システムが多様化したりインターネット接続が増えたりすると、侵入口になる「攻撃対象領域」(アタックサーフェス)も広がる。アタックサーフェスを管理し、攻撃を受けるリスクを減らすにはどうすればいいのか。
組織に対する攻撃の侵入口や経路となり得る「攻撃対象領域」(アタックサーフェス)が、システムの複雑化とともに広がっている。その対策として注目されるようになったのが「ASM」(Attack Surface Management:攻撃対象領域管理)だ。アタックサーフェスを守るには、ASMをどう活用すればいいのか。6つのポイントを紹介する。
アタックサーフェスが広がる背景として、以下が挙げられる。
現在、ASMツールを提供する主なベンダーはPalo Alto NetworksやCyCognito、Detectify、IONIXなどだ。ASMに取り組む際の6つのポイントは次の通りだ。
ゼロトラストセキュリティでは、社内外のユーザーを問わず、全ての通信を「怪しい」と見なして、アクセスの際に必ず認証を求める。ASMにおいても、ゼロトラストセキュリティは重要な取り組みになる。既存のシステムへの影響を抑えながら移行するために、アプリケーションごと、ネットワークセグメントごと、ユーザーグループごとにゼロトラストを段階的に実装するのが一般的だ。
全てのエンドユーザーに無制限のアクセスを許可する組織もあるが、近年はセキュリティやコンプライアンス(法令順守)の観点から、エンドユーザーごとにアクセスを制御する動きが広がっている。ASMでは特に重要なシステムに対してアクセスを厳格に管理し、誰からアクセス要求があったかを監視することが重要だ。こうしたプロセスを「IDガバナンス」と呼ぶことがある。
組織が大規模になるほど、部門ごとに使用するハードウェアやソフトウェアは多様になり、システムの構成要件はばらばらになりがちだ。安全性を高めるにはシステムの構成要件を標準化することが大切だが、システムが複雑化するほど共通の基準は定めにくくなる。とはいえ、異なる基準は脆弱(ぜいじゃく)性が生まれるポイントになりかねない。システム全体に共通する基準を策定しつつ、ASMでアタックサーフェスを管理することが重要だ。
ソフトウェアの脆弱性を悪用した大規模な攻撃が発生している。例えば近年では、プログラミング言語・実行環境「Java」のログ出力ライブラリ(部品群)「Apache Log4j」や、ソフトウェアベンダーProgress Software(旧Ipswitch)のファイル転送ソフトウェア「MOVEit Transfer」を悪用した攻撃が注目を集めた。
「ソフトウェア部品表」(SBOM)がある。SBOMを使ってソフトウェアのコンポーネントや依存関係を管理することは、脆弱性を特定して迅速に対策を講じることに役立つ。ソフトウェア開発者やセキュリティチームはASMの一環としてSBOMを活用することで、悪用される可能性のある脆弱性を特定し、アタックサーフェスを減らせるようになる。
組織には、インターネットに接続しているものの十分に管理されていないシステムが存在する場合がある。放置された古いシステムは攻撃の入り口になりかねない。以下はその一例だ。
組織はこうした対象を探し出し、迅速に修正したり削除したりすれば、攻撃リスクを下げることができる。
ネットワーク機器などインターネットへのアクセスポイントもアタックサーフェスになり得る。インターネットへのアクセスポイントを削除したり統合したりすることで、その数を減らすことが重要だ。
アタックサーフェスを削減するための万能な方法はない。本稿で紹介したASMの6つのポイントを軸に、全社で取り組むことが大切だ。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
