いま企業では外部公開資産が増えており、サイバー攻撃のターゲットとなっている。2025年2月25〜27日の3日間にわたって開催された「TECH+フォーラム セキュリティ2025 Feb. 今セキュリティ担当者は何をすべきか」において、GMOサイバーセキュリティbyイエラエでプロダクトサービス部長を務める市川遼氏は「脅威の実行者に“狙いやすい企業”だと思われないようにすることが重要」だとハッカー視点から指摘。そのための有効な対策を示した。本記事では同氏による講演の要点を紹介する。

  • GMOサイバーセキュリティbyイエラエ プロダクトサービス部長 市川 遼 氏

    GMOサイバーセキュリティbyイエラエ プロダクトサービス部長 市川 遼 氏

ガードが弱そうに見える企業が狙われる

GMOサイバーセキュリティbyイエラエはセキュリティ診断を主要事業とし、これまで1万500件を超える脆弱性診断や侵入テストを数多くの企業に実施。技術力の高さも、世界最高峰のCTF(Capture The Flag)をはじめ、数々のセキュリティ競技コンテストで優勝している事実に示されている。

同社でプロダクト開発を担う市川氏は、自身がホワイトハッカーとしてさまざまなCTFに出場し、技術と知見を高めてきた。その市川氏は、企業・組織の外部公開資産を経由した攻撃が近年増えていると指摘する。中でもランサムウェア攻撃の場合は約8割が外部公開資産経由の侵入で、6割がVPN機器、2割がリモートデスクトップからという警察庁の調査結果を示し、「攻撃者としても、エンドポイントを攻めるより、内部に近い箇所に直接侵入できるため、コスパが良いと考えられている」と語った。

背景としては、企業で外部公開資産自体が増えていることに加え、Ransomware as a Service(RaaS)と呼ばれるランサムウェア攻撃のビジネス化も要因の一つに提示。“サイバー攻撃で狙われやすい企業”として、「当然ながら、外部から見てガードが弱そうな企業が狙われやすいと考えられます」と指摘した。

攻撃のプロセスとしては、攻撃者は初期段階で一般公開情報を収集・解析し、弱点となる箇所を探す。しかもこうした調査行動は企業側に気づかれないように行われることが多いうえ、公開情報であるため防御が難しいという。

外部から確認できる脆弱性としては「不要なポートの開放」「暗号化されていない認証情報送信」「既知の脆弱性が存在するソフトウェアの利用」を挙げ、こうした脆弱性を有するVPN装置や意図せず公開されたWebサーバーなどを狙って侵入するとして、実際の事例をもとに攻撃手法や被害内容を解説した。

資産把握と脆弱性管理の課題を解決するASM

では、なぜ外部公開資産が狙われやすい状態になってしまうのか。市川氏は外部公開資産が脆弱な状態で放置されてしまう原因として、Webサイト等を企業内の各事業部で簡単に作れたり、海外子会社・グループ会社が増えたりしたことで、管理が難しくなっている状況を挙げる。加えて最近では、既に公開されている「N-day脆弱性」にも留意すべきだとし、「サイバー攻撃に狙われない企業にするには、自社が保有する資産の把握と脆弱性管理、そして脆弱性情報の公開後すぐに対応できる組織づくりが必要です」と語った。

そのうえで、資産の把握と適切な脆弱性管理を実現する手法として、攻撃面(アタックサーフェス)を管理するASM(Attack Surface Management)の考え方を紹介した。ASMは日米の政府機関も推奨する、いま注目の取り組みだ。

市川氏はASMについて、
・保有・管理しているIPアドレスやホスト名を洗い出す「攻撃面の発見」
・利用するOSやソフトウェアのバージョン情報など脆弱性のもとになる情報を収集する「攻撃面の情報収集」
・収集した情報をベースとした「リスクの評価」
・パッチ適用を行うか、リスクを受け入れるのかといった判断を行う「リスクへの対応
の4つのプロセスで構成されると解説。「これらのプロセスを回すことでASMを実現します」とし、各プロセスで求められる具体的な作業と、実際に運用する中でつまずきやすいポイントも説明した。

さらに「ASMを効率的に実施するには、人に依存せず、かつ手間がかからない仕組みが必要です」と語り、GMOサイバーセキュリティbyイエラエが提供する「GMOサイバー攻撃ネットde診断 ASM」というサービスを紹介した。

企業のASMを強力にサポートするソリューション

GMOサイバー攻撃ネットde診断 ASM」は前出の4プロセスに対応する仕組みを備え、全社の脆弱性管理を効率化するものだと市川氏。「当社のホワイトハッカーが攻撃者と同じ目線で外部公開資産の情報を洗い出し、脆弱性情報もツールで自動収集するため、お客様が事業部等にヒアリングして資産の棚卸などを行う必要がないのに加え、情報をもとにリスク評価や対応に関するアドバイス、サポートなども提供します」と説明した。

同サービスはIT資産の棚卸から大まかなリスクレベルの把握、パッチ適用・設定変更といった一次対処に加えて、簡易的な脆弱性診断までをカバー。サービスの開発から運用まで同社で行っているため、突発的なニーズにも柔軟対応できる体制を整えているとし、2024年に話題になったOpenSSHの脆弱性「regreSSHion」にも3日ほどで対応した実績があると話した。

言うまでもなくサービスのバックには、同社の技術力の高いセキュリティエキスパートが多数おり、「脆弱性の内容やトリアージ、対策に関する質問はもちろん、セキュリティマネジメントに強い組織づくりにおける悩みにもお答えします」と市川氏。さらに純国産であること、トータルサポート力、GMOグループの基盤を活用した低価格での提供といった魅力についても語り、講演を締めくくった。

関連リンク