2024年11月、日本セキュリティオペレーション事業者協議会(ISOG-J)から、「ASM導入検討を進めるためのガイダンス(基礎編)」が公開されました。多くの企業から注目を集めている「アタックサーフェスマネジメント」を知る上で、最初に目を通すべき資料になり得る、コンパクトにまとまったドキュメントです。
アタックサーフェスマネジメントは、ここ最近キーワードとして認知されるようになった考え方です。売れ筋のセキュリティソリューションにありがちな課題として、プロモーションのために周辺にある機能もいつの間にか同じ名称で呼ばれるようになり、その言葉の意味がブレるということが起きます。
アタックサーフェスマネジメントも、脆弱(ぜいじゃく)性管理や脆弱性診断、IT資産管理、そしてペネトレーションテストなど多岐にわたる内容が、同じ言葉で表現されているように見受けられます。今回は、これらの有用な資料を読み解くために、そのさらに前段にある基礎を再確認しましょう。
●「アタックサーフェスマネジメント」 本当に正しく理解できていますか?
まず、日本における多くの資料で「アタックサーフェスマネジメント」が指すものをもう一度整理しておきます。経済産業省は2023年5月に、「ASM(Attack Surface Management)導入ガイダンス」というドキュメントを公開しています。これが日本におけるアタックサーフェスマネジメント推進の基礎となっているものです。
この中では、アタックサーフェスマネジメントを「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しています。
「組織の外部からアクセス可能なIT資産の発見」もそうなのですが、より重要なのは「継続的に検出・評価」という部分です。脆弱性診断を一度でも実施したことを「アタックサーフェス管理ができている」と捉えるのは正しくなく、それを継続的に実施し、問題がないかどうかを都度振り返ることも含めなければならないという点は、しっかりと押さえておく必要があります。加えて、これら一連が「プロセス」になっているということも注目すべきでしょう。ある程度自動化され、手間のかからない仕組みとなっていることが求められるわけです。
把握しているIT資産は一定であるはずで、新たに設置した資産だけを対象にすればよいようにも思えるかもしれません。ただしそれはあくまで“把握している”IT資産に限ります。「把握していないIT資産などあるわけがない」と思いたいところですが、そこには「シャドーIT」という、目を背けたくなるような現実が意外に多く存在しています。現状を考えると、外部から(つまり、攻撃者から)自組織がどう見えているのかを把握しておくのは、決して無駄ではないはずです。だからこそ、アタックサーフェスマネジメントがキーワードとして注目されているのです。
●アタックサーフェスマネジメントをより深く知るためのドキュメントとして
それを前提とし、アタックサーフェスマネジメントとして組織が何を目指し、どういう体制を構築する必要があるかをまとめたのが、今回紹介する「ASM導入検討を進めるためのガイダンス」です。「GitHub」に公開したドキュメントで、項目ごとに十分な解説がまとめられています。
同ドキュメントでは、アタックサーフェスマネジメントの要件定義として、既知・未知のIT資産管理や脆弱性管理・対応に関する課題から、それを解決するために必要な項目、実現するためのツール/サービスの選定ポイントがまとめられています。
冒頭に紹介したアタックサーフェスマネジメントの定義から、ここで考えるべき機能と、同カテゴリーに分類される各種サービスはどのようなものか、そしてそのカバー範囲の違いなども述べられています。「脆弱性診断」がアタックサーフェスマネジメントの代わりになるか、という問いについても、主に専門家による手動の診断サービスと比較しての特徴や違いがまとめられており、非常に参考になるはずです。
●同じ名前であったとしても……
興味深いのは、補足や注意として記されている内容がヒントとなるという点です。例えば「アタックサーフェスマネジメントツールは脆弱性診断の代わりになる?」というコラムでは、補足として「本コラムにおける『脆弱性診断』は、専門家による手動診断サービスを想定して解説します」とあります。
これはつまり、専門家によらない、自動の診断サービスも同じく「脆弱性診断」という名称でサービスが提供されている点にも注意しなければならないということです。脆弱性診断も、サービス提供者によって品質が大きく異なることが課題になっています。実際のところ、セキュリティのサービスは同じ名称でありながら、その質や内容が大きく違うことが多く、こういったドキュメントでも多くの場合、冒頭に定義から解説されていることが多くなりました。
アタックサーフェスマネジメントは、IT資産管理や脆弱性管理が特に関係しています。これらの対策は多くの組織で進んでいるのですが、それが必要十分かどうかは、これも継続的にチェックしていかなければなりません。セキュリティの世界では昨日は十分だったことが、明日には時代遅れになっている可能性があります。
同ドキュメントや経済産業省のASM導入ガイダンスは、ブレやすい用語の意味や活用イメージなどを、組織内で一致させるために大変有用なドキュメントです。分量もさほど多くなく、ざっと読むだけでも、「アタックサーフェスマネジメント」というキーワードに対する認識のズレが見つかるのではないでしょうか。加えて、アタックサーフェスマネジメントに近いソリューションに対しても理解が深まるはず。このドキュメントが役に立つ組織は多いと思います。まずはチェックしてみてください。
働き方改革の大きな波で作られた「VPN」が、いつしかアタックサーフェスと認識されてしまい、対処がなされないまま何となく運用されて、結果的に侵入されていたという事例も増えてきています。加えて、部署が独自に導入した機器やクラウドサービスを起点とした、把握されていない攻撃可能面に気がついていない組織もあるでしょう。
広範囲のITセキュリティが関係し、さまざまな点を考慮しなければならないという意味では、アタックサーフェスマネジメントを起点としセキュリティへの理解を深めるためにとても良い題材です。それを確認するためにも、「ASM導入検討を進めるためのガイダンス」をぜひチェックしてみてください。大変有用な資料をまとめてくれた識者の皆さまに感謝したいと思います。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。