企業の情報システム担当が抑えるべき「アタックサーフェス」とは？

時代とともに、サイバー攻撃が多様化していることで、高い企業セキュリティを維持するために知識をアップデートしていく必要があります。

しかし、高いセキュリティレベルを達成する上では幅広い観点と深い知識が必要になるため、どこから手を付ければ良いか分からない方も多いのではないでしょうか？

この記事では、セキュリティを学ぶ上で押さえておきたい「アタックサーフェス」について解説します。

 

「アタックサーフェス」とは何か？

アタックサーフェスとは、サイバー攻撃の対象となる「IT資産」「攻撃点」などを指す言葉です。

ネットワーク関連機器からWebシステムなどの境界点や外部公開しているシステム、ソフトウェア・OS等のデジタル資産、従業員が使用している端末など物理的資産も全て対象となります。

急速なデジタル化・テレワーク拡大に伴って、今までアナログで行われていた作業もデジタルで賄うようになりました。国内外のグループ会社、取引先・委託先企業を狙ったサイバー攻撃事例も増加し、数年前と比較しても企業が守らなくてはならない範囲は拡大を続けています。

アタックサーフェスは、大きく2つのカテゴリに分類されるため、以下で押さえておきましょう。

 

「デジタル・アタックサーフェス」の例

ネットワークに接続されたハードウェア、ソフトウェア、そのほか全ての構成要素が含まれています。

 

(1)アプリケーション

セキュリティ対策が施されていれば問題ありませんが、少しでも脆弱性が見つかると企業システムの中枢に入るための有効な侵入口となります。

 

(2)コード

第三者によってコンパイルされたコードには、大きな脆弱性が潜んでいる場合があります。

マルウェアが含まれている場合もあり、企業にとって大きなリスクを生む可能性があるのです。

 

(3)ポート

一般的に攻撃者は開いているポート・特定ポートを使っているサービスがないかを探し回っています。

「ポートスキャン」と呼ばれる「外部からパケットを各ポートに順に送信して、その応答によって「どのサービスが稼働しているのか、空いているのかをチェックする」行為にも利用されるのです。

具体的に、悪用されやすいポート番号は以下となります。

 

25番:メールの送信(SMTP)

80番:Webページを公開するためのHTTPサービス

110番:メールの受信(POP3)

443番:暗号化によるWebページを公開するためのHTTPSサービス

 

(4)サーバー

標的となるサーバーに対して複数の端末から一斉に通信を行って、サーバーシステムに過大な負荷を掛けることで「パフォーマンス低下」「機能停止」に追い込む「DDoS攻撃」が脅威として挙げられます。

 

(5)Webサイト

Webサイトのコード欠陥・設定ミスという要素もデジタル・アタックサーフェスに含まれています。

「サイト改ざん」の他、ECサイトなどの注文情報入力フォームにコードを仕掛けて、決済ページ・購入ページからクレジットカード情報を盗み出す「フォームジャッキング」などの被害が増加しているのです。

 

(6)証明書

インターネット上のリスクとなる「盗聴」「改ざん」「なりすまし」「事後否認」などを防止できる電子証明書ですが、気づかない内に失効して、そのままにしてしまう企業が多いです。

証明書が失効している脆弱性を付いて、攻撃者に悪用される可能性があります。

 

「フィジカル・アタックサーフェス」の例

基本的に物理的にアクセス可能な全ての端末が含まれます。

・デスクトップパソコン

・ハードドライブ

・ノートパソコン

・携帯電話/モバイル機器

・USBドライブ

 

有名企業を名乗るメールを送り、本文のURLをクリックさせることで偽サイトに誘導、不正にIDとパスワードを取得する「フィッシング詐欺」によって被害が拡大するケースがあります。

その他、従業員が企業からの承認を受けていないITツールを利用していた場合、ITツールの脆弱性を突いた攻撃が行われる場合も近年は増加しているのです。

 

年々拡大し続ける「アタックサーフェス」

パンデミックを機に、この数年で「リモートワーク」が定着して、ビジネス維持のために大規模な投資がされてきました。

・リモートワークで使用する端末

・クラウドアプリケーションとインフラ

・リモートワークインフラ(VPNなど)

 

今まで対面で行われていたことをデジタルに移行したことによって、攻撃者側から見ると「システムに侵入するための選択肢が増えた」ことになります。

企業のデジタル化が進んでいくにつれて「アタックサーフェス」も比例して増えていくことは避けられません。

 

多くの企業でセキュリティ対策が進まない理由とは？

年々増加している「アタックサーフェス」ですが、多くの企業で比例して「セキュリティ対策」が進んでいないのが現状です。

その理由を、以下で解説します。

 

IT資産に対してどのような対策をすべきか把握できていない

企業側が管理しているIT資産が膨大な数になりすぎているため、どこにどのような外部公開されているIT資産が存在しているかを全て把握しきれないことも原因です。

 

優先度が分からない

対策しなければいけないセキュリティリスクが多岐に渡るため、優先度が分からずに対応できないケースもあります。緊急度に応じて優先順位を付ける必要がありますが、一つひとつのセキュリティリスクを詳細に調べるのは大きな労力となり、現実的ではありません。

 

社内のIT管理者の人員・スキルが不足している

社内のIT管理部門の人員・スキル不足によって、外部公開のIT資産の棚卸しが実施できないケースが多いです。

また、そもそもIT担当者が不在で、セキュリティ対策が不十分となり多くの脆弱性が生まれてしまうことも原因となります。

 

セキュリティ対策に対して費用を掛けていない

IT資産が膨大になるほど、その全てを守るために「人材確保」「最新のセキュリティ対策」に多くの費用を掛けなくてはなりません。

そのため、攻撃された際のリスクが大きいもの、重要度の高いものから優先的に対処が必要です。

しかし、実際には「優先順位付け」を行っていない場合が多く、早急に対策が必要なリスクが高い脆弱性が狙われて、大きな被害を受ける場合があります。

 

アタックサーフェスの管理手順

最後に、「アタックサーフェス」を管理する上での手順を解説します。

 

1 発見・識別

発見する方法として、一般公開されているあらゆる情報を収集・分析して、独自の情報を得る「OSINTツール」や、アタックサーフェス管理を行うASMと呼ばれるツールもあります。

 

2 目録作成

全てのIT資産を網羅した目録を作成します。

単に作成するのではなく、「分類」「ジャンル分け」を行うことが必要です。

理由として、アタックサーフェスのタイプは様々であり、担当部署ごとに優先的に把握したい資産が異なります。

 

3 優先度付けと管理

目録が完成したら優先度を決めて対応します。

具体的には以下の方法が挙げられるため、押さえておきましょう。

 

・脆弱なパスワードを強化する

・脆弱性にパッチを適用する

・古い機器を適切に処分する

・多要素認証を導入する

 

4 継続監視

事業環境・時代の変化とともにアタックサーフェスは変化するため、1〜4のサイクルを回し続けることが必要です。

 

「アタックサーフェス管理ツール」等を導入して対策を行うことが大切

この記事ではアタックサーフェスの種類から、セキュリティ対策が進まない理由、アタックサーフェスの管理手順まで総合的に解説してきました。

年々増加する「アタックサーフェス」に対応していくためにも、セキュリティ担当者が勉強することも大切ですが、「アタックサーフェス管理ツール(ASM)」を導入して対策を行うことも求められます。