外部アタックサーフェス管理（EASM）

外部アタックサーフェス管理（EASM）が重要な理由

外部アタックサーフェス管理（EASM）が重要なのは、公共のインターネットに面した、つまり外部の資産に悪用や攻撃が及ぶ可能性があるためです。この外部アタックサーフェスは、脅威アクターが内部アタックサーフェスの悪用の取り掛かりとなる可能性があることを覚えておくことが重要です。

一般公開されるたびに新しい攻撃ベクトルが発生する中、企業のアタックサーフェスの一部となる外部資産を特定するEASMソリューションの能力は向上しています。EASMソリューションは、脅威フィードを活用して脅威ハンティングを実行できるものであるべきです。これは、脅威アクターが実際に何を悪用しているかを理解し、チームメンバーを結集して潜在的な問題に積極的に対処する価値があるかどうかを理解する上で重要です。脅威の兆候を発見し対処する上で重要な側面には、以下が含まれます。

• データの収集と処理
• 文書化とレポートの作成
• チーム間のコラボレーションとコミュニケーション
• 人間とテクノロジーの協働

EASMは、ネットワーク境界付近にあるアタックサーフェスから得られる外部の脅威インテリジェンスを活用して、エンドポイントからディープウェブやダークウェブに至るまで、リスクと脅威を適切に検出して優先順位を付けることができる必要があります。企業が日々、パブリックインターネット上に配置する資産の数は本当に驚くべきものであり、こうした資産のそれぞれがオンラインとなるにつれて、悪用を防止するための考慮が個別に必要になります。

外部のプロアクティブな脅威インテリジェンスは、企業におけるアタックサーフェスを最大限に保護したいと考えているセキュリティ組織にとって必須です。動的なアタックサーフェスに沿ったインシデントにそれぞれ対応できるようにするには、ネットワーク境界を越えて予防措置を講じることが重要です。

EASMの機能の仕方

EASMは、インターネットに接続された公開資産を継続的に監視し、攻撃ベクトルとして悪用される可能性のある潜在的な脆弱性を検出することで機能します。これが発生した場合、脅威アクターは組織の内部アタックサーフェスに侵入する可能性があります。

実際にForresterは、EASMが「ツールまたは機能がインターネットに接続された資産を継続的にスキャン、検出、列挙し、発見された資産の一意のフィンガープリントを確立し、既知と未知の資産の両方のエクスポージャーを特定する」形で機能するとしています。Forresterが特定した、EASMの機能の詳細に説明できるユースケースをいくつか見てみましょう。

• 資産の検出：インターネットに接続された未知のアセットを動的に検索し、オンプレミスの資産検出ツールとプロセスを補完
• 資産インベントリ管理：IT資産を表すデータの取得と更新を自動化し、資産の所有権を特定
• 脆弱性リスク管理（VRM）：インターネットに接続された資産を列挙し、修復のためにVRMチームとツールに資産エクスポージャーを通知
• クラウドセキュリティ態勢管理（CSPM）：クラウド資産の誤った構成や脆弱な構成を検出し、クラウドポリシー違反とコンプライアンスリスクを特定
• 合併および買収のデューデリジェンス支援：買収対象のインターネットに接続された未知の資産を発見して列挙し、リスクを評価してデューデリジェンスの次のステップを決定

こうした形での活用により、パブリックインターネットに接続し、組織のアタックサーフェスを内部から外部、ひいてはグローバルに拡大することを明確な目的に、毎日どれだけの資産がスピンアップされているかを理解できるようになります。外部脅威インテリジェンスフィードは、外部のアタックサーフェスでの脅威を軽減し阻止するために重要となります。

EASMの機能とは？

EASMの機能の一部については上記のさまざまなセクションですでに説明しましたが、いくつかの追加を加えてここでまとめます。

厳選され、微調整された検知

プロバイダーによっては、脅威インテリジェンスと検知エンジニアリングチームがSaaS配信を通じて検知を提供できる場合もあります。この場合、最新のアラート、アップデート、脅威インテリジェンスへのアクセスが可能となり、EASMの実践者は最新の情報で脅威管理ツールを継続的に強化できるようになります。

SOCの拡張

セキュリティ オペレーションセンター（SOC）は、EASMプラットフォームを活用して、ポストペリメーターと考えうるすべての資産の構成ミスデータに迅速にアクセスできます。そこから、優先順位付けプロセスを実行して、どの資産に直ちに対応すべきかを決定できます。事前対応の面では、EASMを活用することで、演習を行うレッド、ブルー、パープルの各チームに脅威情報を収集させることができます。

EASMプラットフォームは、主に、実務者が外部に面している重要な資産を可視化し、攻撃者が脆弱性を発見する前に優先順位を付けてそれを修復できるようにするものであるべきです。

EASMのメリットとは？

EASMの利点は大きく、プロアクティブなセキュリティ対策の有効性とビジネス全体の評判に信じられないほど良い影響を与える可能性があります。

• リスクの軽減：アタックサーフェスの低減は、全体的なリスクの軽減と同義です。アタックサーフェスは必然的に変化するため、外部リスクに関連して動的スキャンを実行できるソリューションや、潜在的な脅威や大きな脆弱性を示すテレメトリを利用することが重要となります。
• コンプライアンスの維持：EASMプラットフォームがネットワークのコンプライアンス、特に世界中の外部環境で運用されているネットワークのコンプライアンスにおけるギャップを特定できれば、セキュリティ組織はクラウドコンプライアンスのギャップに対処し、社内外の規制機関へのコンプライアンスを維持することができます。
• 脆弱性の管理：境界が拡大しつつある現在、新しい脆弱性と古い脆弱性の双方が脅威アクターにとっての攻撃の取り掛かりとなる可能性があります。すべての脆弱性が悪用されるわけではありませんが、セキュリティ組織は悪用されて始めて脆弱性を知るような事態を避けたいはずです。外部のアタックサーフェスに沿って、脆弱性をプロアクティブに管理することが重要です。
• 脅威インテリジェンスの高度化：EASMプラットフォームを使用してポストペリメーターに対応することで、脅威が影響を与える前に軽減できるようになります。アラートとテレメトリにさらに詳しいコンテキストを追加すれば、より迅速な対応と優先順位付けが可能になります。
• クラウドでの安全な運用：EASMの慣行をセキュリティ組織に適切に統合すれば、パブリックインターネットに公開されているビジネス資産の完全なインベントリを生成し、前述のように、チームの対応に役立つ設定ミスデータへのアクセスを提供する役割を担うことができます。

攻撃可能領域のセキュリティの詳細を読む

攻撃可能領域のセキュリティに関するニュース： 最新のRapid7ブログ記事

Rapid7ブログ：サイバー資産の攻撃可能領域管理の基本