ウィズセキュア株式会社
サイバーセキュリティ技術本部
ソリューションアーキテクト
太田 浩二氏
アタックサーフェスとは、ネットワーク機器、インターネットに接続されたシステムやアプリケーション、デバイス、外部に公開しているWebサイトなど、サイバー攻撃者に狙われる可能性のある環境/領域を指す言葉だ。例えばネットワーク機器ではファームウエアの脆弱性が不正アクセスの対象になりやすい。Webサイトやアプリケーションでは脆弱性を突かれることによる改ざん、DDoS攻撃などのリスクがある。
これらを狙う攻撃が増える中、実際の被害事例も多数報告されている。例えば、2024年2月に公表されたリモートアクセスツール ConnectWiseの脆弱性は、1台当たり最大15万台のクライアントを収容できるインターネット上のサーバー1万台以上に影響を及ぼした。「また、7月に発見されたリモートサインイン用接続ツールOpenSSHの脆弱性は、LinuxOSに加えて大手ネットワーク機器メーカーのデバイス150種類にも影響を与えました」とウィズセキュアの太田 浩二氏は紹介する。
ウィズセキュアは、先進的なサイバーセキュリティテクノロジープロバイダーの「F-Secure(エフセキュア)」を前身とした企業である。2022年3月、エフセキュアが個人向け/法人向けで事業を分割したことに伴い、法人向けセキュリティサービスの新ブランドを担う組織として立ち上げられた。
同社が指摘する通り、いまやアタックサーフェス管理(ASM)は企業・組織にとって喫緊の課題になっているといえるだろう。日本でも2023年5月に経済産業省がASMのガイドラインを発表し、企業のセキュリティー戦略にASMを組み込むことを奨励している。
「脅威の侵入はもはや防ぎきれないという考え方のもと、『事前防御』から『事後対処』への対策のシフトが起こったのが2010年代の初めです。そこではEDRなどのソリューションが広く導入されるようになりました。ところが、現在のアタックサーフェスに対する脅威の拡大を受けて、あらためて攻撃を未然に防ぐことの重要性に注目が集まっています。そこでは、単に検知して対処するだけではなく、アタックサーフェスをなるべく減らすことで、攻撃を『予防』するアプローチが重要になっています」と太田氏は言う。