プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
渡邉 加奈子
2022年中途入社。前職は海上自衛隊で艦船関連の仕事に従事。現在は脆弱性診断やAttack Surface調査、サービス開発などを担当する。社内の部活動にて「日本伝統文化部」を立ち上げ、積極的に参加している。
気づかないうちに、会社の"裏口"が開いているかも
キャッ!なんか恐ろしい話を聞いてしまったミア!
渡邉さん
ミアミン、どうしたのですか?
会社が「公開していない」と思っていたシステムや情報が、インターネットから見えてしまっていることがあるって聞いたミア……。そんなことって本当にあるミアか?
渡邉さん
残念ながら、よくあることなんです。例えば、役割を終えて更新も止まったキャンペーンサイトや、開発のために一時的に立ち上げた検証環境が、そのままインターネット上に公開されていたり。担当者ですら気づいていないケースも多いですよ。
キャッ!知らないうちに、そんなことになっているミアか……。 どうすれば防げるミア?
渡邉さん
そこで出てくるのが「ASM」という考え方なんです。
ASMができることと、その範囲とは?
ASM……?それって、何ミア?
渡邉さん
ASMは「アタック・サーフェス・マネジメント(Attack Surface Management)」の略称です。アタックサーフェス管理とも言われたりしますね。
全然聞いたことがないミア……。
渡邉さん
ミアミンを不安にさせるハッカーなどの攻撃者の目線で、インターネット上に公開されている自分たちの会社の資産を洗い出し、それらが安全な状態かどうかを管理することなんですよ。
うーん、わかるような、わからないような……。もう少しわかりやすく教えてミア。
渡邉さん
そうですね。例えば、防犯パトロールのようなもの、と言えばわかりやすいでしょうか。泥棒が「この家なら、どこが侵入経路になるだろうか、あの窓は開いてないか?」というふうに偵察するのと同じように、防犯パトロール側が「外側から見た隙(スキ)」を洗い出し、攻撃側の立場で弱点を突いて防御の穴を検証するイメージです。
なるほどミア!それならわかるミア!
ちなみに、ASMで対応できる範囲はどれぐらいミア?
渡邉さん
ASMで把握できる外部公開資産は……。
ちょ、ちょっと待ってミア。外部公開資産って何ミア?
渡邉さん
外部公開資産は、インターネットやパブリックネットワーク上に公開されているシステム、サービス、アプリケーション、データのことですよ。そして、その中で管理できるのは、ドメイン、IPアドレス、組織管理下にあるIP帯、DNSレコード、Webサイト、公開サービスなどです。
なるほどミア。結構範囲が広いミアね!
ASMが必要とされている理由
渡邉さん
ところで、ミアミン。なぜ近年、ASMが必要だと言われるようになったのかを知っていますか?
えっと……。さっきの話を思い出すと、セキュリティが強くなるからとか……、ミアか?
渡邉さん
いい線、いっていますね。でもセキュリティのリスク管理をするなら、その前にしなければいけないことがあります。先ほど、泥棒の話をしましたが、その時に私は何と言っていたか覚えていますか?
確か、泥棒の気持ちになって家を見てみるということを言っていたミア。
渡邉さん
そうです。セキュリティにおけるリスク管理も、まずはそこから見なければなりません。何を守るのか……、つまり組織資産を把握することが大切ということです。何の資産があるのかを書き出すことで、リスクの特定も優先順位もつけられますよね。この資産把握を支える取り組みの一つが、ASMなんですよ。
ASMはそこまで含まれるミアね。
渡邉さん
ただ、以前なら、ここまでする必要はありませんでした。
どうしてミア?
渡邉さん
資産台帳を整備するだけで、管理下のシステムを把握することができたからです。
今は違うミアか?
渡邉さん
はい。最近はさまざまなシステムやサービスが増えています。例えば、クラウドの活用やSaaS利用の拡大、VPN接続の増加など、IT資産は常に変化しています。システムの新規追加や公開範囲の変更が日常的に発生する環境では、内部視点の台帳管理のみだと変化に対応しきれません。そして、認識していない資産は、管理や監視の対象外になるため、気づかないうちに潜在的なリスクが生じることになります。
だんだんと難しい話になってきているミア……。でも、物事が複雑化して、新しいものが増えるから、管理と監視ができなくなって、そこを狙われてしまうということミアね!
渡邉さん
そういうことです。ですが、ASMは外部から見た自社の姿を継続的に可視化することで、この把握漏れのギャップを補完できるというのが重要な部分ですね。近年、その重要性が高まっているのは、攻撃の高度化というよりも、守る対象を継続的に把握すること自体が難しい環境へと変化しているためです。
結局、ASMをやっていないと、どんなリスクが発生するミア?
渡邉さん
自社が把握していない公開資産を、攻撃者に狙われてしまうということですね。よくあるケースが、役割を終えたキャンペーンサイトのようなWebサイトやシステム、開発や検証のために立ち上げた環境です。これらのOSやミドルウェア、アプリケーションの更新は、放置されているケースがほとんどなんです。そのため、既知の脆弱性や設定不備が残存しており、攻撃者にとっては管理・監視している本番運用中のシステムよりも低コストで侵入できてしまいます。
確かに期間限定のキャンペーンサイトはよく見るミア……。
渡邉さん
攻撃によっては、情報漏洩やランサムウェア感染を引き起こすケースもあります。その場合は、企業の業務停止や対外的な説明責任が生じ、結果として社会的信用を損なうこともあるでしょう。
キャッ!恐ろしいミア……。ただどうやって、攻撃者は公開資産を狙うミア?
渡邉さん
いい質問ですね。攻撃者はやみくもに行っているわけではありません。システムの弱点を探し、効率的に侵入や攻撃をしてきます。例えば、スキャンツールを使って、インターネット全域から企業が公開している全資産を横断的に洗い出し、管理の甘い侵入口を選別しているんです。
そんなツールがあるミアね。特殊なものミアか?
渡邉さん
いいえ。これは「OSINT(Open Source Intelligence;公開情報に基づく調査および分析方法)」と呼ばれ、特別な技術を要さず行えるほど一般化しています。彼らにとって管理の行き届かない公開資産は、いわば「鍵の開いた裏口」のようなもの。少ない労力で侵入できるルートの一つといえるでしょう。
継続的に守るべきものを把握して、対策を
今回、話を聞いていて、「どう守るか」を考えるだけでなく、「何を守らないといけないか」も大事だということが、よくわかったミア!
渡邉さん
そうです。セキュリティの第一歩は「まずは守るべきものを、正しく知ること」。どんなに高度な防御策を講じていても、把握していない資産があれば防御はできません。対策の強度を考える前に、全体像を把握することが大事なんです。
それでも、過去のキャンペーンサイトとかは見落としがちミア……。
渡邉さん
そうですよね。だから、ASMがあるんです。ASMは企業がインターネット上でどのように見えているかを客観的に可視化し、攻撃の起点となり得る資産や想定外の公開範囲を継続的に洗い出す取り組みです。環境の変化に合わせて継続的に現状を把握し、見落としを減らしていくことが、組織を守るうえでの基本的な考え方といえます。
継続的ね……。大事な言葉ミア。
渡邉さん
自社の攻撃対象領域を正しく理解し、変化に応じて見直し続けることが、これからのセキュリティ対策において欠かせない基本動作です。これは組織を守るための確かな土台となるでしょう。
わかったミア!今日はASMの大切さを教えてくれて、ありがとうミア!
