Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

クラウドセキュリティ最前線!SASE、SSEなどのトレンドを語ろう by NetskopeAdvent Calendar 2024

Day 19
@fue_tatsuya(Tatsuya Fue)

ASM(Attack Surface Management)を調べた

Last updated at Posted at 2024-12-17

「ASM(Attack Surface Management)」を経済産業省が推してるらしいというのを最近知りまして(!?)、『ASM (Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~』(以下、導入ガイダンス)というものを経済産業省が出されていたので、こちらの文書を基にASMについてまとめたいと思います。

「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました

現在、私がメインで担当しているMicrosoftにおいても、Microsoft Defenderの機能としてASMがありましたので、クラウドのセキュリティとして関連があるものとしてアドベントカレンダーに参加させていただきました。

ASM (Attack Surface Management)とは

こちら大きなカテゴリで言うと、セキュリティ分野での用語なわけですけれども。
日本語にすると「攻撃対象管理」でしょうか。すなわちインターネットに晒されている攻撃されそうな部分を特定して管理していこうというのがこのASMです。
特にリモートワークやBYOD、クラウド等で多数のデバイスがインターネットに晒されている企業、または各地に拠点が分散している企業などでは非常に重要になってきます。

ちなみに導入ガイダンスではASMを以下のように定義しています。

組織の外部(インターネット)からアクセス可能な IT 資産を発⾒し、 それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス

つまり、攻撃対象となりえる場所を自らの力でインターネットから探し出して、その脆弱性を判定しよう、というのがASMの根本的な思想なわけです。

ASMの重要性

ではなぜASMが重要なのでしょうか。これまでのセキュリティ管理では不十分なのでしょうか。

従来のセキュリティ対策では一般的に次のようなプロセスが取られていました。

情報資産の特定

情報資産の重要度と脆弱性の判定

セキュリティ対策の実施

改善

しかしこの従来のセキュリティ対策プロセスでは以下が前提とされてしまいます。
・すべての情報資産を把握していること
・セキュリティ対策はミスなく実施されること

これらの前提は情報資産が比較的少ない、またはコントロール可能な範囲では大きな問題にはなりませんでした。
しかし昨今ではリモートワークやBYOD、クラウド等で多数のデバイスを簡単に増やすことができ、またGUIでの管理画面により設定値を意識せずに使用することができるようになったため、社内に接続するIT機器がセキュリティ担当者の知らない間に増えていることや、正しく設定していたつもりでも設計上の漏れ、または人的ミスなどが頻繁に発生して、従来のプロセスの前提に準拠することが現実的に不可能な状態にまでなってきています。

社内のセキュリティ担当者をご経験された方であれば、ISMSでどれだけ苦労したかを思い起こされるのではないでしょうか。
そして実際にシャドーITやクラウドの設定ミスなどにより攻撃される事例も増加していました。

それならば攻撃の対象となりえる場所を自主的にインターネットから探し出して、事前に脆弱性を潰してやろう、というのがASMの根本的な思想です。

導入ガイダンスではASMの特徴を次のように記載しています。

  • 情報システムを管理している部⾨が把握していない IT 資産を発⾒できること。
  • 情報システムを管理している部⾨の想定と異なり、公開状態となっている IT 資産を発⾒できること。

つまりこれまでのセキュリティ対策にASMを組み合わせることで、意図しない脆弱性を潰そうというわけです。

それに加えて、自社が外部に晒しているIT資産を検査することにもなるため、全社的なセキュリティ対策のレベルをインターネット側から判定するといったことも可能になります。

ASMツール

ASMは実質的にツールを使用して実施することになりますので、まずはそのツール選定にあたって必要な検討を行うことになります。
ASMは、主に次の3つのプロセスで構成されます。

  1. 攻撃⾯の発⾒
    まずはインターネットからアクセス可能なIT資産を発⾒するところから始まります。
    ここでは関連するIPアドレス、ホスト名、ドメインなどの一覧を取得してきます。
  2. 攻撃⾯の情報収集
    攻撃面を発見したら今度はそのIT資産に関する情報を収集します。具体的にはOS、ソフトウェア、ソフトウェアのバージョン、オープンなポート番号などですね。
  3. 攻撃⾯のリスク評価
    ここまで情報収集した結果をもとにセキュリティリスクを評価します。

そしてリスク評価がされた後、発見されたリスクへの対応を行うこととなります。

これらのプロセスを行うには、どのようにASMを導入するのか、どのようなツールを使用するのかに依存しており各企業によって状況が異なる部分、すなわちはSEの腕の見せ所ですね。

ということで、導入ガイダンスの「3.1 実施計画の策定」以降をご参考いただき、導入を進めていくことになるかと思います。

結論

これまでのセキュリティ対策に加えてASMを利用することで、ざっくり「内側」と「外側」からのセキュリティ強度を高めることができる、ということが理解できました。
特にWebサービスを提供している企業では、セキュリティ事故の予防および保険として有効性が高いと思われます。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?