外部アタックサーフェス管理(EASM)とは?
外部アタックサーフェス管理(EASM)とは、パブリックインターネットに面している内部ビジネス資産を特定し、攻撃者に悪用される可能性のある脆弱性、パブリッククラウドの誤設定、漏えいした認証情報、その他の外部情報やプロセスを監視するプロセスを指します。この取り組みは、クラウドのセキュリティ態勢を明確に把握するという目標に沿ったものです。
上述のとおり、誤設定は脆弱性の状況に大きな影響を与える可能性があります。クラウド環境の適切な設定とは、意図的な攻撃や意図せぬミス(設定ミスや不適切なセキュリティ意識など)など、攻撃への取り掛かりとなってしまうようなさまざまな脅威からクラウド環境を守るためにデジタルリスク対策を実施することを意味します。
内部アタックサーフェス管理と外部アタックサーフェス管理:違いは何ですか?
内部 アタックサーフェス管理 は、企業のファイアウォールや保護セキュリティ対策の背後にある資産(フィッシングなどの ソーシャルエンジニアリング の影響を受ける可能性のある人間を含む)のセキュリティに対処します。こうした資産は理論的にはパブリックインターネットに公開されることはなく、企業の内部運営や企業秘密を保護するための防御手段の背後に隠されています。
EASMは、ASMの一部ではありますが、内部セキュリティ対策の保護の枠を超えた、企業のより商業的な活動の保護に重点を置いています。これには、公開ウェブサイト、アプリ、電子商取引業務、さらに攻撃者がこれらのデジタル資産を悪用した場合にアクセスされる可能性のあるバックエンドが含まれます。
EASM と CAASM : 主な違いの説明
EASM と CAASM(Cyber Attack Surface Management) の主な違いは、EASM は、インターネット上で事実上だれもがアクセスできる公開資産の検出と保護に主眼を置いている点です。CAASM は内部と外部の両方のアタックサーフェスに焦点を当て、セキュリティ組織に境界線内外両方のアタックサーフェスに対する最大限の可視性を提供します。CAASM プラットフォームは、組織の各種セキュリティ対策ソリューションとAPIを介して統合され、その全体像を提供します。
外部アタックサーフェス管理(EASM)が重要な理由
外部アタックサーフェス管理(EASM)が重要なのは、公共のインターネットに面した、つまり外部の資産に悪用や攻撃が及ぶ可能性があるためです。この外部アタックサーフェスにより、脅威の攻撃者が内部アタックサーフェスの悪用の取り掛かりとなる可能性があることを覚えておくことが重要です。
一般公開されるたびに新しい攻撃ベクトルが発生する中、企業のアタックサーフェスの一部となる外部資産を特定するEASMソリューションの能力は向上しています。EASMソリューションは、脅威フィードを活用して脅威ハンティングを実行できるものであるべきです。これは、脅威アクターが実際に何を悪用しているかを理解し、チームメンバーを結集して潜在的な問題に積極的に対処する価値があるかどうかを理解する上で重要です。脅威の兆候を発見し対処する上で重要な側面には、以下が含まれます。
- データの収集と処理
- 文書化とレポートの作成
- チーム間のコラボレーションとコミュニケーション
- 人間とテクノロジーの協働
EASM は、境界後の攻撃対象領域から外部の脅威インテリジェンスを活用して、最も近いネットワークのエンドポイント から、ディープウェブやダークウェブに至るまで、リスクと脅威を適切に検出し、優先順位を付けることもできるようになります。企業が日々、パブリックインターネット上に配置する資産の数は本当に驚くべきものであり、こうした資産のそれぞれがオンラインとなるにつれて、悪用を防止するための考慮が個別に必要になります。
外部のプロアクティブな脅威インテリジェンスは、企業におけるアタックサーフェスを最大限に保護したいと考えているセキュリティ組織にとって必須です。動的なアタックサーフェスに沿ったインシデントにそれぞれ対応できるようにするには、ネットワーク境界を越えて予防措置を講じることが重要です。
EASMの機能の仕方
EASMは、インターネットに接続された公開資産を継続的に監視し、攻撃ベクトルとして悪用される可能性のある潜在的な脆弱性を検出することで機能します。これが発生した場合、脅威アクターは組織の内部アタックサーフェスに侵入する可能性があります。
実際に Forrester社 は、EASM が「ツールまたは機能がインターネットに接続された資産を継続的にスキャン、検出、列挙し、発見された資産の一意のフィンガープリントを確立し、既知と未知の資産の両方のエクスポージャーを特定する」形で機能するとしています。Forrester社が特定した、EASM の機能の詳細に説明できるユースケースをいくつか見てみましょう。
- IT 資産の検出 :インターネットに接続された未知のアセットを動的に検索し、オンプレミスの資産検出ツールとプロセスを補完
- IT 資産インベントリ管理 :IT資産の資産価値を表すデータの取得と更新を自動化し、資産の所有権を特定します。
- 脆弱性リスク管理(VRM):インターネットに接続された資産を列挙し、修復のためにVRMチームとツールに資産エクスポージャーを通知
- クラウドセキュリティ態勢管理(CSPM):クラウド資産の誤った構成や脆弱な構成を検出し、クラウドポリシー違反とコンプライアンスリスクを特定
- 合併および買収のデューデリジェンス支援:買収対象の未知のインターネット対応資産を発見して列挙し、リスクを評価してデューデリジェンスの次のステップを決定します
これらのユースケースから、公開インターネットに接続し、組織の攻撃対象領域を内部から外部へ、つまりグローバルに拡大するという明確な目的で、毎日どれだけの資産が作成されているかを理解し始めることができます。外部脅威インテリジェンスフィードは、外部のアタックサーフェスでの脅威を軽減し阻止するために重要となります。
EASMの機能とは?
EASMの機能の一部については上記のさまざまなセクションですでに説明しましたが、いくつかの追加を加えてここでまとめます。
厳選され、微調整された検知
プロバイダーによっては、脅威インテリジェンスと検知エンジニアリングチームがSaaS を通じて検知を提供できる場合があります。つまり、最新のアラート、アップデート、脅威インテリジェンスへのアクセスが可能となります。EASM の実践者は最新のインテリジェンスで脅威管理 ツールを継続的に強化できるようになります。
SOCの拡張
セキュリティオペレーションセンター(SOC) は、EASM プラットフォームを活用して、境界後と見なされるすべての資産の構成ミス データに迅速にアクセスできます。そこから、優先順位付けプロセスを実行して、どの資産に直ちに対応すべきかを決定できます。事前対応の面では、EASM を活用することで、演習を行う レッド 、 ブルー 、 パープル の各チームに脅威情報を収集させることができます。
EASMプラットフォームは、主に、実務者が外部に面している重要な資産を可視化し、攻撃者が脆弱性を発見する前に優先順位を付けてそれを修復できるようにするものであるべきです。
EASMのメリットとは?
EASMの利点は大きく、プロアクティブなセキュリティ対策の有効性とビジネス全体の評判に信じられないほど良い影響を与える可能性があります。
- リスクの軽減:アタックサーフェスの低減は、全体的なリスクの軽減と同義です。アタックサーフェスは必然的に変化するため、外部リスクに関連して動的スキャンを実行できるソリューションや、潜在的な脅威や大きな脆弱性を示すテレメトリを利用することが重要となります。
- コンプライアンスの維持:EASMプラットフォームがネットワークのコンプライアンス、特に世界中の外部環境で運用されているネットワークのコンプライアンスにおけるギャップを特定できれば、セキュリティ組織はクラウドコンプライアンスのギャップに対処し、社内外の規制機関へのコンプライアンスを維持することができます。
- 脆弱性の管理:境界が拡大しつつある現在、新しい脆弱性と古い脆弱性の双方が脅威アクターにとっての攻撃の取り掛かりとなる可能性があります。すべての脆弱性が悪用されるわけではありませんが、セキュリティ組織は悪用されて始めて脆弱性を知るような事態を避けたいはずです。外部のアタックサーフェスに沿って、脆弱性をプロアクティブに管理することが重要です。
- 脅威インテリジェンスの高度化:EASMプラットフォームを使用してポストペリメーターに対応することで、脅威が影響を与える前に軽減できるようになります。アラートとテレメトリにさらに詳しいコンテキストを追加すれば、より迅速な対応と優先順位付けが可能になります。
- クラウドでの安全な運用:EASMの慣行をセキュリティ組織に適切に統合すれば、パブリックインターネットに公開されているビジネス資産の完全なインベントリを生成し、前述のように、チームの対応に役立つ設定ミスデータへのアクセスを提供する役割を担うことができます。