見出し画像
Photo by hapi2022

「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」とは

かぴ

注意:著者のナレッジ/経験をベースにした推測ベースの記載を一部含む。また、ページ数のあるドキュメントであるため、細部や重要度の低い情報は省略する。
#用語整理 #規格調査 #ガイドライン調査 #ネットワーク #セキュリティ #とは


「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」とは

一言説明

サイバーキルチェーンにおける「初期偵察(Reconnaissance)」フェーズへのセキュリティ対策のために、自組織へのASMプロセス導入の必要性や導入方法、またその注意事項について詳しくまとめられたガイダンス

概要

2023年5月29日に経済産業省 商務情報政策局 サイバーセキュリティ課によって公表されたもの。
(出典・参考情報1を参照)

サイバー攻撃の被害を受ける原因は、インターネット上で公開されているセキュリティ上の問題を持つIT資産であることが非常に多い。こうしたインターネット上に公開されている自社のIT資産と、そのIT資産が持つセキュリティ上の問題(脆弱性や脆弱な設定)、つまりはAttack Surface(アタックサーフェス、本ガイドラインにおける日本語表記時は「攻撃面」)を特定し、適切に管理・運用をしていくプロセスとして注目を集めているのがASM(Attack Surface Management)プロセスである。

ASMプロセスを自社に導入し、適切に運用していくことの必要性や、導入にあたっての計画や利用するツール、実現すべきレベル感や注意事項などについて詳しくまとめられている。

注意事項
ASM導入ガイダンスとの記載により、「ASMソリューションを導入する手引きである」とのミスリーディングを引き起こす可能性が高いタイトルとなっている。
特に以下2点については要注意。

  • 本ガイダンスでは、インターネット上に公開されているAttack Surface(EAS: External Attack Surface)を対象としており、クローズド環境(インターネット上に非公開)のAttack Surfaceは管理対象外である

  • 現在、セキュリティ対策ソリューション市場の1つにASM/EASM市場があり注目を集めているが、本ガイダンスで導入を推奨しているツールはASM/EASMソリューションではなく、ASMプロセスを実現するための何かしらのソリューション(例えばASM/EASMソリューションや、セキュリティ レーティングソリューションなど)の導入を推奨するものである

本ガイダンス作成の背景

主に3つのポイントからASMプロセスの重要性が評価され、具体的なプロセスの実現・導入のための手引きとして本ガイダンスが作成、公開されている。

1点目:サイバー攻撃被害の拡大
DX推進によりIT技術の役割は重要性を増した。その一方で、サイバー攻撃被害も年々増加。大きな経済的損失に加え、標的や手法によっては生活インフラへの影響も想定されるなど、国民の生活への影響を懸念。

2点目:サイバー攻撃の傾向の変化
近年のサイバー攻撃では、標的を決定する前に広く「初期偵察(Reconnaissance)」を行う傾向にある。
これは、実際の攻撃を行う前段階、準備としての事前調査であり、インターネット上に公開されている情報を対象として行われている。つまり公開Attack Surface(EAS)情報を収集しており、ここに攻撃に悪用できるセキュリティ的な問題点を持つ企業とそのサプライチェーンが、攻撃の対象とされている。

3点目:シャドーITへの対策
企業において自社の資産やネットワークの管理は、構成図や台帳等を使って行われていることが一般的である。一方で、申告漏れや誤認、設定ミスなどにより、管理情報と実態との間に乖離が生じている場合も多い。このギャップにより管理者の認識の外にあるセキュリティ的な問題点を持つ資産、いわゆるシャドーITが攻撃の要因となるケースが多い。

本ガイダンスの要点

「ASMプロセス」とは

ASMプロセスは3つのプロセスで構成される。

出典・参考情報1より引用

リスクが顕在化した場合、必要なリスク対応の実施が求められる。

「ASMプロセス」での評価対象範囲

  • 自社(自組織)

  • グループ企業/子会社/関連会社

  • 取引先企業

「ASMプロセス」の運用頻度

継続的な取り組みの実施が重要であり、年間1回の実施などのスポットで対応の方式は推奨しない

これは、IT資産に関する情報は時間経過によって変化するものであり、日々新たな脆弱性が見つかっている状況を踏まえると、最新のサイバー攻撃への対策のためには定常的な運用が必要不可欠となっている。
※実施頻度は、対応部隊の負荷状況などを見ながら各社で取り決めることを推奨するものであり、例えば月にXX回以上の実施が必要、といった具体的な頻度を指定する記載はない。

「ASMプロセス」導入のメリット/効果

  • 自社のシャドーITとなっているEASを自動で発見可能

  • 自社の意図せず公開設定となっているAttack Surfaceを自動で発見可能

  • 攻撃者目線での自社のセキュリティリスクの可視化

  • グループ企業向けの活用により、グループ全体で統一された基準によるガバナンス適用を実現

  • 取引先企業向けの活用により、サプライチェーン攻撃の予防の実現が可能       など

「ASMプロセス」の実現方法

EAS情報の収集および分析には専用のツールが必要不可欠であり、専用のツールやサービスの活用を推奨する。

ツールに必要な機能例は以下の通り。

  • Attack Surfaceの発見

    • IPアドレスやホスト名(ドメイン)の一覧表示

  • Attack Surfaceの情報収集

    • Attack Surfaceの詳細情報表示

    • ダッシュボード

  • Attack Surfaceのリスク評価

    • リスク評価

    • レポーティング

  • その他

    • リスク対応補助

    • 収集情報やレポートの外部出力

    • 通知

    • ロギング

    • RBAC

    • ケース管理

<実現可能なツール/サービス市場例>

  • ASM/EASM市場のソリューションやサービス

  • セキュリティ レーティング市場のソリューションやサービス

その他の記載内容について

様々な補足情報や注意事項についての記載を含むが、重要なポイントを抜粋してまとめる。

ASMプロセス運用のためのツール活用に必要なスキルセット

本ガイダンス3.2.3章にスキルセットについての情報がまとめられているのでそちらを参照のこと。(出典・参考情報1)

<補足:著者所感>
著者が実際に所属組織でASMプロセス運用を行った所感として、一般的なIT知識を有することは大前提に、最も大事なポイントは本ガイダンス表3-4記載の「組織体制に関する知識」および「システム構成やアーキテクチャに関する知識」であると感じる。実際の運用を行う中で対応を行うのは各部門担当者であり、どのシステムを誰がどのように管理しているかの把握が、ASMプロセスをスムーズ且つ的確に運用していくために最重要な要素である。

注意事項について

不確かな情報を有する可能性について
ASMプロセス内において収集される情報や、指摘されるリスクの中には、不確かな情報や実態に即していない情報が含まれる場合がある。

<具体例>
他社に貸し出しているAttack Surfaceが自社の情報として含まれる可能性がある
IPアドレスが変動するクラウド環境に対する情報が、タイムラグによってリアルタイムの情報と差異が生じている可能性がある
脆弱性スキャンをしているものではないため、脆弱性が確実にあることを指摘するものではない、逆に確実に問題がないことを示すものではない点

評価対象企業への影響の可能性について
利用するツールやサービスによっては、対象となる組織に対して何かしらの影響を及ぼす可能性が想定される。そのようなツールを利用する場合には、事前に評価対象となる組織への承諾/承認を得ることを推奨する。

<具体例>
利用者が任意のタイミングで評価/情報収集を行えるようなツールの場合、評価/情報収集を行った時点での対象システムの負荷が増加する可能性が想定される
擬似攻撃を含むようなツールを利用する場合、評価/情報収集のたびに評価対象企業のセキュリティ機器で何かしらのセキュリティアラートが発砲される可能性が想定される

一般的な脆弱性診断との違いについて

本ガイドラインの中では、2.3章内の図2-2で違いが図示されている。(出典・参考情報1)
しかし、この比較軸である「脆弱性管理ライフサイクル」は、実際にはIPAのドキュメント(出典・参考情報2)上に定義された「脆弱性対策のフロー」をベースにしたものであり、一般的な脆弱性管理ライフサイクルをベースにした軸ではないことに注意。

<補足:脆弱性管理ライフサイク(The Vulnerability Management Lifecycle)について>
一般的に脆弱性管理ライフサイクルというと、Gartner社が提供する5つのフェーズで構成されたフレームワークが想像される。(出典・参考情報3)
Assess(情報の収集と資産の発見)、Prioritize (評価と資産の優先順位付け)、Act(修正対応)、Re-assess(再評価)、Improve(効果測定と継続的な改善)の5フェーズで構成されるものであり、ASMプロセスおよび脆弱性診断のカバー範囲は以下のように考えることができる。

脆弱性管理ライフサイクルに対するASMプロセスおよび脆弱性診断の対象範囲まとめ

注意:上図はあくまで対象領域を示すものであり、評価の粒度やレベル感は考慮していない。

出典・参考情報

1.「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました | 経済産業省

2. 脆弱性対策の効果的な進め方(ツール活用編) ~ 脆弱性検知ツール Vuls を利用した脆弱性対策 ~ | IPA

https://www.ipa.go.jp/security/reports/technicalwatch/hjuojm0000006o48-att/000071584.pdf

3. CYBER SECURITY 101: VULNERABILITY MANAGEMENT | daisy.


この記事が参加している募集

#とは

57,836件

この記事が気に入ったらサポートをしてみませんか?