次世代セキュリティー・ソリューション　ASMとは？

最近、弊社でRandoriというASMソリューション・プロバイダーを買収し、現在ASMソリューションを勉強中ですが、非常に面白いので久しぶりに投稿します。

ASMソリューションとは？
ASMとは、Attack Surface Managementの略で弊社では 攻撃対象領域管理と日本語訳しています。頭にExternalを付けて外部攻撃対象領域管理(EASM)とも言われています。ASMは日本において、現在セキュリティー用語としてはゼロトラストのようにトレンドにはなっておらず、まだ普及していませんが、海外では多くの企業が導入を開始しており、EASMが2022年のセキュリティー投資優先度１位になったとの調査レポートもあり、セキュリティ業界において注目されています。
では、ASMソリューションとは何かですが、簡単に言うと攻撃者の視線に立って、攻撃者がターゲットとする対象企業の外部公開されている資産を見つけ、その結果を優先順位付けし、レポートしてくれるソリューションです。弊社ASMソリューション：Randoriの動きに沿ってその機能を説明していきます。
・Eメールアドレスから始まる偵察
まず第一にお客様の攻撃対象領域を把握する為に、攻撃者やRandoriのレッド・チームが何年もの間使用してきたのと同じ偵察技法を模倣します。この偵察手法は、E メールから開始し、担当者、従業員、子会社、買収先、利用するクラウド・プロバイダー、および何よりも重要な露出している資産の情報にまで広げて、お客様の攻撃対象領域情報を構築します。この作業をする行う為に必要なお客様の情報はEメールアドレス１つだけです。
・対象企業の露出している資産の発見
対象企業及び子会社・海外現法など関係会社が自社で認識している、していないに関わらず、外部に露出されている資産を発見します。ここでポイントとなるのは認識していないが露出されている資産があるという事実です。シャドーIT、設定ミスなどにより意図せず公開しているシステム環境、廃止されたシステムやアプリケーション（ゾンビ・システム）、買収や合併などにより把握しきれていないシステムなどが存在する可能性があります。私も多くのお客様と会話する中で、特に海外子会社の資産に関しては把握しきれていないお客様が多いように見受けらます。
・分析結果の優先付け
Randoriでは攻撃者を模倣し、攻撃者にとって最も魅力的な標的を、Randoriの経験豊富なセキュリティー専門家によって設計された分析エンジンを使って見つけ出します。その結果、露出している資産を６つの要因にわたって分析し、自動的にスコアリングして優先順位付けをします。ここでの重要なポイントは、単に脆弱性の数や重大度だけを見てトリアージする従来の脆弱性管理ソリューションとは違い、資産の固有の特性とビジネス・コンテキストを分析し、攻撃者から見て魅力的な資産を判別する事です。

従来のソリューションとの違い
一般的なASMソリューションと　脆弱性スキャナーやペンテストとの違いを簡単にまとめてみます。脆弱性スキャナーとの違いは上記にも少し記載しましたが、特徴的な違いは、脆弱性スキャナーはお客様が認識している既知の資産に対して行うものであり、ASMソリューションのように未知の資産に関しては対象外となる点です。また、ペンテストをベンダーに依頼する会社も多いと思いますが、基本的には一回切りで１年に1回程度実施していると思いますが、ASMソリューションは継続して行うものであり、お客様のシステム環境の変化やニュースになるような新しい攻撃手法へも迅速に対応出来る点が大きな違いと考えています。

最後に
本日はRandori ASMソリューションの中のRandori Recon（外部攻撃対象領域管理）についてご紹介することによってASMとは何かをご説明させて頂きました。ASMソリューションにご興味頂けましたら、資料などもございますので小職までご連絡頂ければ幸いです。

日本アイ・ビーエム株式会社
デジタルセールス事業部
Advisory Security Digital Sales Specialist
牧野　賢二
makinok@jp.ibm.com