アタックサーフェスとは?
アタックサーフェスとは、企業のデジタルネットワークによって生み出される脆弱性全体を指します。この場合、ネットワークとは「表面(サーフェス)」を意味し、脅威アクターは、アクセスが可能なあらゆる箇所からこの表面への侵入を試みます。
米国政府の『National Initiative of Cybersecurity Careers and Studies』によると、アプリケーションのアタックサーフェスは、攻撃者がソフトウェアに触れることができるエントリーポイントの数を表します。アタックサーフェスが大きいほど、攻撃者が攻撃に使用できる方法も多くなり、反対にアタックサーフェスが小さいほど、攻撃者が脆弱性を発見する可能性は低くなり、システム内で大きな影響を与える悪用のリスクが低くなります。
アタックサーフェスの種類
アタックサーフェス(攻撃可能領域)が実際にどのようなものかを考え始める際には、個々の組織の観点からそれをコンテキスト化することが役立ちます。すべての組織には異なる目標があるため、それぞれの アタックサーフェス管理 方法は異なります。
デジタルアタックサーフェス
デジタルアタックサーフェスとは、あらゆるデバイス上に展開されたウェブアプリケーション、API、サイバーセキュリティプログラムなど、ネットワーク上で「デジタル」、つまり物理的でないものとして分類されるあらゆるものを指します。企業がサプライチェーンパートナーと契約を結んでいる場合、そのアタックサーフェスは特定の組織の境界を越えて自然に広がります。
物理的なアタックサーフェス
物理的なアタックサーフェスには、ネットワークの維持に不可欠な非デジタルハードウェアが含まれ、サーバー、ポート、配線やネットワークケーブル、電話/ノートパソコン/スマートウォッチ/スマートヘッドフォンなどの物理エンドポイントやデータセンターなどがすべて対象となります。
この種のアタックサーフェスへの攻撃では、攻撃者となりうる人物は、こうした有形資産を操作するために物理的に取得やアクセスを行う必要があるため、さまざまな動作が必要となります。
ソーシャルエンジニアリングのアタックサーフェス
上で述べたように、ソーシャル エンジニアリングに関連する攻撃対象領域は主に人間によって構成されています。こうした手法には、フィッシング攻撃、ハニーポット 、リンクスプーフィング、ピギーバッキングなどが含まれます。この種の攻撃は、ネットワークを利用する人間を騙し、目にしている内容が完全に正当であると信じ込ませるように設計されています。
具体的には、エンドポイントにマルウェアをインストールするリンクをユーザーにクリックさせるために作られた偽メール、バッジを忘れたと実際の従業員に信じ込ませようとしてオフィスに侵入する人物、上司や社内の誰かからと思われるテキストメッセージをユーザーに送信するソーシャルエンジニアリングの試みなどです。
アタックサーフェスと攻撃ベクトルの比較
攻撃ベクトルとは、脅威アクターがネットワークにアクセスしようとする単一の経路を指します。アタックサーフェスは、脅威アクターが悪用する可能性があるネットワーク全体に沿ったすべてのベクトルで構成されます。
攻撃ベクトルは、基本的に、攻撃者がシステムに侵入した箇所にあります。そこから、攻撃者は目的の情報またはリソースへの攻撃パスをたどります。例えば、マルウェアには、トロイの木馬、ウイルス、ワームの3つの主要なベクトルタイプがあり、電子メールなどの一般的な通信を利用します。
攻撃ベクトルの一つひとつは小さくとも、こうしたエントリーポイントが数多く作られた結果、脆弱性が高まり、一般的なネットワークがアタックサーフェスとして拡大する可能性が出てきます。ネットワークが動的な攻撃対象領域になっている場合は、Extended Detection and Response (XDR)、クラウドセキュリティ、脆弱性リスク管理(VRM)など、セキュリティプログラム全体について検討を始めることをお勧めします。
フィッシング詐欺などのソーシャルエンジニアリング攻撃が行われる場合、コンピューター、システム、セキュリティ、ネットワークを操作する人間も攻撃ベクトルとなりえます。
アタックサーフェスを特定する方法
アタックサーフェスに沿って脅威アクターが攻撃する可能性のある経路を特定することは、サイバーセキュリティプログラムのうち、動的で多面的、かつ継続的となる最も重要な部分を作成するための演習となります。
Open Worldwide Application Security Project(OWASP)によると、アタックサーフェス析は以下を特定するのに役立ちます。
- セキュリティの脆弱性をレビュー/テストする必要があるシステムの機能と部分
- 多層防御による保護を必要とするリスクの高いコード領域と、システムのどの部分を防御する必要があるか
- アタックサーフェスを変更し、何らかの脅威評価を行う必要がある場合
最後のポイントは、アタックサーフェスを 継続的に分析して特定する必要性と一致しています。 また、セキュリティ担当者は、企業やセキュリティの目標がいつ変更されたかを把握し、リスクプロファイルを調整できるようにする必要があります。 昨日は 攻撃経路 に沿った防御を強化するための修復の優先事項と考えられていたものが、今日ではリストの下位に分類される可能性があります。
アタックサーフェスに、攻撃者が悪用できるネットワーク上のポイントの集合が含まれる場合は、調整されたリスク プロファイルに応じて、その収集がどの程度の頻度で変更される可能性があるかを検討してください。
アタックサーフェス低減のベストプラクティス
脅威アクターが悪用しようとしている多数の脆弱性/ベクトル/侵入ポイントをセキュリティ組織が最小限に抑える上で役立ついくつかのベストプラクティスを見てみましょう。
- 自動化の活用:セキュリティ組織は、古いデータ(古いパスワード、元従業員のデータ、古いバックアップなど)の削除に自動化を使用したり、アクセスしようとする脅威アクターのかなりの割合を排除できるIDおよびアクセス管理(IAM)ポリシーを導入することができます。脆弱性スキャンを自動化することで、弱点を減らし、アタックサーフェスを減らすこともできます。
- 従業員の教育: 多くの場合、従業員はセキュリティチェーンの中で最も脆弱な部分となります。攻撃者がアタックサーフェスに侵入する際にデジタルフットプリントを使用して認証情報を盗む方法についてチームのトレーニングを行うことは必須です。例えば、個人を特定できる情報(PII)や一般にアクセス可能な情報を使用しないことが重要であり、こうしたトレーニングは、最も機密性の高いシステムにアクセスできる主要な従業員を特定し、それらの重要なシステムをさらに保護するための教育に時間を投資する上でも役立ちます。
- デジタルアタックサーフェスの理解:セキュリティ組織が弱点の在り処を特定するには、自社のデジタルフットプリント全体を理解し、攻撃者と同じ視点で眺める必要があります。デジタル資産と、それらがバックエンドでどのように結びついて相互に影響し合うかを社内で徹底的に調べることはもちろん重要ですが、基本的なインターネット検索技術を使用すれば、非従業員や攻撃者が行うのと同様の方法で、インターネット上の自社の存在をマッピングし、迅速に把握することができます。
- 継続的な脅威エクスポージャー管理(CTEM) :CTEMは、セキュリティチームが、自社のビジネスに影響を及ぼす今進行中の、もしくは早急な対応が必要となる脅威を明らかにすることに重点を置いたフレームワークです。このフレームワークには、セキュリティ組織が重大度に応じて脅威に優先順位を付けるための攻撃シミュレーションを含めてもよいでしょう。
クラウド リスク管理(CRM)、拡張検知と対応(XDR)、そしてAIを活用したクラウド異常検知などのツールを活用することで、セキュリティチームのアタックサーフェスを削減し、迅速かつ正確に脅威を排除することができるようになります。