経済産業省ASM導入ガイダンスの要点解説とソリューション選定のコツ
-
│
3行でわかる本記事のサマリ
- 日系企業のランサムウェアインシデント発生要因の第1位は外部公開資産の悪用であり、いま攻撃者の初期侵入口として悪用されている
- ASM(Attack Surface Management)とは、自社および関係会社の外部公開資産を正確に把握し、資産のリスクを精査した上で、対処を実施するサイクルを継続的に回すことである
- ASMソリューションにはツールとサービスがあり、ソリューション選定の際には、自社のセキュリティスキルとリソースを加味し、最適な手段を選択することが重要である
目次
- はじめに
- ASM(Attack Surface Management)が注目されている背景
- 経済産業省ASM導入ガイダンスから紐解く、あるべきASMとは?
- 経済産業省ASM導入ガイダンスから紐解く、ASMソリューション選定のコツ
- おわりに
- まとめ
1.はじめに
日系企業において、ビジネスに重大な影響を及ぼすインシデントは日々発生し、その総数は2019年以降で急激に増加し、今もなお右肩上がりの傾向にあります。
その中でもランサムウェアインシデントの多くは、外部(インターネット)に公開された管理不十分なサーバーやネットワーク機器が侵害されたことで発生しているという情報が、警察庁や様々なセキュリティ関連団体から出されています。
ランサムウェア被害の増加
日系企業のランサムウェアによるセキュリティインシデントは、弊社の独自調査によると2020年5月から2023年3月の間に279件発生しています。この数字はあくまで公開情報のみを集計した数字であり、実際の被害数はより多いことが想定されます。
※2023年3月末マクニカ独自調査
※2020年5月~2023年3月 合計:279件
2.ASM(Attack Surface Management)が注目されている背景
昨今、ランサムウェアによるセキュリティインシデントが増加している最も大きな要因は、攻撃者の侵入経路が変化したことにあります。従来、侵入経路として主流であったUSB、Web、メールから、外部公開資産を悪用した侵入の割合が増えてきており、その理由は攻撃者が侵入しやすいことにあると考えられます。
ランサムウェア被害の感染経路の内訳は、8割以上が外部公開資産
警察庁の統計によると、2021年に国内で発生したランサムウェアインシデントの感染経路として、54%がVPN機器、20%がリモートデスクトップからの侵入であり、外部公開資産の割合は74%に上っています。2022年にはさらに悪化し、その割合は81%にまで増加しています。
※「令和3年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf)および
「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf)を加工して作成
どのようにして外部公開資産を把握すべきか?
ランサムウェア被害の増加や攻撃者の変化を踏まえ、各企業はどのように外部公開資産を把握し、対策を実施すれば良いのでしょうか?
その方法として注目を集めているのが、攻撃者の侵入口となりうる外部(インターネット)に面している自社資産を把握し、管理していくASM(Attack Surface Management)という取り組みです。
3. 経済産業省ASMガイダンスから紐解く、あるべきASMとは?
ここまでの背景を踏まえ、ASMの重要性が日本国内でも広く認知されてきています。2023年5月29日には、経済産業省がASM導入ガイダンスを公表しました。ここからはガイダンスの要点を解説しつつ、各企業が取り組むべきASMのあり方を提示していきます。
※出典:「ASM(Attack Surface Management)導入ガイダンス」(経済産業省)(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
「Attack Surface」とは?
攻撃者の侵入口となりうるVPN機器やリモートデスクトップなど、外部(インターネット)に面している脆弱な外部サーバーやネットワーク機器を「攻撃対象面」=「Attack Surface」と呼びます。
ASMの定義
ガイダンスにおいてASMは「組織の外部(インターネット)からアクセス可能な IT 資産を、発⾒し、それらに存在する脆弱性などのリスクを、継続的に検出・評価する、⼀連のプロセス」と表現されています。ここで重要なポイントは、ASMはスポットの実施で終わるものではなく、継続的に実施していく必要があるということです。
※外部からアクセス可能であるという点を強調して、ASMはEASM(External Attack Surface Management)と称されることもありますが、ガイダンスと同様に本記事でも、ASMとEASMを同じ意味として表現していきます。
ASMのプロセス
継続的に実施が必要となるASMのプロセスは、「攻撃面の発見」、「攻撃面の情報収集」、「攻撃面のリスク評価」の3つであり、その後「リスクへの対応」へと繋がります。パッチ適用や対策見送りなどの「リスクへの対応」は、ガイダンス内では意図的にASMのプロセスに含まないと記載がありますが、リスク低減のためには必ず必要となる項目です。
企業の保有する外部公開資産は日々変化し、また資産の脆弱性情報も日々公表されるため、前述した通り、ASMのプロセスは継続することが非常に重要です。
※出典:「ASM(Attack Surface Management)導入ガイダンス」(経済産業省)(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
ASMと脆弱性診断の違い
ガイダンスにおいても、「ASMと脆弱性診断は、異なるものであり、目的に応じて、使い分けや併記を検討すべき」と記載がある通り、ASMと脆弱性診断は明確に違うものです。
違いを端的に示すと、脆弱性診断は把握済みの資産(既知の資産)に対して脆弱性の有無や特定を行うものであり、ASMは未把握の資産(未知の資産)も含め、網羅的に外部公開資産を発見し、外部から把握できる範囲で脆弱性の有無や特定を行います。
脆弱性診断のほうが、より細やかに脆弱性の有無や特定が可能となりますが、未把握の資産は診断対象外となるため、定期的に脆弱性診断を実施している企業でもASMの取り組みは必要です。
4. 経済産業省ASM導入ガイダンスから紐解く、ASMソリューション選定のコツ
ツールやサービスの活用について
ASMの取り組みを実施するにあたり、ガイダンスでは「専⽤のツールやサービスを活⽤して実施することが⼀般的であり、実際、インターネット上では、このような情報の調査のための通信も相当数観測されている」と記載があります。
海外拠点や子会社、グループ会社、M&A先の企業など、把握すべきIT資産は、複数の拠点や会社に点在しています。そのため、自社のみで資産を正確かつ網羅的に把握し、適切な対処を実施することは難しく、多くの企業にとってはツールやサービスを活⽤していくことが有効です。
ASMのソリューションは大きくツールとサービスに分けられますが、それぞれの特徴を以下に示していきます。
ASMツールとは
ASM ツールは、検索した攻撃⾯の情報やそれらの情報をもとに算出したリスク評価の情報を可視化するソリューションです。
※出典:「ASM(Attack Surface Management)導入ガイダンス」(経済産業省)(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
ASMツール活用と必要となるスキル
ASMツールは便利かつ、多くの機能が実装されていますが、使いこなしていくには相応のスキルとリソースが必要です。ツールを利用する上で注意すべき代表的な事項を、ガイダンスの内容を元に以下にまとめます。
<注意すべき事項>
① 不正確な情報の検知
(ア) 自社と関係ない情報の発見
(イ) 実態に即していない脆弱性情報の通知
② 対象となる企業への影響
③ 脆弱性評価の方法
④ リスク評価指標の活用方法
⑤ 検索エンジン型の更新頻度
特に注意が必要となる事項は、「不正確な情報の検知」です。具体的には、調査結果として膨大に発見される外部公開資産や脆弱性情報の中から、自社に関連する資産はどれか、優先して対応すべき脆弱性は何か、を精査し判断する必要があります。
重要な箇所であるため、「不正確な情報の検知」を自社で精査する際の、弊社が考える具体的な運用フローを記載します。
<想定されるツール運用のフロー>
① ツールで検索
② 発見された資産の精査
*発見される大量のドメインやIPアドレスが、自社もしくは子会社などと関係している資産か、1つ1つ手作業で確認が必要です。
③ 通知された脆弱性情報の精査
*各ドメインやIPアドレスに紐づく、膨大なリスク情報の中には、実被害には繋がらない理論上のリスクや、誤情報が多く含まれる場合があります。そのため、ツールの通知ロジックを理解し、自社のセキュリティ知見を活用しながら、優先的に対処が必要な情報を取捨選択する必要があります。
④ 各リスクへの対応
ツールは、膨大な情報を正確に見極めるスキルやリソースがある企業にとっては有効な手段です。一方で、導入前には想定される運用フローをしっかりと理解し、自社の実態に即しているか見極めることが重要となります。
ASMサービスとは
ガイダンスの原文には、ASMサービスは「⾃社内に ASM ツールを扱うスキルを有する⼈材的余裕や、導⼊を検討する時間的余裕がない場合でも ASM を実施することが可能である」と記載があります。外部の事業者が契約内容に基づいて、ASMの取り組みをサポートするもので、提供サービスは主に2つのパターンに分かれます。
① 攻撃面のリスク評価を行い、調査結果のレポートと専門家による詳細な解説を提供するもの
② ASMツールの運用を代行するもの
ASMサービスの特徴
ツール運用におけるスキルやリソースに余裕がない企業、もしくはツールを導入したものの運用が回らないなどの課題がある企業では、自社での情報精査が原則不要となるサービスを活用することが有用です。
また、ASMサービスは専門家による詳細な解説やレポートなど、ツールに備わっていない支援があることも特徴です。
ソリューション選定のまとめ
ASMの各プロセスで、必要なスキルや注意事項という観点で、ASMツールとサービスの比較をまとめた図が以下です。
結論、ASMソリューションは、上記のような注意事項や特徴を加味し、自社の状況や目的に応じて選ぶことが重要です。
5.おわりに
本記事では、ASMの重要性から、ASMソリューション選定のコツについて述べてきましたが、ソリューションを導入するだけでASMの取り組みが網羅できるかというと、そうではありません。
特にガイダンスでASMのプロセスからは除かれていた「リスクへの対応」については、外部のツールやサービスでの支援は難しく、自社で実施する必要があります。
「リスクへの対応」で具体的に実施すべき代表的な項目を記載しますので、ASMのツールやサービスを導入する前に、予め社内でシミュレーションをしておくことを推奨します。
・対応先の特定:発見された資産を保有している拠点、事業部門、グループ企業の特定
・対応方針の検討:対応先に資産の利用有無や重要度を確認し、対応方針を検討
・対応方法の確定:対応方法(バージョンアップやポート閉塞 等)の確定
・対応の実施:対応先の担当者に働きかけ対応を実施
・対応完了の確認:対応が完了しているかどうかの確認
ASMの対策を実現するには、適切なツールやサービスを導入するとともに、自社でリスク対応の運用を行う必要があることをご認識ください。
各拠点やグループ企業とのやり取りは、地道で大変な取り組みであると思います。
しかし、外部公開資産を悪用したインシデント被害を防ぐためには、このような地道な取り組みを、少しずつでも実施していくことが必要です。
6. まとめ
本記事では、ランサムウェアインシデント発生要因の80%以上が管理不十分な外部公開資産に起因する現状を踏まえ、Attack Surface Management(ASM)は、全ての企業が取り組むべき対策であるということをお伝えしてきました。
しかし、ランサムウェアインシデントは日々増加を続け、まだまだ未把握の外部公開資産への対策が進んでいない企業が多いというのが現状です。その背景の一つとして、「自社は外部公開資産を網羅的に把握できているはずだ」と誤った認識を持っているケースがあります。ただ残念ながら、そのような企業でも、実際に調査をすると未把握の資産が見つることが多いこともまた事実です。
本記事を通じて、自社は外部公開資産の把握や対策が出来ているのか?今一度振り返っていただければ幸いです。また、1つの管理不十分な未把握資産からインシデントに繋がることがあるという事実を理解し、ASMソリューション選定の際の手助けとなれば嬉しく思います。
弊社では「外部公開資産における、日系企業のセキュリティインシデントを一件でも減らす」というビジョンのもと2021年から独自の知見を活用したASMサービスの提供を開始し、すでに数十社のお客様にサービスを提供しています。
▼Mpression Cyber Security Service™ ASMサービス
https://www.macnica.co.jp/business/security/manufacturers/mpressioncss/asm.html
<Mpression Cyber Security Service™ ASMサービスの特徴>
・弊社セキュリティ研究センターのエキスパートが、手動で精度の高い調査を実施
・本社や子会社、海外の関連会社まで、自社関連の外部公開資産を網羅的に発見し報告
・最新の脅威動向に則した、実態に即したリスクと対処の優先度付けしてご報告
