デジタル大臣の河野太郎氏のWebサイトで先日、『アタックサーフェスマネジメント』というタイトルの記事が公開されました。これは内閣サイバーセキュリティセンター(NISC)が政府機関のセキュリティ対策強化に向けた指針を発表したことを受けてのものです。大臣からこのようなセキュリティキーワードが出てくるとは、時代が変わったと思いました。
アタックサーフェスマネジメントは、セキュリティキーワードとして浸透しつつあります。河野氏のブログでは「専用のツールを活用して、インターネットから接続可能なサーバやネットワーク機器などの状態を網羅的に調査し、サイバー攻撃の端緒となり得る機器の脆弱(ぜいじゃく)性を発見し、速やかに対応していくこと」と解説されています。皆さんの組織でも、そろそろこのアタックサーフェスマネジメントというものに予算が付き「さあどうしようか」と考えているタイミングなのではないでしょうか。
河野氏のブログは、こんな言葉で締めくくられています。むむむ、これは非常に良い指摘ですね。
なお、こうした取り組みは「アタックサーフェスマネジメント」と呼ばれていますが、デジタル庁としては、こうした英語をもとにした片仮名用語をもっと広く理解されるような日本語に改めていきたいと考えています。
●セキュリティ業界にあふれるバズワード 正しく理解するにはどうすればいい?
セキュリティ業界は多くのバズワードであふれています。アタックサーフェスマネジメントもその一つですが、数多くあるキーワードの中でも「これは確かにやらなければならないのではないか?」と思える重要なものになりつつあります。しかし、一度用語が定着してしまうと、筆者を含めその用語の範囲を限定的にしてしまいがちです。
アタックサーフェスマネジメントは当初、攻撃界面を把握するといったイメージで捉えられてきました。要するに攻撃がやってくる、インターネットに面した部分を把握し、管理することこそが「アタックサーフェスマネジメント」なのです。
これは間違いではないとは思うのですが、「管理する」ことが本来重要であるにもかかわらず、キーワードを知っているつもりでいて本当にすべき管理を把握できていなかったことが、筆者の反省でした。アタックサーフェスマネジメントとは資産管理であるというのも、今では少々、認識不足となるかもしれません。
以前紹介した辻 伸弘氏の記事を見ると、日米でもその定義に違いがあり、アタックサーフェスマネジメントとは「資産管理」と「脆弱(ぜいじゃく)性管理」である、と述べています。非常に参考になるので改めてチェックしてみてください。
●より分かりやすく、ブレない言葉をどう導き出すか
その意味で、河野氏が「英語を基にした片仮名用語をもっと広く理解されるような日本語に改めていきたいと考えています」と述べてくれたのは、本当にありがたいことだと思います。
昨今、「EDR」(Endpoint Detection and Response)というキーワードが頻出したと思ったら、いつの間にかそれは「XDR」(Extended Detection and Response)となり、ベンダー各社がさまざまにその用語を拡張していきました。正直、筆者にはそれらの違いを厳密には区別できず、インタビューなどをした際には「それはどういう定義でお話しされていますか?」と聞くこともあります。
アタックサーフェスマネジメントはシステムを守る上で重要な考え方であり、企業規模を問わず実施が必要です。その際、担当者ごとにキーワードの認識が異なっていると、本来その枠組みですべきことが抜けてしまうかもしれません。そのため、分かりやすい表現が出てくるのはありがたいです。
しかし、デジタル庁が旗を振るだけでは難しいでしょう。新たなキーワードが出てきても、解釈のブレが避けられる気はしません。そうなると、やはり担当者の皆さんが、曖昧(あいまい)な「アタックサーフェスマネジメント」というキーワードを深掘りし、もう一度「何をすることが重要なのか」をそれぞれで考えなくてはならないと思います。そのきっかけをデジタル庁がつくってくれることを期待しています。
例えばアタックサーフェスマネジメントでは、外部からの攻撃を想定し、資産とアクセス制御、脆弱性管理を実施する必要があります。これまでも言われているようにセキュリティではまず自社で守るべきものを定義することが重要です。
その資産を定義したら、重要度ごとにそれらにアクセスできる人やプロセスを整理します。具体的にはIDの権限やネットワーク機器のポート管理、管理者権限がどのように使用されているかを把握します。並行して、これまで実施していた脆弱性管理に対応していきます。この文脈であれば、真っ先に対応すべき脆弱性がどの機器に存在するのかということも考えられるかもしれません。
こう見ると、新たなキーワードであるアタックサーフェスマネジメントも、これまで通りのセキュリティ項目として理解できるはずです。新しい言葉が注目を集めただけと考えると、実は過去の知識や経験を活用できるものになっていたことに気が付くでしょう。
ここまでいけば、解釈のブレもなく、やるべきことをやりつつ、かつ上層部には話題にキーワードのひと言で、担当者がするべきことが説明しやすくなっているかもしれません。「ウチのアタックサーフェスマネジメントは大丈夫か?」と聞かれたとしても、「資産管理はできているものの、それと脆弱性管理が結びついておらず、その部分に対処が必要です」といった内容を回答できれば、お互いがこれから何をすべきかクリアになるのではないでしょうか。
●バズワードを“いつもの項目”にブレークダウンするかが担当者の仕事
筆者の周りでも、「セキュリティは用語が多くて本当に難しい」と話す方が多いです。しかし、新しいキーワードが出てきても、やっている内容を少しだけ分割して、実はこの部分は基本的な認証強化で、ここはIDSやIPSと同じで……と解説すると、それなりに理解が進むことも大変多く、もしかしたらバズワードに振り回されているだけ、という印象も非常に強いです。
セキュリティ担当者は新しいバズワードが出てきたら、それをこれまで知っていた項目に分割できるかどうかが重要です。バズワードは上層部にとっては理解しやすい(したつもりになりやすい?)もの。そこに届く前に、いつもの項目にブレークダウンしておくと良いかと思います。
「どうやってブレークダウンしたら分からない」という場合は、思い切って付き合いの長いセキュリティベンダー自身に聞いてみてください。担当する方はプロモーションに使うキーワードと、本質的なワードを両方持っているはずです。たちどころに分かりやすいキーワードに分解してくれたとしたら、そのベンダーとは長く付き合うべきかもしれません。
まずはデジタル庁が「アタックサーフェスマネジメント」をどのようなキーワードにしてくれるかを期待しつつ、「ゼロトラストセキュリティ」や「EDR」「クラウドセキュリティ」など、これまでも何度も聞いた言葉を、自分なりに分解してみてはいかがでしょうか。意外と認識のブレや足りない部分が見えてくるかもしれませんよ。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。