狙われる「アタックサーフェス」の“あの弱点”に要注意：これで分かる「ASM」（攻撃対象領域管理）【前編】

「攻撃対象領域」（アタックサーフェス）のセキュリティを管理する手法として「ASM」がある。なぜASMが必要なのか。“穴”になりがちなアタックサーフェスと併せて解説する。

[Jon Oltsik，TechTarget]

　組織に対する攻撃の侵入口や経路となり得る領域を「攻撃対象領域」（アタックサーフェス）と呼ぶ。それを把握し、攻撃を防ぐ手法として「ASM」（Attack Surface Management：攻撃対象領域管理）がある。アタックサーフェスを把握する重要性はなぜ高まっているのか。特に“弱点”になりがちなアタックサーフェスと併せて解説する。

盲点になりやすい「あのアタックサーフェス」

併せて読みたいお薦め記事

セキュリティ管理のこつ

• Macセキュリティ管理「mSCP」で“あの危ない機能”の無効化も　その方法とは？
• エンジニアの“コミュ力”不足が「クラウドストレージ」を危険にさらす？

　近年、さまざまなIT製品やサービスが登場し、組織のシステムはますます複雑化している。例えば「IoT」（モノのインターネット）やクラウドサービスを取り入れれば、新たにアタックサーフェスが増えたり、アタックサーフェスが変わったりする。米TechTargetの調査部隊Enterprise Strategy Group（ESG）によれば、「過去2年間でアタックサーフェスが増加している」と捉えている企業が多数派だ。

　他にも、開発者や運用担当者、セキュリティ担当者、従業員などによるシステム設定の変更がアタックサーフェスの変化を引き起こす。ESGによると、組織が攻撃を受ける原因の一つが、攻撃対象領域を十分に把握できていないことだ。特に盲点になりやすいアタックサーフェスは以下の通りだ。

• サポート期限が切れているOSやアプリケーションが稼働しているシステム
• アクセス権限が誤って設定されているシステム
• 管理者の知らない場所に保存された重要データ
• アクセスが制限されていないサーバやAPI（アプリケーションプログラミングインタフェース）
• 公開されているソースコードの一部
• 十分に管理されていない、外部と接続するシステム

　こうして攻撃の入り口になり得るアタックサーフェスが多様になる中で、ASMが重要になっているのだ。以下も、ASMの必要性が高まる一因として挙げられる。

• 新しいセキュリティ規制によるリスク管理強化の必要性
  • 米国証券取引委員会（SEC）の新規則や、欧州連合（EU）の「NIS」（Network and Information Security）指令の改訂案「NIS2」などが含まれる。
• サイバー保険に加入する際、ASMへの取り組みが条件として求められること
  • これを満たさない組織は、保険の適用を受けられなかったり、保険金を請求できなかったりする可能性がある。
• 従来の認証方法で不正アクセスを防ぎ切れないこと
  • 顔や指紋による生体認証の仕組みは導入せずにパスワードや多要素認証（MFA）を使う組織は、認証情報の流出によって不正アクセスを受けるリスクが高まっている。

---

　後編は、ASMとして取り組むべき具体的な対策を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。