アタックサーフェス管理

現在の問題

企業は、自社ネットワーク上のデバイス、ツール、アセットで構成され、急速な成長を見せるエコシステムを監視しています。いずれの要素も急速な増加状態にあります。 しかしながら、拡大するデジタルユニバースに対する可視性は限定された状態に甘んじています。

Ivantiの調査対象となったIT担当者の半数以上が、今後12 か月の間に損害となるセキュリティインシデントを阻止できるようには思えないと回答しています。 また3人に1人以上が、1年前に比べると脅威を検出してインシデントに対応する準備がより劣っていると回答しています。

これが重要な理由とは

問題は、複雑さ (デバイスやアセットの急増による無秩序な拡散や非効率性)には限られません。 成長し続けるエコシステムを受けて、脆弱性と露出がさらに進み、データ侵害やダウンタイム、ノンコンプライアンス、評判リスクなどに結びつくことが考えられます。

こういった理由から、現段階において、アタックサーフェス管理 (ASM) がサイバーセキュリティ防御におけるミッションクリティカルとされています。 (Ivantiの調査によれば、ASMに対する投資の拡大が示されています。)

アタックサーフェス管理戦略は、新規の脅威やアクティブなエクスプロイト攻撃を継続的に検出して可視化させるとともに、脆弱性の優先順位付け、ならびに管理に向けたデータドリブンのアプローチを主導します。

攻撃がより巧妙になるにつれ、企業サイドはこの攻撃者の立場からプランと戦略を練って立ち向かわなければなりません。 攻撃はどこから始まるのでしょうか？ 真っ先に侵入されるシステムとは？ 攻撃はどのように展開される？

現在の問題

企業は、交絡するさまざまな要因によって、軽減すべき脆弱性の優先順位を付けられなくなっています。

外部要因: 急速に進化する脅威的状況、かつてない量とペースをともなう脆弱性と攻撃

内部要因: 攻撃対象領域に対する可視性の欠如、既存の脆弱性重大度を評価する能力の欠如、対応の調整と伝達にまつわる課題

企業の64%が、セキュリティパッチの優先順位を決定するための方法論の文書を有するものの、憂慮すべき事実が明らかにされています。

セキュリティ専門家は、ほぼあらゆる種類の脆弱性 (アクティブなエクスプロイト、コンプライアンスに要されるパッチ、リーダーシップからの指示など) を少なくとも「中程度の緊急性」、さもなければ「高い緊急性」と評価しています。 さらに、あらゆる脆弱性が優先されるようなケースにおいては、いずれも優先されなくなっています。

これが重要な理由とは？

資格を持ったセキュリティの専門家が不足しているために、チームは企業のセキュリティ維持に向けて効果的にリソースを割り当てなければなりません。 そこで、リスク対応の優先順位付けが非常に重要になります。

優先順位の割り振りはどのように行う? アタックサーフェス管理は、アルゴリズムと方法論を援用してリスクスコアを出力し、攻撃可能性やリスクの重大度、潜在的なインパクトといった要素に基づいて露出の優先順位を決定します。

セキュリティ専門家による監視と分析の要される内部/外部のデータ量を考慮すると、このタイプのリスク管理ならびに最適化が重要となります。 その効果とは？ ダウンタイムが低減され、ビジネス上の中断が少なくなり、サイバーセキュリティ全般の態勢が向上します。

優先順位の設定、データの調和化、自動化の援用

私たちは、今日のデジタル環境におけるアセット構成要素の再定義を行っています。 アセットは、もはや物理的なデバイスには限られません。 さまざまなアセットタイプが現れ、閉じられたネットワークはIPプロトコルで実行されるオープンシステムへと移行しています。 このような変化を受け、あらゆる規模の企業の「爆発半径」が大幅に拡大し、誤った構成やインターネットへの露出に起因したリスクが増大しています。 

DEERと呼ばれる原則に従うことが推奨されています。これは、露出を特定、列挙し、修復することを意味します。 

DEER原則における真の課題は、企業が利用して活用すべき相当量のデータにあります。 企業は、平均すると60～70程度の異なるデータソースを有しています。 企業がこのようなデータを効率的に管理するにあたって、5つの点が要されます。

1. データを取り込む能力 
2. データを正規化する能力 
3. データにラベル付けする能力 
4. 攻撃者の意図を基準にしてデータに優先順位を付ける能力 
5. 企業の優先事項を理解する能力 

優先順位が明確にされたら、非常に堅牢な修復戦略を構築します。 このプロセスにおける各ステップは、シフトレフト (開発者中心) 、またはシフトライト (セキュリティ中心) で進めることができます。

次に自動化が要されます。このステップにおいてはサービス管理が関連してきます。 デバイス管理に向けて自動化されたワークフローを開発し、開発者、オペレーター、セキュリティチームに向けてチケットを作成します。 次に、自動化されたワークフローを作成し、人手をほぼ要することなく修復が実行されるようにします。

スリニバス・ムッカマラ博士
Ivanti 最高製品責任者

サプライチェーンにおける脆弱性を特定して計上します。

企業は、サプライチェーンやベンダーにおけるセキュリティにさらなる注意を向けなければなりません。 効果的に実践するにあたって、次の4点を考慮してください。

1. 企業のポリシーに一致し、GDPR、HIPAAといった業界規制に準拠した明確なベンダーセキュリティ要件を確立します。 これらの規格は、あらゆるベンダー、サプライヤーにはっきりと伝達されなければなりません。 
2. ベンダーエコシステムの徹底的なリスク評価を実施し、それぞれのサプライヤーが現行のセキュリティ要件をどの程度満たしているのか把握します。 定期的な監査ならびにコンプライアンスチェックを実施し、継続的な遵守を保証します。 
3. ベンダーが企業のシステムやデータにアクセス可能な際には、ベンダーが企業のインシデント対応計画 (IRP) に統合されているか確認します。 これにより、ベンダーにまつわるインシデント管理に向けた定義済みのプロセスが保証されます。 
4. ベンダーと結んでいる契約にセキュリティ対策が盛り込まれているか確認し、ベンダーサイドに責任性をゆだね、セキュリティ保持における各当事者の役割に対する相互理解を確立させます。 

何よりも、ベンダー間とのアプローチは協働的に進められなければなりません。潜在的な脅威やセキュリティ対策を一体となって改善するアプローチをめぐって定期的なコミュニケーションを設けることが推奨されています。

ダレン・ゴーソン 
Ivanti SUEM製品管理担当副社長

高度な攻撃対象領域の管理には、何よりも動的な態度が重要であることを忘れないようにしてください。

企業は、とりわけ特定の業界や市場に固有の外的なリスクの出現、そしてこれらのリスクが内部的な脆弱性といかに相互的に作用しうるか理解しなければなりません。 

コンテキストを把握することなく、リスクを評価することはできません。 企業のセキュリティチームによって、サプライヤーのソフトウェアにおいて「5」(中程度) の脆弱性が特定されるかもしれません これ自体は、それほど悪くはありません。 しかしながら、攻撃者がこのことを見出すことで、「たとえ5に過ぎなくとも、別の脆弱性と組み合わせることでRPE機能を帯びる」と考えうります。

攻撃対象領域管理のソフトウェア、そして優先順位付けにおいては、各脆弱性の動的な性質と、そこに見出される発見が考慮されなければなりません。 ASMソリューションは、脆弱性が形を変えてトレンドになったり、ランサムウェアに関連付けられたり、悪用されたりした場合に、これらの優先順位付けを動的に行って変更する方法を特定します。 

ソフトウェアの状態は日々変化していますが、社内において実装されていないものもあるかもしれません。 任意の外部者が軽微な欠陥を悪用し、攻撃対象領域にインパクトを与え、変更をもたらすことが考えられます。すると、これが突如として最優先事項になります。 すぐれた攻撃対象領域管理は高い動性を有し、トレンドに連動し、新しいデータを基にした継続的なリスク再評価を行います。

レックス・マクミラン
Ivanti 製品管理担当者副社長

本レポートは、Ivantiが2023年と2024年の後期に実施した2つの調査に基づいています。調査はそれぞれ「2024 Everywhere Workレポート: フレキシブルな働き方を促進させるために」、「2024 サイバーセキュリティ ステータスレポート: 変曲点」と題されています。 2つの調査は、ともにのべ15000人におよぶ経営幹部、IT担当者、そしてオフィスワーカーを対象としています。 また、サードパーティーソースからの調査も引用されています。

^{*Gartner：「エンタープライズ ソフトウェア サプライ チェーンのセキュリティ リスクの軽減」Dale Gardner著、2023年10月31日 GARTNERは、米国内外におけるGartner, Inc.の登録商標、サービスマークであるとともに、 関連会社の登録商標ならびにサービスマークです。 この場においては、許可を得て使用されています。 無断転載、複製は禁じられています。}