狙われているのは外部公開資産?!ASMソリューション選定のポイント
目次
- なぜASMの取り組みに注目が集まっているか?
- 近年の攻撃傾向とは
傾向1. 未把握の外部公開資産を経由して侵入する攻撃者
傾向2. 海外拠点のセキュリティインシデントの増加 - 企業が直面する2つの課題
課題1. 資産未把握の課題の解決
課題2. 対処優先度の課題の解決
1. なぜASMの取り組みに注目が集まっているか?
ASMの取り組みに注目が集まっている要因として、外部公開資産経由でのインシデントが急増していることが挙げられます。
従来の攻撃手法といえばUSBやWeb、メールを経由しコンピューターウイルスやマルウェアを配送し社内へ侵入するという方法が主流でしたが、セキュリティ対策が進んだことでこの方法では攻撃が難しくなってきました。そのため、第4の経路として、「不用意に公開されたRDP経由での侵入」や「VPN・FW機器やサーバの脆弱性悪用」といった外部公開資産経由での侵害が多くなっています。
警察庁のデータによると、感染経路の83%※がVPN機器やリモートデスクトップからの侵入だと公表されており、外部公開資産が攻撃者にとって格好の侵入経路となっていることがうかがえます。
※出典:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf
2. 近年の攻撃傾向とは
続いて、最近特に気をつけてほしい攻撃の傾向を2つご紹介します。
傾向1. 未把握の外部公開資産を経由して侵入する攻撃者
印象的な事例として米国のA社、国内製造のB社があります。
どちらも情報システム部門が未把握であったVPN機器の脆弱な点をつき侵入されてしまい、操業停止に陥ったことで大きな社会的インパクトをあたえました。
A社の事例は、過去に様々なテストをしていたが把握できていない、いつ設置したのかも分からないサーバから侵入されたケースです。B社の事例は、子会社が取引先との情報連携のために、独自に設置したサーバから侵害されたケースでした。
サイバー攻撃の多くはこういった未把握の機器やネットワーク経路、セグメントを通じて侵入し感染拡大することが多いため、"把握できない・見えない"ものをいかに可視化するかが重要だということが考えさせられる事例です。
傾向2. 海外拠点のセキュリティインシデントの増加
様々な企業を弊社のセキュリティ研究の専門家が調査したところ、日本企業の特徴として、国内や企業本体の管理は徹底していても、海外や子会社に目を向けると攻撃者の侵入口になりうる危険なサーバやNW機器がずさんな体制となっているケースが散見されます。
実際、日本企業の海外拠点での被害は多く公表されており、23年2月8日時点の調査で公表されている日系企業のインシデントのうち、約3割が海外拠点での被害だと明記されています。(図1)アジア圏でも被害数が多いという傾向がみられます。
(図2)こちらは22年12月時点の調査結果になりますが、特にアジア諸国については脆弱性が公表された後のパッチの適用スピードが遅く、欧米がパッチ公開の半年後に約2割まで対処を進めているのに対し、アジア圏は7割のサーバに脆弱性が残っていることが分かります。対処のスピードが遅く、管理が追い付いていない海外は攻撃者の格好の的となっているのです。
そこで、ASMが重要となってくるのです。
弊社サービスをご利用いただいたお客さまの調査をする中で発覚した傾向として、問題意識をもっており、何かしらの方法で対策を行っている企業においても、リスクのあるサーバを数多く保有しており、未把握の資産を多数保有していることがわかりました。保有する全サーバ台数のうち約30%で要改善事項が確認され、その中でも昨今特に攻撃者に狙われやすいサーバに分類されるVPN機器やExchangeサーバ等の割合が約15%を占めていました。
また、保有する全ドメインのうち約50%が調査で新たに発見された、管理者未把握のドメインということが発覚しました。通常一つのドメインに関連して数台~数十台のサーバが存在することが多いためドメインを把握していなかったということはこれらのサーバが管理から漏れているということになります。このように、AttackSurfaceの管理に高い問題意識をもっている企業においても未把握のサーバやリスクの高いサーバが見つかっており、ASMの取り組みの難しさがうかがえます。
3. 企業が直面する2つの課題
続いて、ASMの取り組みにおいて企業が直面している代表的な2つの課題をみていきます。
課題1. 資産未把握の課題の解決
海外拠点や子会社からの報告内容が正しいのか、そもそも報告をうける体制がない、EXCELで管理をしていていも更新が追い付かず管理が形骸化してしまうなど、国内拠点とは違い物理的な距離が離れていることもあり管理が行き届かないことが現状です。この結果、海外拠点や子会社等で構築したサーバに気がつけず、脆弱なサーバの在りかが分からない、未把握資産が脆弱性のチェック対象とならずリスクが残り続ける状態へ陥いります。
課題2. 対処優先度の課題の解決
対処の工数に限りがある中で、膨大な脆弱性から何を基準に選別して優先度をつければいいのか分からない、専門的な知識がなく"攻撃者に狙われやすいサーバ"が何なのかが分からず結果的に、根拠のある優先度がつけられないまま拠点に明確な指示が出せず、不要な工数がかかるだけで本当に対処が必要なリスクのあるサーバが放置される事態に陥ります。
このように、ASMを自社だけで進めようとすると、どこに何台どういったサーバがあり、どういったリスクがあるかを個別調査する必要がでてきます。海外・子会社を含めると膨大な工数がかかるうえ、ヒアリング調査では管理者が把握できていない資産が永久に管理外になるという問題もはらんでいます。そこで、外部から公開資産を洗い出し、優先度づけを手助けするツールやサービスを3つと、攻撃者が収集しうる情報を収集し点数をつけることで、企業の狙われやすさを定量化するリスクレイティングプラットフォームを紹介します。
本記事の続きは、下記ホワイトペーパーで詳しくご紹介しております。
是非ダウンロード頂き、ご確認下さい。