近年、サイバーセキュリティ業界において、「アタックサーフェス」という言葉を耳にする機会が増えている。アタックサーフェスとは、端的にいうと、サイバー攻撃が可能な領域だ。

サイバー攻撃対策として、このアタックサーフェスをマネジメントするソリューションが出てきているが、トレンドマイクロ シニアスレットスペシャリスト 平子正人氏は、「アタックサーフェスはマネジメントするだけでは足りない」と指摘する。

では、サイバー攻撃の防御に向けて、アタックサーフェスはどう扱うべきなのだろうか。

  • トレンドマイクロ シニアスレットスペシャリスト 平子正人氏

そもそも「アタックサーフェス」とは?

情報漏洩、ランサムウェア攻撃など、日々さまざまなサイバー攻撃による被害が報じられている。その原因もさまざまであり、VPN機器が狙われることもあれば、クラウドサービスの設定ミスから不正侵入されることもあり、攻撃対象は広がる一方だ。

平子氏は、コロナ禍のビジネス環境や働き方の変化に対し、対策が追いつかないことから、攻撃対象となるデジタル資産が拡大していると指摘する。

トレンドマイクロでは、アタックサーフェスについて、「攻撃を受ける可能性のある全てのデジタル資産」と定義している。ただし、アタックサーフェスは「外部接続している資産のみ」と定義しているベンダーもあるという。

  • アタックサーフェスとは「攻撃を受ける可能性のある全てのデジタル資産」

同社の調査によると、法人組織の7割以上がアタックサーフェスの拡大に懸念を感じていることがわかっている。一方、NISTのサイバーセキュリティフレームワークにおいて、多くの企業がリスクマネジメントを含む「識別」の機能に対するセキュリティ成熟度が相対的に低いと感じていることも明らかになっている。

こうした状況について、平子氏は「デジタル資産が管理されていないと、実効性のある対策が立てられていない」と分析する。

「アタックサーフェスマネジメント」と「アタックサーフェスリスクマネジメント」の違い

最近、アタックサーフェスをマネジメントする製品が出てきている。この種の製品では、アタックサーフェスを可視化する。これによって、「デジタル資産の継続的な監視」「デジタル資産の発見」が可能になる。

さらに、トレンドマイクロでは、アタックサーフェスマネジメントだけでは「ビジネスにどう影響するのか」 という要素が欠けているとして、アタックサーフェスのリスクマネジメントまで行うことが必要と考えている。

ビジネスリスクと情報セキュリティリスクは密接な関係にあるため、ビジネスと技術の双方の観点からリスクマネジメントが必要となる。技術やシステム、情勢の変化、脅威の動向によって、アタックサーフェスは変動するため、継続してリスクマネジメントを行うことが重要だという。

平子氏は、「アタックサーフェスマネジメント」と「アタックサーフェスリスクマネジメント」の違いを、ビルのドアに例えて説明してくれた。

前者では、「外部と接しているドアの数」「カギがないドアの数」など攻撃対象となるドアの把握が行われる。一方、後者では、「攻撃が行われるとリスクの高いドアの把握、評価、軽減」まで行われる。外部と接しているドアであれば、警備員の配置とIDカードと生体による認証が行われているかまで把握する。

「アタックサーフェスマネジメントでは、アタックサーフェスの把握、可視化だけで終わってしまう。ビジネスの影響へも踏まえて、リスクを加味することが重要」(平子氏)

  • ビルのドアで考える「アタックサーフェスマネジメント」と「アタックサーフェスリスクマネジメント」の違い

「アタックサーフェスリスクマネジメント」のポイント

では、「アタックサーフェスリスクマネジメント」は、具体的にどのようにして実行すべきなのだろうか。

トレンドマイクロでは、アタックサーフェスリスク マネジメントとして、攻撃の「可能性 」とビジネスへの「影響」をかけあわせた「リスク」を評価することを提言している。さらに、リスクをマネジメントすることで、リスクごとに必要とされる対策を行い、リスクを軽減することが可能になる。

  • 「アタックサーフェスリスク マネジメント」の概要

平子氏は、「企業は、BCP、為替リスクなどリスクマネジメントに取り組んでいるはず。しかし、デジタル資産のマネジメントは単発で終わってしまうことが多い。お客様からもデジタル資産は寿命が短いので、管理が難しいと聞いている。特定の時点での評価は意味をなさないので、継続的に行うことが重要」と語る。

まず、アタックサーフェスリスクマネジメントを行う上で、人手で行うのは現実的ではないので、サポートするソリューションを導入して、自動化を図る必要があるそうだ。その際、脅威インテリジェンスをどこまで反映できるかどうかがポイントとなる。

そして、平子氏は「ステップを踏むことが大事」と話す。「専門家のアセスメントを受けて、自社のセキュリティの成熟度を把握することが大事。組織のゼロトラスト実現に向けて、アタックサーフェスリスクマネジメントを組み込んでもらう」と同氏。

また、セキュリティのガイドラインは状況に応じて変わるので、その最新情報をキャッチアップすることも大切なほか、CISOやセキュリティ担当者が経営層と意識を合わせることも必要だという。

さらに、平子氏はプロアクティブなアタックサーフェスリスクマネジメントとリアクティブなXDRを連携することで、重大なインシデントの発生の抑制につながると話す。

事業継続において、もはやサイバーセキュリティのリスクを無視することはできない。自社のアタックサーフェスについて、再点検されてはいかがだろうか。