インターネット経由でアクセス可能なアセットが攻撃者の侵入口とならないように、ITセキュリティ担当者は次のステップを実践すべきです。
ITセキュリティ担当者は攻撃対象領域を常に分析し、保護する必要があります。そのためには、どのアセットがインターネット経由でアクセス可能か常に把握しておく必要があります。
写真:NicoElNino – shutterstock.com
IoTデバイス、クラウドベースのインフラ、Webアプリケーション、ファイアウォール、VPNゲートウェイまで、企業が保有するインターネット接続アセットの数は指数関数的に増加しています。これらは、データ、センサー、サーバー、オンラインショップ、ウェブサイト、その他のアプリケーションへのアクセスを可能にします。しかし、アセットが増えるごとに外部攻撃対象領域も拡大し、サイバー攻撃のリスクも高まります。
アセットの発見だけでは不十分
この外部攻撃対象領域は、多くの企業で日々変化し、非常に複雑であり、セキュリティ担当者にとって大きな課題となっています。どの(新しい)アセットがインターネット経由でアクセス可能か常に把握し、発見されたセキュリティホールについて情報を得る必要があります。CISOは潜在的な脆弱性や設定ミスに敏感でなければなりません。また、発見した脅威にどう対処し、どのような対策を講じるべきかを理解しているチームも必要です。しかし、どの脆弱性を最初に修正すべきでしょうか?企業のITインフラを効果的に保護するには、個々の脆弱性の実際のリスクも考慮した多段階の外部攻撃対象領域管理(EASM)コンセプトが必要です。この反復的なプロセスは、大まかに4つの連続したステップに分けられます。
ステップ1:アセットの特定と分類
すべてのアセットを把握して初めて、効果的な保護と攻撃対象領域の積極的な管理が可能となります。しかし、アセットの特定は言うほど簡単ではありません。これは中堅企業にも当てはまりますが、特に多くの子会社を持つ大企業ではさらに困難です。すべての外部アクセス可能なものを把握するのは難しいのです。これには、従業員が社内IT部門の承認なしに非承認のソフトウェアやクラウドサービスを利用する「シャドーIT」も含まれます。すべての関連アセットを確実に把握するためには、担当者が外部攻撃対象領域を定期的に自動でチェックする必要があります。理想的には、すべての関連アセットが特定され、それぞれの子会社や関連組織に紐づけられます。外部攻撃対象領域管理は、従来のアセット発見や脆弱性スキャンをはるかに超えています。見落とされがちなクラウドアセットや、使用されていない、または誤って構成されたIT・IoTインフラも対象に含まれます。
ステップ2:リスクの検出
どのような脆弱性が存在し、それが自社にどのようなリスクをもたらすかを判断するために、さまざまなレベルでテストが実施されます。特定のアプリケーションに潜在的な危険があるかどうかは、動的アプリケーションセキュリティテスト(DAST)で調べることができます。また、例えば生産設備の制御用など、セキュリティ上重要なデータがすでに意図せずインターネット上で閲覧可能になっていないかも確認すべきです。もう一つのリスクは、未承認のログインです。ここでは認証情報のテストが役立ちます。さらに、企業は自社のアセットが既知の公開された脆弱性の影響を受けていないか常に監視する必要があります。
ステップ3:リスク評価
発見されたすべての脆弱性には一定のリスクがありますが、その重大性は常に同じとは限りません。現実的に評価・分類するために、3つの指標が重要となります。
-
1つ目は悪用可能性(Exploitability)です。中心となる問いは「この脆弱性に対して既知の攻撃ベクトルが存在するのか、それともまだ理論上のもので実際には悪用されていないのか?」です。
-
2つ目は攻撃者にとっての魅力度(Attractiveness)です。ここでの問いは「脆弱性があるのは攻撃者にとって魅力的なアセットやターゲットシステムか?」です。例えば、中央データベースは、他のシステムにアクセスできない子会社のアセットよりもはるかに価値があります。
-
3つ目の指標は発見容易性(Discoverability)です。これは、アセットがどれだけ早く簡単に企業のターゲットとして特定されるかを示します。例えば、ウェブサイト上に直接存在するのか、それとも子会社の「隠れた」リスクとして存在するのか、などです。
ステップ4:優先順位付けと対策(リメディエーション)
外部からアクセス可能な攻撃対象領域のサイバーリスクを効果的に抑えるには、本当に重大なリスクに対してできるだけ短い対応時間を確保することが最も重要です。これは検出だけでなく、関連する脆弱性をタイムリーに修正することにも当てはまります。しかし、ダッシュボードに表示される問題が多すぎて、対応できる人員が足りない場合はどうすればよいでしょうか?その場合は、脆弱性に優先順位を付け、攻撃成功リスク全体をできるだけ早く、できるだけ大きく低減する必要があります。例えば、認証なしで外部から直接アクセスできる顧客データベースは、IPカメラの理論上しか悪用できない脆弱性よりもはるかに重大です。セキュリティ運用チームにとって重要なのは、できるだけ多くの穴をすばやく塞ぐことではなく、最も重要なものを優先的に塞ぐことです。実際、多くの場合、約10件の脆弱性が、その週の企業全体の外部サイバーリスクの最大90%を占めています。対策が完了したら、その有効性をできれば自動で外部から再検証すべきです。
事例:致命的なチェンジマネジメント
EASMコンセプトの利点は、事例で説明できます。「忘れられる権利」に関するリクエストに効率的に対応するため、あるEC事業者が大規模なコード変更を実施する必要がありました。プログラミング作業が膨大なため、社内チームは外部開発者の支援を受けます。外部スタッフのインフラ提供をできるだけ簡単かつコンプライアンスに準拠して行うため、契約先がJenkinsサーバーを設置します。数日後、そのJenkinsサーバーが配置されたサブネットでファイアウォールの変更要求が処理されます。
しかし担当開発者は、この変更によってJenkinsサーバーがインターネットからアクセス可能になったことに気付きませんでした。しかも社内IT部門が管理していないため、セキュリティ監視もありません。サーバーは強化されておらず、標準パスワードも変更されていませんでした。攻撃者はほぼ無防備なサーバーを発見し、ログインに成功、JenkinsスクリプトコンソールでGroovyスクリプトを使ってシェルを実行します。その後、root権限を取得し、アセット配信用のSSH秘密鍵やソースコードリポジトリのAPIキーを発見。それらを使ってコードリポジトリにアクセスし、AWSのAPIキーも見つけます。
これにより、S3バケットに保存されていた数テラバイトのデータ、顧客の個人情報(PII)も含めて流出させてしまいました。もともとデータ保護規則を実現するためのプロジェクトが、結果的に本来守るべきデータの漏洩につながったのです。今後このような攻撃を防ぐため、担当者はこれまで年1回だったペネトレーションテストを四半期ごとに実施することを検討します。しかし、これは善意ながらも本質的な解決策ではなく、EASMにおける最大の課題であるリスク認識の欠如を示しています。
外部攻撃対象領域を効果的に保護し、外部サイバーリスクを最小化したい場合は、企業の公開クラウドアセットやアプリケーション、すべての子会社を含めて、継続的かつ効率・コスト面からもできるだけ自動化して監視・チェックする必要があります。
そうすれば、上記のような設定変更や、外部からアクセス可能なJenkinsサーバーの標準パスワードの存在もすぐに検出され、社内システムで自動的にリスクアラートが発生します。優れたEASMソリューションは、同様のインシデントを将来防ぐための効果的な予防策についても重要な情報を提供します。担当セキュリティアナリストがJenkinsに詳しくない場合、「新しいパスワードを要求するだけ」でリスクが解消されたと考えてしまうかもしれません。しかし、「Jenkinsサーバーはインターネットからアクセス可能にしてはいけない」「標準認証情報は必ず変更すべき」と通知されて初めて、外部サイバーリスクの低減につながります。さらに、攻撃者がすでに侵入している可能性がある場合は、より徹底した調査が必要であるとシステムが警告することもできます。EASMによる継続的な監視で、実施した対策が有効かどうかも検証できます。
継続的かつ集中管理されたEASMでより安全に
これは一例に過ぎませんが、インターネットからアクセス可能な攻撃対象領域を効果的に守るには、半年ごとのペネトレーションテストや脆弱性スキャンだけでは不十分であることを示しています。また、個別のポイントソリューションやプロセスの「つぎはぎ」では、IT担当者が公式には問題ないと安心してしまいがちですが、実際には重要なアセットや脆弱性が見落とされる可能性があります。効果的なEASMは、単なるコンプライアンス基準を超えて、2つの観点から外部サイバーリスクを最小化します。
1つ目は継続性です。すべての外部アセットが正しく把握され、リスク状況が常に最新であることを定期的に確認する必要があります。2つ目は一貫性です。発見・分類からリスク評価、優先順位付け、対策までの各ステップで個別のソリューションを使っても、全体プロセスが最適化されるとは限りません。外部サイバーリスクを効果的に低減するには、4つのフェーズすべてをカバーするEASMの統合プラットフォームが有効です。例えば週次で自動的にすべての関連アセットを特定・分析し、重要なリスクの見落としを防ぎます。
その後、IT担当者に対し、現在企業にとって最も重要な脆弱性と、すぐに修正すべきものを継続的に提示し、具体的なアクションを推奨します。これを迅速かつ効果的に実行するためには、EASMソリューションが既存のプロセスやシステムと連携できることが重要です。これにより、すべての関連情報がシームレスに共有され、重大なリスクが社内で迅速に認識され、対策もタイムリーに実施できます。
最終的には、企業の担当者の対応力も重要です。技術的なソリューションは迅速な検知(MTTD:平均検知時間)を保証し、関連情報を提供できますが、実際の対策完了までの時間(MTTR:平均修復時間)は担当部門の対応速度にかかっています。テクノロジーと人が「手を取り合って」連携すれば、上記4つのステップは企業が外部サイバーリスクを最小化するための有効な方法となります。(jm)
ニュースレターを購読する
編集部から直接あなたの受信箱へ
下にメールアドレスを入力して開始してください。