり、反対にアタックサーフェスが小さいほど、攻撃者が脆弱性を発見する可能性は低くなり、システム内で大きな影響を与える悪用のリスクが低くなります。

ある脅威に対応した後に、また別のアタックサーフェスで別の脅威に対処したりしていると、アタックサーフェス全体の保護とは、まるでイタチごっこのように思えるかもしれません。

しかしセキュリティベンダーは、蔓延するこの種の不審なアクティビティの猛攻撃に対処するためにソリューションを進化させることで、脅威の効果的な防止と、企業組織の事業の運営を支援しています。

アタックサーフェスと攻撃ベクトルの比較

アタックサーフェスについてはすでに触れましたが、それでは攻撃ベクトルとは何を指すのでしょうか。「ベクトル」とは、あるものが別のものにアクセスするための手段であることは自明ですが、サイバーセキュリティの観点では何を意味するのでしょうか。また、アタックサーフェス全体との違いはどこにあるのでしょうか。

攻撃ベクトルとは、脅威アクターがネットワークにアクセスしようとする単一の経路を指します。アタックサーフェスは、脅威アクターが悪用する可能性があるネットワーク全体に沿ったすべてのベクトルで構成されます。

攻撃ベクトルは、基本的に、攻撃者がシステムに侵入した箇所にあります。そこから、攻撃者は目的の情報またはリソースへの攻撃パスをたどります。例えば、マルウェアには、トロイの木馬、ウイルス、ワームの3つの主要なベクトルタイプがあり、電子メールなどの一般的な通信を利用します。

攻撃ベクトルの一つひとつは小さくとも、こうしたエントリーポイントが数多く作られた結果、脆弱性が高まり、一般的なネットワークがアタックサーフェスとして拡大する可能性が出てきます。ネットワークが動的な攻撃対象領域になっている場合は、Extended Detection and Response (XDR)クラウドセキュリティ脆弱性リスク管理(VRM)など、セキュリティプログラム全体について検討を始めることをお勧めします。

フィッシング詐欺などのソーシャルエンジニアリング攻撃が行われる場合、コンピューター、システム、セキュリティ、ネットワークを操作する人間も攻撃ベクトルとなりえます。

アタックサーフェスの種類

アタックサーフェスが具体的にどのようなものとなるかを考える際には、個々の組織の観点からのコンテキスト化が役立ちます。ビジネスごとに目標は異なるため、アタックサーフェスも異なり、各組織に固有の構成に従ってセキュリティを確保する必要があります。

デジタルアタックサーフェス

デジタルアタックサーフェスとは、あらゆるデバイス上に展開されたウェブアプリケーション、APIサイバーセキュリティプログラムなど、ネットワーク上で「デジタル」、つまり物理的でないものとして分類されるあらゆるものを指します。企業がサプライチェーンパートナーと契約を結んでいる場合、そのアタックサーフェスは特定の組織の境界を越えて自然に広がります。

物理的なアタックサーフェス

物理的なアタックサーフェスには、ネットワークの維持に不可欠な非デジタルハードウェアが含まれ、サーバー、ポート、配線やネットワークケーブル、電話/ノートパソコン/スマートウォッチ/スマートヘッドフォンなどの物理エンドポイントやデータセンターなどがすべて対象となります。

この種のアタックサーフェスへの攻撃では、攻撃者となりうる人物は、こうした有形資産を操作するために物理的に取得やアクセスを行う必要があるため、さまざまな動作が必要となります。

ソーシャルエンジニアリングのアタックサーフェス

前述したように、ソーシャルエンジニアリングに関連する攻撃対象は主に人間となり、こうした手法には、フィッシング攻撃ハニーポット、リンクスプーフィング、ピギーバッキングなどが含まれます。この種の攻撃は、ネットワーク上の人間のユーザーに、目にしている内容が完全に正当であると信じ込ませるように設計されています。

具体的には、エンドポイントにマルウェアをインストールするリンクをユーザーにクリックさせるために作られた偽メール、バッジを忘れたと実際の従業員に信じ込ませようとしてオフィスに侵入する人物、上司や社内の誰かからと思われるテキストメッセージをユーザーに送信するソーシャルエンジニアリングの試みなどです。

アタックサーフェスを特定する方法

アタックサーフェスに沿って脅威アクターが攻撃する可能性のある経路を特定することは、サイバーセキュリティプログラムのうち、動的で多面的、かつ継続的となる最も重要な部分を作成するための演習となります。

アタックサーフェス管理

アタックサーフェス管理(ASM)とは、セキュリティチームが脆弱性にパッチを当て、ネットワーク上の新たな脅威を防御できるよう、絶えず変化するネットワーク環境の可視性を維持するプロセスです。

外部アタックサーフェス管理

外部アタックサーフェス管理(EASM) は、インターネットに接続された内部ビジネス資産を特定し、脆弱性、パブリッククラウドの設定ミス、認証情報の公開、または攻撃者によって悪用される可能性のあるその他の外部情報とプロセスを監視するプロセスです。

サイバー資産アタックサーフェス管理

サイバー資産アタックサーフェス管理(CAASM)は、すべてのサイバー資産の統合的な把握を可能にすることで、セキュリティ担当者が、データの統合や変換、分析などを通じて、公開されている資産と潜在的なセキュリティギャップを把握することができます。これは、所有権、ネットワーク、およびビジネスコンテキストを備えた資産情報の信頼できるソースとなることを目的としています。

デジタルリスク保護

デジタルリスクプロテクション(DRP)は、デジタル資産とブランドの評判を外部の脅威から保護するプロセスです。DRPソリューションは、組織が脅威アクターの活動を利用して攻撃を未然に防ぐことができるという前提で運用されています。DRPは、サイバー脅威インテリジェンス(CTI)の監視から得られた洞察を活用して、実用的な保護対象領域を明らかにします。

アタックサーフェス低減のベストプラクティス

脅威アクターが悪用しようとしている多数の脆弱性/ベクトル/侵入ポイントをセキュリティ組織が最小限に抑える上で役立ついくつかのベストプラクティスを見てみましょう。

  • 自動化の活用:セキュリティ組織は、古いデータ(古いパスワード、元従業員のデータ、古いバックアップなど)の削除に自動化を使用したり、アクセスしようとする脅威アクターのかなりの割合を排除できるIDおよびアクセス管理(IAM)ポリシーを導入することができます。脆弱性スキャンを自動化することで、弱点を減らし、アタックサーフェスを減らすこともできます。
  • 従業員の教育: 多くの場合、従業員はセキュリティチェーンの中で最も脆弱な部分となります。攻撃者がアタックサーフェスに侵入する際にデジタルフットプリントを使用して認証情報を盗む方法についてチームのトレーニングを行うことは必須です。例えば、個人を特定できる情報(PII)や一般にアクセス可能な情報を使用しないことが重要であり、こうしたトレーニングは、最も機密性の高いシステムにアクセスできる主要な従業員を特定し、それらの重要なシステムをさらに保護するための教育に時間を投資する上でも役立ちます。
  • デジタルアタックサーフェスの理解:セキュリティ組織が弱点の在り処を特定するには、自社のデジタルフットプリント全体を理解し、攻撃者と同じ視点で眺める必要があります。デジタル資産と、それらがバックエンドでどのように結びついて相互に影響し合うかを社内で徹底的に調べることはもちろん重要ですが、基本的なインターネット検索技術を使用すれば、非従業員や攻撃者が行うのと同様の方法で、インターネット上の自社の存在をマッピングし、迅速に把握することができます。
  • 継続的な脅威エクスポージャー管理(CTEM)の開始:CTEMは主に、セキュリティチームが特定のビジネスにとって最も重要な継続的または喫緊の脅威を明らかにし、修復を支援することに重点を置いたフレームワークです。このフレームワークには、セキュリティ組織が脅威の深刻度に応じて優先順位を付けられるよう、攻撃シミュレーションを含めることができます。

クラウド リスク管理(CRM)、拡張検知と対応(XDR)、そしてAIを活用したクラウド異常検知などのツールを活用することで、セキュリティチームのアタックサーフェスを削減し、迅速かつ正確に脅威を排除することができるようになります。

攻撃可能領域のセキュリティの詳細を読む

ブログ:サイバー資産のアタックサーフェス管理 101

アタックサーフェスのセキュリティ:最新のRapid7ブログ記事