外部から見えるIT資産の
リスクを評価するASM
現代のサイバーセキュリティー対策においては、侵入を前提とした対策の重要性がしばしば説かれる。それは間違いではないが、かといってEDRなどのソリューションを導入すれば十分というわけではない。そもそも攻撃者は、脆弱性を抱えたIT資産を侵入の足掛かりとするケースも多い。こうしたことを事前に減らしておくことは、セキュリティーリスクを軽減する上で非常に重要なポイントとなる。そこで注目を集めているのが、ASM(Attack Surface Management:攻撃対象領域管理)だ。
「Webサーバーやネットワーク機器、クラウド/オンプレミス環境など、外部から把握できるIT資産を検知し、そのリスク度合いを評価するのがASMの役割です。企業内においては、現場部門が個別導入したシャドーITや、意図せず外部公開されている社内システムなどが存在する場合があります。ASMを利用すれば、こうしたものを洗い出すと同時に、そこに含まれる脆弱性などを検出・管理することができます」とCloudbaseの大峠 和基氏は説明する。導入工数をほとんど掛けることなく、資産の棚卸しや簡易リスク検査が行えるため、リスク管理の最初の一歩としても有効なのだという。
ASM×CNAPPの組み合わせで
効率的なリスク対処を実現
こうしたことから市場には多くのASMツールが提供されている。CloudbaseでもASMソリューションの提供を今秋より開始する。
「当社のASMソリューションでは、IPアドレスやドメインなどの情報を基に、関連するIT資産をインターネットから収集。そこに含まれる脆弱性などのリスク分析を行います。ASMに求められる基本的な機能を備えているのはもちろん、専門家ではない方でも扱えるよう、画面の見やすさや使いやすさにも徹底的にこだわりました」と大峠氏は話す。
もっとも、ASM単体だけで、すべてのセキュリティーリスクを解決できるわけではない。「ASMはあくまでも『外部から見える情報』のみを対象とするので、外から見えない内部に重大なリスクがあったとしてもそれは検出できません。氷山でいえば、水面下に隠れている部分は見えないのです」と大峠氏は指摘する。さらにそのほかにも、「偽陰性が多くリスク検出精度がやや低い」「ドメイン・IPアドレスにリスクがあるのは分かっても、システム内部の具体的な場所が特定できない」といった点も、ASM単体利用での課題となる。
ただしこれらの点も、同社のCNAPP(Cloud Native Application Protection Platform)ソリューションと組み合わせれば、解決が可能だという。もともと同社は、クラウドで利用するアプリケーションのセキュリティーを担保するプラットフォームであるCNAPPソリューションを展開。国内大手企業を中心に数多くのユーザーを獲得している。
「CNAPPは、表面だけでなく中身までしっかり検査できるので、リスクをより詳細に、かつ網羅的に把握することができます。またドメイン・IPアドレスのレベルではなく、どのサービスのどのファイルに脆弱性が存在するといったことまで分かります」と大峠氏は説く。
また、既にCNAPPソリューションを利用中のユーザーにとっても、ASMソリューションを利用するメリットは大きい。CNAPPにも「初期設定のための資産把握が困難」「大量のリスクが検出されるため優先順位付けが難しい」といった課題があるからだ。
しかしASMを利用すれば、シャドーITなどの把握しにくい資産を速やかに発見することが可能だ。また、対処の優先順位付けについても、CNAPPで検出されたリスクがASMからも見えていれば、優先的に手当てすべきということが分かる。「つまり、ASMによる外からの簡易検査と、CNAPPによる中からの精密検査を組み合わせることで、お互いの弱点を補い合うことができるのです」と大峠氏は強調する(図1)。
図1 リスクの優先順位付けが可能に
CNAPPでは大量のリスクが検知されるため、どこから対処すれば良いのか判断に困るケースもある。しかし同じリスクがASMでも検知されていれば、優先して対処すべきと判断できる
エキスパートによる
プロフェッショナルサービスも用意
加えて、同社のASMソリューションには、もう1つ大きなアドバンテージがある。それは、同社のエキスパートによるプロフェッショナルサービス(有償)だ。
「ASMを利用する上での課題として、製品が検知した膨大なアラートから、適切な示唆を得ることが難しいという点が挙げられます。情報は『データ』『インフォメーション』『インテリジェンス』の3段階に分類できますが、最後のインテリジェンスのレベルにまで達していないと、正確な状況把握や具体的なアクションにつなげていくことはできません。しかし、現実問題として、お客様ご自身でこれを行うのは非常に困難です。ASMで収集した大量のデータを集計・加工し、インフォメーションとしてまとめるだけでも、相当な時間と工数が掛かります。また、そこから示唆を得るためには、専門的な知識やスキルが必要となります。その点、当社のプロフェッショナルサービスをご活用いただければ、当社のエキスパートが脅威の状況を分析し、取るべきアクションを的確に助言します」と大峠氏は説明する。
ASMを導入してはみたものの、アラートストームにうまく対処できずに苦労している企業は少なくない。そもそも同社ソリューションは、最初からこうした点に配慮されており、不要な生データを落としてインフォメーションに近いレベルでの通知を行うようになっている。とはいえ、最後のインテリジェンスを導く部分については、やはり専門家の手を借りたいケースもあるだろう。こうした際に、プロフェッショナルサービスを利用すれば、この点をカバーできるようになるわけだ。
「実際にプロフェッショナルサービスを利用されたお客様からも、『製品から出力される情報を分かりやすく翻訳してもらえるので助かる』とご好評をいただいています」と大峠氏は話す。
ちなみに、ASMとCNAPPは導入部門が異なるケースも多いが、CNAPP側でもマネージドサービスを利用している場合は、同社のチーム同士で連携して情報の取りまとめも行うという。これにより全社的に統一された形でリスク管理を行うことが可能だ。
実際、ASMとCNAPPを組み合わせて導入している企業の評価も高い。「例えばあるお客様では、ASMを入れた瞬間に、十年以上使われていなかったシステムのログイン画面が検知されました。これは当然脆弱ですので、CNAPPで見えなかった資産が発見できたのは大変良かったと喜んでいただけました」と大峠氏は話す(図2)。
図2 ASMとCNAPPは組み合わせて使う
ASMとCNAPPはそれぞれ役割が異なる。どちらかだけですべてのリスクを管理することはできないため、両者を組み合わせて利用することが肝心だ
このように数多くのメリットをもたらしてくれるASMソリューションだが、同社では今後も引き続き改善を続けていく考えだ。「当社は国産ベンダーですので、日本のお客様のご要望を積極的に製品に取り入れていきます。既にASMとCNAPPの機能連携強化など、様々な取り組みを進めています。さらには、現在ご提供中のSBOMや脆弱性管理なども組み合わせ、セキュリティーのトータルプラットフォームへと進化させていきます」と大峠氏は語った。
