拡大する外部公開資産のリスクを削減する
「アタックサーフェス管理」の成功要因は

　サイバー攻撃を受ける可能性があるすべてのネットワークやソフトウエア環境のことをアタックサーフェスと呼ぶ。各種ソフトウエアやネットワークのオープンポート、OS、Webやデスクトップアプリなどのデジタル資産はもとより、ルーター、スイッチ、ラックサーバー、ノートPC、タブレット、モバイルフォン、プリンター、USBポート、あるいは人などの物理資産もすべてアタックサーフェスとなる。

　「企業にとって、これらのアタックサーフェスの管理がますます重要となっています。コロナ禍で経営を取り巻く環境が激変し、企業はDXの実現に向けて、様々なテクノロジーの導入を加速させています。一方で従業員のリモートワークも急激に拡大しました。そうした中で必然的にアタックサーフェスも拡大しているのです」とレコーデッド・フューチャー・ジャパンの須崎 洋一氏は説く。

　従来、ほとんどのデジタル資産はファイアウオールで守られた境界の内側で運用されてきたが、クラウドシフトが進むに伴いこれらの資産はどんどん境界の外に出ていく。

　またクラウド上で一時的に立てられたり、落とされたりするインスタンスやサービスの中には、途中で忘れ去られてしまうものもある。往々にしてそういった資産は、セキュリティーポリシーの適用も不十分だ。「したがって外部からの攻撃対象となりやすい公開資産を完全に把握（発見）することが、サイバーセキュリティーリスクを低減する上での最適な対応策となります」と須崎氏は強調する（図1）。 　アタックサーフェス管理を実践するメリットはそれだけではない。しばらく稼働させる必要がないリソースを発見し、削除しておくことで、その管理のためのコストや手間を削減できる。またサイバー攻撃に先手を打つプロアクティブなアプローチによりセキュリティー体制が強固になる。要するに攻撃が発生してから対応するのではなく、攻撃が発生する前に安全を確保することが可能となる。さらに、すべてのデジタル資産およびその潜在的な脆弱性を把握・可視化することで、インシデント発生時の対応や修復も迅速になる。

　それでは、外部公開資産のアタックサーフェス管理をどのような手順で進めていけばよいのか。おおよそ次の4つのステップを踏むことになる。

　最初にやるべきステップは、「デジタル資産の発見と識別」だ。「オープンソースのツールを使って行う方法もありますが、当社の『Attack Surface Intelligence』を利用すれば、より効率的に行うことが可能となります」と須崎氏は述べる。外部公開された自社のデジタル資産を発見するためには、DNSデータやSSL証明書、WHOIS、IPアドレスなどの情報を活用するほか、場合によってはインターネットスキャンのサービスを駆使する必要がある。Attack Surface Intelligenceを利用することで、この一連の調査を一括して行うことが可能となるという。

　さらにAttack Surface Intelligenceが効果を発揮するのが識別のプロセスである。調査によって多くの“あやしい資産”が発見されるが、実はその中には誤検知によるものも数多く含まれており、自社の資産であることを特定するのは思った以上に困難を極める。「Attack Surface IntelligenceではWHOISやDNSのヒストリー情報をさかのぼって見ることも可能とするなど、資産の発見と共に識別までしっかりサポートします」と須崎氏は語る。

　2つ目のステップは「インベントリー作成」だ。「前ステップで発見・識別された資産に関するデータを目録化し、タイムリーな更新を行ってスピーディーに検索できるようにするほか、資産ごとの弱点およびその重要度に従ってラベル付けを行うわけです」と須崎氏は語る。Attack Surface Intelligenceもこれに対応しており、発見されたすべてのデータを関連づけて表示するダッシュボードを提供しているという。

　こうして資産のインベントリーが作ったら、3つ目のステップとして「リスクの優先度付けと管理」を行う。もともと資産に存在する脆弱性やクリティカルな設定ミスなど、資産にどのようなセキュリティー上の問題があり、それがどの程度深刻かを理解せずに、アタックサーフェスの管理は成しえないからだ。逆に言えば、資産の発見とそのリスクの分析が早ければ早いほど弱点を解消し、サイバー攻撃のターゲットとされてしまうのを回避することができる。

　そして最後の4つ目のステップが「継続監視」である。アタックサーフェス管理は決して一過性の取り組みではない。クラウドサービスにおける設定ミス、パッチが間に合わない脆弱性、コンプライアンス問題につながるデータ漏えい、悪意のある新しい設定など、インフラ全体を24時間365日監視していなければ、追跡が難しくなる可能性があるからだ。

　これに対してAttack Surface Intelligenceは、プロアクティブ監視ならびにアラート機能を提供。インフラが変更された場合、あるいは新たにホストやサイレントエラー、設定ミスが発見された場合に発するアラートを簡単に設定することができる。「さらにこの継続監視のステップの中で脆弱性診断やテストプロセスとの連携を図ることで、攻撃ポイントをより正確に把握し、リスクを低減することが可能となります」と須崎氏は語る。

　上記のような高度なアタックサーフェス管理をなぜレコーデッド・フューチャーが提供できるのか。

　それは同社が、WHOIS、SSL Certificates、Current and historical DNS、IP Registrationといったの情報を10年以上にわたって構造化データセットを蓄積してきたからだ。中でもDNSヒストリー情報は世界最大級ともいわれる。

　「加えて当社ではリアルタイムによる24億以上のホストトラッキング、デジタル資産の正確な識別や対処を行うための詳細なコンテキスト、透明性のある発見ルールといった仕組みづくりでも先行しており、これが先の述べた4つのステップを支えるAttack Surface Intelligenceの強みとなっています」と須崎氏は説明する（図2）。 　とはいえツールやソリューションを導入したからといって、アタックサーフェス管理が成功するわけではない。

　須崎氏は「柔軟に資産を発見・識別できる仕組みを活用し、継続的にインベントリーを管理すること」、「発見された違反資産に対してセキュリティーポリシーの順守を徹底すること」、「社内連携とコミュニケーションの円滑化を図り、発見された資産の持ち主への迅速なコンタクトを通じて円滑なパッチ適用の推進すること」、「プレイブックを整備して作業手順の明確化と共有化を図ることで、ミスの放置を撲滅するとともに対応スピードを向上すること」の重要性を説く。この4つのポイントこそが、外部公開資産のアタックサーフェス管理における成功要因となのである。