昨今、サイバー攻撃のリスクが増大している。攻撃からIT資産を守るためには、保有するIT資産を適切に管理し、リスクを洗い出す必要があるが、全てのIT資産を管理するのが難しい場合も少なくない。そこで有効な手段として注目されているのが、インターネットにより外部から把握できる情報を用いて管理を行う「ASM(Attack Surface Management)」だ。ASMでは、公開されているサーバやネットワーク機器、IoT機器を分析し、不正侵入の経路となり得るポイントを把握することができる。
3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」に、経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐の飯塚智氏が登壇。経済産業省が2023年5月に発表したASMの内容や各種ツールの活用方法、利用実態や国内の事例などをまとめた「ASM導入ガイダンス」について紹介し、ASMの特徴や注意すべき点などを解説した。
「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら
リモートアクセスによる不正侵入、偵察行為も多発
飯塚氏は冒頭、「ASM導入ガイダンスの対象読者は企業の情報システムまたは情報セキュリティの部門で、セキュリティの向上の施策やツールの検討などを行うべき立場の人材だが、CIOやCISOといった情報セキュリティ戦略に責任を持つ経営レベルにも、その内容を理解しておいてもらいたい」と述べたうえで、同ガイダンスの主な内容を紹介した。
-
ASM導入ガイダンスの構成
まず、国内で発生したサイバー攻撃の事例として、不正に公開されていたVPN機器の認証情報が利用されたケースや、リモートアクセス用の機器やソフトウエアを侵入口として狙われるケースがある。公開情報やインターネットからアクセス可能なIT資産から得られる情報を用いて攻撃対象を選定する“偵察行為”も行われており、遠隔保守用機器の脆弱性を偵察行為で発見されて侵入された事例もあるそうだ。
また「NICTER 観測レポート 2022」によると、インターネット上で到達可能、かつ未使用のIPアドレスに到達するパケットを観測する手法である「ダークネット観測」では、全パケットの半数以上にあたる2800億超のパケットが調査目的のスキャンだと判定されている。
「調査の目的は明確ではありませんが、実際に相当数の偵察行為が行われていると考えられます」(飯塚氏)
