検索
特集/連載

「見えない侵入口」がクラウド予算を溶かす 情シスが今すぐ導入すべき“ASM”とは導入の判断基準と実務上の利点

クラウド利用の拡大に伴い、「攻撃対象領域」が急増している。設定ミスや特権の放置が招くリスクを、どう可視化し制御すべきか。「クラウドASM」がもたらす実利を解説する。

Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 企業でクラウドの利用が拡大している中、サービスやアイデンティティー、API(アプリケーションプログラミングインタフェース)、設定ミスなど、侵入口になる「攻撃対象領域」(アタックサーフェス)も広がっている。これらを狙った攻撃に、従来のセキュリティツールでは対抗できない可能性があるので、クラウドに特化した「ASM」Attack Surface Management:攻撃対象領域管理)を利用する必要がある。「クラウドASM」を使えば、何ができるのか。

クラウドASMの主な機能、メリット・デメリットとは

 クラウドASMは、インターネットに接続されたクラウド資産を可視化して分析し、リスク対策を打ち出すための仕組みだ。クラウドASMツールはクラウドプロバイダーのAPIやDNSレコード、アクセスポリシーなどから情報を収集して関連付けた上、攻撃者が悪用できるさまざまなアタックサーフェスを洗い出す。クラウドASMツールの中には、AI(人工知能)技術を取り入れて異常検出に生かすものもある。以下でクラウドASMの主な「できること」を見てみよう。

  • 継続的なクラウド資産の特定
    • インターネットに接続されたエンドポイント、API、ストレージサービス、仮想マシン、サーバレス機能、アイデンティティーと、その関連データを自動識別する。
  • 外部露出マッピング
    • インターネットで攻撃者が見ることができるクラウド資産の表示。これには、エンドポイント、オープンになっているポート、漏えいしたDNSエントリ、クラウドストレージ「Amazon Simple Storage Service」(Amazon S3)のバケット(データ保存領域)といったクラウド特有の露出情報が含まれる。
  • 設定ミス検出
    • セキュリティ団体のフレームワークやセキュリティベンダーのベストプラクティスに基づいて、リスクのある設定や非準拠設定を報告する。
  • アイデンティティーとアクセスの可視性
    • ロール(従業員の役割)、信頼関係、アクセス権限などをマッピングし、特権昇格の経路を特定する。
  • リスクの優先順位付け
    • 悪用の可能性、影響範囲、ビジネスへの影響に基づいてリスクをランク付けする。

従来のASMとクラウドASMの違い

 全てのASMツールは基本機能が共通しているが、クラウドASMには特有の機能もある。従来のASMツールは、インターネットに接続されたIT資産や外部とつながるIT資産(ドメイン、セキュリティ証明書、IPアドレス、インターネットに接続されたサービスなど)に焦点を当てている。これらのツールはセキュリティや運用の担当者が、攻撃者が狙い得るアタックサーフェスを理解するのに役立つ。一方でクラウドASMはさらに一歩進んで、クラウドサービスの設定ミスやアクセス特権、API、アイデンティティーなどを、専用サーバや従来のIPアドレスに結びついていなくても発見できる。

 企業はクラウドASMツールを用いることで、以下の質問への答えを得られる。

  • 外部に公開されているクラウドサービスは何か
  • 侵入後の攻撃拡大リスクを高める内部のクラウドアイデンティティーは何か
  • どのAPIやサーバレス機能が攻撃されやすいのか
  • 脆弱(ぜいじゃく)性になるクラウドの設定ミスは何か

クラウドASMが必要な企業

 金融機関や医療機関、ITサービスを手掛ける企業など、複数のプロバイダーにまたがった複雑なクラウドシステムを運用する企業はクラウドASMの恩恵を受けやすいと考えられる。

 クラウドASMは継続的かつ証拠に基づいた可視性を可能にするため、コンプライアンス(法令順守)やガバナンスの観点から強固なセキュリティが求められる企業にとってもメリットがあるとみられる。他には、脆弱性管理を強化したり、クラウドの可視性を高めたりしたいと考えている企業もクラウドASMツールの導入を検討すると良いだろう。

クラウドASMの利点と課題

 クラウドASMの導入を検討する企業は、その利点と欠点を理解する必要がある。

利点

  • クラウド設定ミスの削減
  • IT部門が把握、承認していないクラウド利用「シャドークラウド」の早期発見
  • コンプライアンス体制の強化
  • 攻撃対処への備えやすさ
  • クラウド資産露出の低減

課題

  • クラウドASMツールにアラート優先順位付け機能がない場合のアラート疲れ
  • クラウドASMツール運用による業務負荷
  • クラウドASMツールの利用によって生じ得る、セキュリティ、開発、運用の各担当者の摩擦

 クラウドASMは、クラウドの何が露出しているのか、なぜそれを把握する必要があるのか、リスクをどのように軽減するかについて、企業に継続的な洞察を提供する。クラウドASMツールの採用には運用の課題が伴うが、メリットと天びんにかけたら、クラウドASMツールは企業にとって重要な武器になると言える。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る