取引先企業も含め、一気に診断して把握する
効果的なアタックサーフェス管理の方法は

　世の中を驚かせた生成AIは、サイバー攻撃者にとっても武器になる。ビジネスを守るためのセキュリティー対策は、さらに難しい局面を迎えているといえるだろう。

　また昨今は、ネットワーク機器などの脆弱性を狙う攻撃が大きな脅威になっている。ただ、その被害状況をつぶさに見ていくと、一般的なイメージとは少々異なる実態が浮かび上がってくるという。

　「サイバー攻撃の標的にされるのは、著名企業や大企業だけと考える方が多いと思います。しかし、警察庁が発表した資料※によれば、国内のランサムウエア被害の半数以上を中小企業が占めていることが分かりました」とMS&ADインターリスク総研の土井 剛氏は紹介する。

　また、不審なメールを開きさえしなければ、ランサムウエアへの感染は避けられると思いがちだ。ところが、不審なメールや添付ファイルによるランサムウエア感染は、実は全体の5％程度。ほとんどが脆弱性を抱えたVPN機器やリモートデスクトップを狙った攻撃によるものであることも見えてきた^※。攻撃者は必ずしも特定の企業をターゲットとしているのではなく、脆弱性を持つ企業を探してランサムウエア攻撃を仕掛けている。その結果、対策が不十分な中小企業の被害が増加しているのだ。

　「加えて厄介なのが、金銭目的のハッカーが組織化、分業化している点です。得意分野ごとに集団をつくり、高度な役割分担に基づいて攻撃を仕掛けるケースが増えています」（土井氏）。例えば、専門知識を有するハッカーは攻撃用のソフトウエアやサービスを開発して有償で提供する。IAB（Initial Access Broker）と呼ばれる集団は、あらゆる手段を使って攻撃対象になりそうな企業を見つけ出し、リスト化して販売するといった具合である。そして、実際の攻撃者集団は、これらのツールやリストを購入して攻撃を仕掛ける。驚くことに、身代金の支払い方法を手ほどきするサポートデスク集団まで存在するという（図1）。 　「被害を防ぐには、まずIABのリストに載らないようにしなくてはなりません。そこで重要になってくるのが、インターネット上に公開されている『アタックサーフェス』の管理です」と土井氏。クラウドサービスや公開サーバー、ネットワーク機器、部門が独自に導入したシステムなど、外部から見えるIT資産を適切に確認して安全に保つことが、セキュリティー対策の一丁目一番地になるのである。

※

警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」

　では具体的に、どのような取り組みが必要なのか。これについてMS&ADインターリスク総研は、NISTの「サイバーセキュリティフレームワーク」を参考にすることを推奨している。

　「まず技術的対策としては、アタックサーフェス管理（Attack Surface Management：ASM）を確実に行うことが肝心です。さらに組織的・人的対策として、関連会社や取引先などのサプライチェーンリスクマネジメントを実施することも大切です」と土井氏は説明する。

　ASMの取り組みでは、「保有資産のマッピング」「情報資産の監視・モニタリング」「見つかった脆弱性の優先順位付け」の3つが必須になる。企業の情報資産の中には、IT部門が把握していないシャドーITが存在するケースもあるだろう。こうしたものも確実に洗い出すとともに、新たなリスクが生まれていないかを継続的にモニタリングする視点が不可欠だ。「膨大な数に上る脆弱性のすべてにタイムリーに対応することは難しいので、対応の優先順位を付けることが大切です」と土井氏は言う。

　一連の取り組みを支援するものとして、同社が提供するのがASMサービス「MS&ADサイバーリスクファインダー」である（図2）。企業・組織が保有するIT機器をインターネットから調査し、機器に関する情報をデータベース化すると同時に、脆弱性情報と突き合わせてリスクを診断する。ユーザーは、診断結果をレポート形式で確認することが可能だ。 　「併せて、サプライチェーンリスクの低減を図るサービスとして『MS&ADサイバーリスクファインダー取引先診断サービス』も用意しています。これを利用すれば複数の関連会社や取引先の診断・モニタリングも一括で行えるため、サプライチェーン全体のリスクの可視化、削減を推進することができるでしょう」と土井氏は付け加える。

　MS&ADサイバーリスクファインダーの特長は、まず最新の脅威に対応しているだけでなく、重大な脅威に優先的に対処できる点が挙げられる。

　「当社はサイバーリスク保険事業を手掛ける米Coalition社とパートナーシップを結んでいます。日本のサイバー保険市場の数倍規模の件数の保険を1社で引き受けているCoalition社は、日々膨大なリスク情報を収集することで知見を蓄積しています。どのような攻撃が増えているか、どの脆弱性が狙われているかといった情報を保険事故データも活用して、いち早く掴むことで、お客様環境の適切な評価が可能です」と土井氏は強調する。

　また、診断を簡単・迅速に行える点も大きな強みだ。診断したい企業の「基本情報」と「ドメイン」を用意するだけで、ソフトのインストールや機器の設定変更などの多大な工数を掛けることなく現状を把握できる。「大量の関連会社や取引先を抱える企業も、一気に診断を行えます。定期的なモニタリングや、特に危険性の高い脆弱性が見つかった際の緊急アラート機能なども備えているため、リスクにいち早く対処できるようになります」（土井氏）。

　取引先診断結果のレポートはサマリー版と詳細版の2種類を用意している。前者は取引先のセキュリティーの全体像と取るべき改善アクションを分かりやすく提示する。後者では「メールアドレスやパスワードがインターネットに流出していないか」「リスクスコアはどれくらいか」などの詳細情報までを掘り下げて確認可能だ。

　「これらのサービスを使うことで、対応優先度の確認、対策の実行、再診断といったASMのPDCAサイクルを効果的に回していけるようになります」と土井氏は話す。

　さらに同社は、実際のインシデントレスポンスをコマンダーとして支援するCSIRTサービス「サイバーインシデントガード」も用意。加えて、サイバーセキュリティーを含めた幅広いリスクに対応できる組織づくりをサポートするポータルサイト「RM NAVI（リスクマネジメント ナビ）」を開設し、積極的な情報提供も行っているという。

　効果的なASMによってビジネスリスクを低減する。MS&ADインターリスク総研の提案は、サイバーセキュリティー戦略を考える上で重要なヒントを与えてくれる。