CAASMとEASM：攻撃対象領域の発見と管理に役立つトップ12ツール

サイバー資産攻撃対象領域管理（CAASM）または外部攻撃対象領域管理（EASM）ソリューションは、攻撃対象領域を定量化し、それを最小化・強化するために設計されています。CAASMツールの目標は、重要なビジネスサービスを維持しつつ、攻撃者に企業のセキュリティ体制に関する情報をできるだけ与えないことです。

もしあなたが強盗映画を見たことがあれば、世紀の大仕事を実行する最初のステップは現場の下見です。セキュリティ対策の観察、対応時間の測定、脱出ルートの把握などです。このプロセスは、企業のITリソースを攻撃・防御する際にも似ています。インターネット上で公開されているリソースを把握し、技術スタックを理解し、脆弱性や弱点を見つけます。

攻撃対象領域管理の基本

攻撃対象領域とは、何らかの形でインターネットからアクセス可能な企業のすべてのリソース（資産とも呼ばれる）を指します。これには、社内でホストされファイアウォール越しにポートが開放されているアプリケーション、クラウド上のSaaSアプリケーション、またはパブリックに存在するクラウドホスト型リソースなどが含まれます。攻撃対象領域には、開放ポートやプロトコル、使用されているSSLや暗号化標準、ホストされているアプリケーション、さらにはアプリケーションをホストするサーバープラットフォームなどが含まれます。

攻撃対象領域を構成する単位は資産と呼ばれます。資産はIPアドレスやドメイン名と、それを構成する技術スタックの組み合わせです。

脆弱性とは、設定の不備や未修正のソフトウェアによって、悪意のあるユーザーが1つ以上のシステムを侵害するための隙間を残してしまうことです。

攻撃対象領域管理は主にインターネットに公開された資産に焦点を当てていますが、企業データセンターやクラウドネットワーク内の資産も、適切に監視・管理されていなければリスクとなります。これらの資産は外部からアクセスできないため、監視にはソフトウェアエージェントや監視サービスがネットワーク内にアクセスできる必要があります。

サーバーやアプリケーションは、企業ネットワーク内部から見ると脆弱な部分を持っていることがよくあります。監視ツールは、より広範なサービスを評価し、多くの場合、匿名ユーザーと認証済みユーザーの両方としてサービスをテストする必要があります。

ネットワークの定期的なスキャンだけでは、攻撃対象領域を強化し続けるには不十分です。新しい資産や設定の変化を継続的に監視することが、企業リソースや顧客データのセキュリティを確保するために重要です。

新しい資産は、ブランド攻撃やシャドーITの一部となる可能性があるため、特定して監視ソリューションに組み込む必要があります。設定の変化は設計変更による無害なものかもしれませんが、人為的ミスや攻撃の初期段階によるものの可能性もあります。これらの変化を早期に特定することで、サイバーセキュリティチームが適切に対応し、さらなる被害を防ぐことができます。

リスクの発見と管理に役立つ12のツールを紹介します。

Axonius サイバー資産攻撃対象領域管理

Axoniusは、攻撃対象領域の監視に必要な主要要素を網羅した強力なCAASMスイートを提供しています。資産インベントリから始まり、自動で更新され、社内データソースやAxoniusがユーザーネットワーク外でアクセスできるリソースからのコンテキストで補完されます。また、PCIやHIPAAなどのポリシーセットによるセキュリティコントロールに基づいた監視も可能で、ポリシー違反となる設定や脆弱性を特定し、ユーザーが対応できるようにします。Axoniusクラウド全体のAWSマーケットプレイスでの価格は、500資産で年間90,000ドルからです。

Bugcrowd EASM

Bugcrowdは2024年5月にInformerのEASM製品を買収し、自社のセキュリティプラットフォームに統合しました。ウェブアプリケーション、API、その他の公開ITスタックの資産発見を自動化します。これらの資産は継続的に監視され、リスクがリアルタイムで優先順位付けされます。Informerは手動によるリスク検証やペンテストの追加サービスも提供しています。ワークフロー型の対応システムにより、既存のチケッティングやコミュニケーションアプリと連携して複数チームでのインシデント対応を実現します。脅威が特定されて対処された後は、構成変更やシステム更新によるリスクの完全な解消を即座に再テストできます。

CrowdStrike Falcon Exposure Management

CrowdStrikeは、Falcon Surfaceを単体のEASMツールから、Falcon Exposure Managementの中核機能へと進化させ、AIネイティブコードを追加して企業リスクを積極的に特定・排除できるようにしました。このソフトウェアはアラートの特定にとどまらず、攻撃者視点のAIを活用して実際のリスク低減を実現します。ビジネスコンテキストと脆弱性を関連付け、エクスプロイト可能性を検証し、Falcon内で直接修復が可能です。企業は外部からの視点で攻撃対象領域を把握し、アクティブ・パッシブ・APIベースのスキャンなど様々な手法でインターネット接続資産を発見できます。独自の継続的インターネットマッピング技術により、位置情報やリアルタイムの変化も把握可能です。顧客は最大98%の重大脆弱性削減、75%の外部攻撃対象領域縮小を実感しています。価格は非公開で、エンタープライズソフトウェアバンドルには含まれません。管理対象エンドポイントごとのサブスクリプションライセンスで購入でき、各階層で未管理資産のカバレッジも含まれます。上記リンクにはインタラクティブデモもあります。

CyCognito 攻撃対象領域管理

CyCognitoのCAASM製品は、オンプレミス、クラウド、サードパーティ、子会社など、どこに存在する資産でも継続的な監視とインベントリを提供します。所有権や資産間の関係などのビジネスコンテキストを追加でき、トリアージやリスク対応の優先順位付けに役立ちます。このコンテキストとインテリジェントな優先順位付け（エクスプロイトの容易さや資産分類などの評価）は、ネットワークで最も重要なリスクに集中するのに役立ちます。CyCognitoは資産の設定変更も追跡し、変更履歴の確認や新たなリスクの特定が可能です。AWSマーケットプレイスでの価格は、250資産で年間30,000ドルです。

JupiterOne サイバー資産攻撃対象領域管理

JupiterOneは、自社のCAASMソリューションを、サイバー資産データをシームレスに集約し統合ビューを提供する方法として提供しています。必要に応じて自動的にコンテキストが追加され、資産間の関係も定義・最適化でき、脆弱性分析やインシデント対応を強化します。カスタムクエリにより、サイバーセキュリティチームが複雑な質問に答えられ、インタラクティブなビジュアルマップで資産インベントリを閲覧し、インシデントの範囲評価や対応優先順位付けが可能です。既存のセキュリティツールへの投資も統合によって活用でき、JupiterOneを企業セキュリティ体制の包括的な中央ビューに変えます。AWSマーケットプレイスでの価格は企業規模に応じており、最大500名の従業員で年間24,000ドルからです。

Microsoft Defender 外部攻撃対象領域管理

Microsoft Defender EASMは、シャドーITや他のクラウドプラットフォームに存在する資産を含む、未管理資産やリソースの発見を提供します。資産やリソースが特定されると、Defender EASMは技術スタックのあらゆる層（基盤プラットフォーム、アプリフレームワーク、ウェブアプリ、コンポーネント、コアコード）で脆弱性を調査します。新たに発見されたリソースの脆弱性を、発見と同時にリアルタイムで分類・優先順位付けし、迅速に修復できます。MicrosoftのSecurity CopilotやExposure Managementと連携し、攻撃対象領域のスナップショットを取得できます。Defender EASMは、より実用的なデータダッシュボードも強化されています。管理資産1件あたり月額1セントで提供されます。

Outpost24 EASM

Outpost24はベルギーのソフトウェア企業Sweepaticを買収し、そのEASMツールを脅威インテリジェンス、データ漏洩、ペンテストモジュール群に組み込みました。EASMソフトウェアは直接またはマネージドサービスとして提供され、DNSや他のTCP/IP情報を用いたパッシブなデータ収集や、AWSやAzureなどのクラウドプロバイダー、ServiceNow、Slack、Axonius、AtlassianのJiraなど主要ソフトウェアとの直接接続によるデータ収集も可能です。価格は年間17,000ドルからで、管理資産数や他のセキュリティモジュールとの統合などの要素によって決まります。

Palo Alto Networks Cortex Xpanse

XpanseはPalo AltoのXSIAM製品群の一部ですが、単体でも購入可能です。単体製品では機能がやや限定されています。2020年の買収から生まれ、XSOARや他のXSIAMモジュール（プレイブック自動化や修復を含む）と緊密に統合されています。また、Qualys、Jira、ServiceNowなどのサードパーティツールとの連携もサポートしています。豊富なプリセット検出ルール、クエリや発見ルーチン構築を支援するウィジェット、多数のカスタマイズ可能なデータダッシュボードが付属しています。

Rapid7 Surface Command

Surface Commandは、Rapid7が提供する多数のモジュール（脆弱性・インシデント管理、クラウドネイティブセキュリティなど）の一つです。脅威の露出、検出、対応を統合し、エンドポイントからクラウドまでの脆弱性を俯瞰し、セキュリティギャップを解消し攻撃を防止します。ブラインドスポットの排除や対応・修復の迅速化を目的としています。セキュリティ運用担当者向けのエージェンティックAI機能も搭載され、脅威対応を支援します。価格は監視資産の平均数に基づく複雑な計算式で決まり、無料トライアルも利用可能です。

RiskProfiler.io EASM

RiskProfilerは単一プラットフォームで、ダークウェブ、デジタル監視、新たなハッキングキャンペーンの追跡、脆弱性、サプライチェーン攻撃など、すべての外部脅威を管理します。これらの脅威はエージェンティックAIツールと連携し、統合脅威コーパスを提供します。製品にはオープンソースと独自アルゴリズムの両方をカバーする13,000のルールがプリインストールされています。ベンダーのサードパーティリスク評価を脅威インテリジェンスの一部として分析するモジュールもあります。さまざまなビューを表示できるカスタマイズ可能な管理ダッシュボード付きです。管理資産数や導入モジュール（継続的評価か定期評価か）、直接購入かマネージドサービスパートナー経由かによって価格が決まります。

SOCRadar AttackMapper

SOCRadarは、AttackMapperを通じて、ユーザーに攻撃者視点での資産把握を提供する汎用脅威インテリジェンスツールです。エージェンティック型脅威インテリジェンスを活用してスマートワークフローを構築し、資産の動的監視をリアルタイムで行い、新規または変更された資産を特定し、それらの変化を潜在的な脆弱性として分析します。SOCRadarは既知の脆弱性や攻撃手法と調査結果を関連付け、意思決定やトリアージのためのコンテキストを提供します。AttackMapperはエンドポイントやソフトウェア脆弱性の監視だけでなく、SSLの弱点や証明書の有効期限、DNSレコードや設定なども対象です。ウェブサイトの改ざんも検出でき、ブランド保護やダークウェブ・ブロックチェーン監視、データ漏洩防止、ドメイン削除などのモジュールもあります。無料版があり、有料版はデジタルフットプリントの規模に応じて年間8,000ドルからです。

Tenable ASM

TenableのASMツールは、攻撃経路の可視化、脆弱性評価、より広範な脅威状況の把握に役立つデータ収集を行う統合型Oneエクスポージャ管理プラットフォームの一部です。Tenableの統一アプローチにより、セキュリティチームは最新のインベントリとエクスポージャコンテキストを取得し、自信を持ってリスクの特定・優先順位付け・排除が可能です。200項目のメタデータ、重大度ランク付け、包括的なフィルタリングで資産を容易に分類でき、攻撃対象領域の変化に応じてインフラ変更も監視し、最新の資産状況を把握できます。

ベンダー候補に尋ねるべき質問：

「攻撃対象領域が静的で簡単に追跡できると想像する時代は終わりました。攻撃対象領域の状態は時に気付かないほど変化します」とPalo Alto NetworksのUnit42は2023年の脅威レポートで述べています。これは、ASM導入を検討する際、これらの変化がどのように発生し、どのように無効化できるかを理解する必要があることを意味します。チームやベンダーに尋ねるべき質問をいくつか挙げます：

• サイバー型と外部型、どちらのASMツールが必要か？社内・社外どちらの脅威を重視するか、オンプレミスインフラの割合によって異なります。
• どれだけ自動化されており、その効果は？ASMツールは、デジタル証明書、公開ユーザー認証情報、その他のインターネット公開サーバーやサービスを含む、すべての脆弱な資産を発見できるか？発見時のメタデータや詳細（開放TCP/IPポートやネットワーク共有など）はどうか？
• 脆弱性が発見された後、どのように修復されるか？自動で修正されるのか、人手が必要か？
• ASMツールは継続的監視を行い、これらの変化はどのように報告されるか？
• どの脆弱性が共有され、どのように他のSOCツールと連携・統合されるか？
• ASMの結果を管理者や他の利用者向けに異なるダッシュボードで表示できるか？クラウドセキュリティチームや監査担当者など、異なるユーザーにとってより実用的で有用なものになっているか？
• 最後に、ベンダーの価格体系を必ず理解してください。ほとんどは複雑な使用量ベースのカスタム見積もりであり、公開・透明な価格を提示しているところはごくわずかです。