IT用語の説明

アタックサーフェス管理とは

アタックサーフェス管理(ASM)は、攻撃者の視点に立ち、シャドーIT、サードパーティシステム、業務部門アプリケーションなど、IT部門によるガバナンスと管理が行き届かない資産をセキュリティチームが可視化できるようにします。

ASMは、人、プロセス、テクノロジー、サービスを組み合わせ、組織の内部および外部資産を継続的に検出、インベントリ化、管理します。最終的な目標は、特定された露出箇所が悪意ある攻撃者に悪用される前に確実に対処することです。 

ASMには、サイバー資産アタックサーフェス管理(CAASM)、外部アタックサーフェス管理(EASM)、デジタルリスク保護サービス(DRPS)の3つの領域があります。各領域は特定のユースケースに重点を置いており、CAASMは資産と脆弱性、EASMは外部資産、DRPSはデジタル資産を対象とします。 

関連情報:Ivantiのサイバーセキュリティ調査レポートシリーズ:アタックサーフェス管理 

サイバー資産アタックサーフェス管理(CAASM)とは 

CAASMは、エンドポイント、サービス、デバイス、アプリケーションなど、組織の内部および外部資産について、完全で最新かつ統合されたビューを提供します。 

CAASM製品は、API連携を通じてチケット管理システムに加え、既存の内部ソースである資産検出IT資産管理エンドポイントセキュリティ脆弱性管理パッチ管理ツールなどからデータを収集することで、これを実現します。 

その後、収集したデータを自動的に集約、正規化、重複排除し、単一のユーザーインターフェースに表示することで、ITチームやセキュリティチームが資産データを手作業で収集・照合する必要をなくします。CAASM製品では、チームが収集データに対してクエリを実行し、セキュリティ脆弱性を特定し、セキュリティ制御のギャップを発見し、問題を修復することもできます。 

外部アタックサーフェス管理とは 

その名のとおり、外部アタックサーフェス管理は、アタックサーフェスを外部から内側に向けて捉える視点に重点を置き、インターネットに公開された資産やシステム、および関連する脆弱性を検出します。 

EASMが検出する資産の例には、Webアプリケーション、IP、ドメイン名、SSL証明書、クラウドサービスなどがあります。EASMが特定する脆弱性の種類には、公開されたサーバー、認証情報、パブリッククラウドサービスの設定ミス、ディープWebやダークWebでの情報開示、サードパーティソフトウェアコードの脆弱性などが含まれますが、これらに限定されません。 

EASM製品は、資産検出に加えて、一般的に次のような機能も提供します。 

  • クラウド、IT、IoT、OT環境に対する能動的な外部スキャン。 
  • 資産を分析し、リスクがあるか、脆弱であるか、または異常な動作をしているかを判断。 
  • ビジネスへの影響や悪意ある攻撃者に悪用される可能性などの要因に基づく資産の優先順位付け。 
  • 修復ワークフロー、およびチケット管理システム、セキュリティオーケストレーション・自動化・対応(SOAR)ソリューション、その他ツールとの連携。 

デジタルリスク保護サービス(DRPS)とは 

DRPSは、テクノロジーとサービスを組み合わせ、外部脅威からデジタル資産とデータを保護します。企業境界の外側、すなわちオープンWeb、ディープWeb、ソーシャルメディア、アプリマーケットプレイスへと検出と監視を拡張し、IPアドレスやブランド関連資産を含む企業のデジタルリソースに対する脅威を探索します。 

組織のオンライン活動がますます増える中で、セキュリティチームがこうした機能を導入し、企業ネットワーク内の脅威だけでなく、その外側にも目を向けることが重要です。DRPSは脅威を特定すると同時に、脅威アクターと、彼らが悪用するツール、戦術、プロセスに関する実用的なインテリジェンスを提供します。 

CAASM、EASM、DRPSの違いとは 

CAASM、EASM、DRPSはいずれもASMの構成要素であり、セキュリティ資産管理と問題の優先順位付けに重点を置いています。こうした共通点により、これらのソリューションの違いが分かりにくくなることがあります。 

次の表は、CAASM、EASM、DRPSの違いをまとめたものです。 

機能 / ケイパビリティ CAASM EASM DRPS 
重点領域 資産と脆弱性 外部資産 デジタルリスク 
対象資産 
  • エンドポイント 
  • サーバー 
  • デバイス 
  • アプリケーション 
  • Webアプリケーション 
  • IP 
  • ドメイン名 
  • SSL証明書 
  • クラウドサービス 
  • IPアドレス 
  • ドメイン 
  • ブランド関連資産 
構成要素 
  • テクノロジー 
  • テクノロジー
  • サービス 
  • プロセス 
  • テクノロジー
  • サービス 
機能 
  • データの収集、集約、正規化、重複排除、提示。 
  • 収集データに対するクエリ実行。 
  • セキュリティ脆弱性の特定。 
  • セキュリティ制御のギャップの発見。 
  • 問題の修復。 
  • 資産の検出。 
  • クラウド、IT、IoT、OT環境に対する能動的な外部スキャンの実施。 
  • 資産の分析。 
  • 資産の優先順位付け。 
  • 修復ワークフローの活用。 
  • サードパーティのチケット管理システム、SOARソリューション、その他ツールとの連携。 
  • 企業境界の外側にある脅威の検出と監視。 
  • 脅威アクターに関する実用的なインテリジェンスの取得。 
  • 進行中の脅威の軽減。 
  • 将来の脅威を阻止し、デジタル資産を保護するために必要な活動の実施。 
データソース 

既存の内部ツールとのAPI連携によるパッシブデータ収集: 

  • 資産検出。 
  • ITAM。 
  • エンドポイントセキュリティ。 
  • 脆弱性管理。 
  • パッチ管理。 
  • チケット管理システム。 

CAASMツールは通常、DRPSツールやEASMツールからもデータを収集します。 

  • EASMによって実行されるインターネット全域の能動的スキャン。 
  • パッシブDNS。 
  • WHOIS。 

監視対象: 

  • オープンWeb。 
  • ディープWeb。 
  • ダークWeb。 
  • ソーシャルメディア。 
  • アプリマーケットプレイス。 

アタックサーフェス管理が重要な理由 

主要なセキュリティフレームワークでは、強固なセキュリティ態勢を確立するうえで、アタックサーフェスを把握することが重要であるとされています。NIST CSFとCIS Controlsはいずれも、これを基盤となる機能として位置付けています。 

アタックサーフェス管理がこれほど重要なのは、アタックサーフェス全体を可視化できなければ、どの脆弱性が組織をリスクにさらしているのか把握できないためです。その結果、組織のリスク態勢を十分に把握できず、リスク許容度の範囲内に収まっているか、また最もリスクの高い露出箇所に対処するために取り組みをどのように振り向けるべきかを判断できません。 

アタックサーフェスが急速に変化し拡大する中で、アタックサーフェス管理の重要性はますます高まる一方です。セキュリティチームは、可視性のない状態で運用を続けるわけにはいきません。

関連情報: アタックサーフェス検出:組織のアタックサーフェスを特定する方法