自社の外部公開資産管理を再チェック！ASMにおける最も重要なポイント

3行でわかる本記事のサマリ

• ASMを実施している企業でさえ、外部公開資産を見落としているケースがある
• ASM調査においては未把握ドメインまで網羅的に発見することが重要
• 未把握ドメインの発見にはノイズ情報の発生まで考慮することが必要

目次

1. 資産管理の不備が企業に及ぼすリスク
2. 未把握資産が残存してしまう理由
3. ASMにおける最も重要なポイントは「未把握資産の調査力」
4. ASM運用において考慮しなければならないポイントは「ノイズ情報の発生」

はじめに

昨今、ランサムウェア被害の増加や攻撃の変化を踏まえ、攻撃者の侵入口となる外部公開資産を把握し、管理していくASM（Attack Surface Management）の取り組みが注目されています。しかし現在、ASMを未実施の企業だけでなく実施している企業でさえ、本来の実施目的である「自社関連の外部公開資産を網羅的に把握し、発見されたリスクの対処をする」取り組みが不十分であり、リスクが残存している状況が見受けられます。
なぜASMを実施しているのにリスクが残存してしまうのか、大きな原因としては「自社関連ドメインの発見が不十分」である点が考えられます。
本記事では、企業がASMソリューションを導入する際に直面しやすい課題をあげ、ASMの取り組みにおける重要なポイントをご紹介します。

1. 資産管理の不備が企業に及ぼすリスク

ASMとは、外部（インターネット）からアクセス可能なIT資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組みです。自社関連の外部公開資産を網羅的に把握し、発見されたリスクの対処をすることで、内部ネットワークへの侵入を未然に防止することができます。しかし、その際に未把握資産が存在すると、攻撃者はその対策のできていないIT資産を通じて、企業の内部ネットワークに簡単に侵入することができてしまいます。

実際に、未把握資産から侵入を許した事例として、米国のA社、国内製造のB社があります。どちらも情報システム部門が未把握であったVPN機器の脆弱性を突かれて侵入されてしまい、操業停止に陥り、大きな影響を与えました。
A社は、いつ設置されたのか不明なサーバから、B社は、子会社が独自に設置したサーバから侵入され、契約先企業との情報共有が阻害されたものです。
このように、未把握の機器やネットワーク経路を通じてのサイバー攻撃が多発しています。

実際に、弊社サービスMacnica ASMの調査にて、お客様環境から平均67%の未把握ドメインを発見しています。以下は、未把握ドメイン数をまとめた表です。

未把握資産が存在することは、企業にセキュリティリスクをもたらします。
たとえ未把握ドメインが1つだけであったとしても、攻撃者の侵入口が存在し、リスクが残存していることになります。こうした課題を解決するために、ASMの取り組みが必要です。

2. 未把握資産が残存してしまう理由

ASMで把握すべき資産にはドメイン、FQDN、IPアドレス、サーバ（ソフトウェアやポート）があります。基本的にASM調査は、(1)ドメインの発見、(2)FQDNの発見、(3)FQDNの名前解決によるIPアドレスの発見、(4)サーバの発見、の手順で実施するため、ドメインが把握できないと、その配下にあるFQDN、IPアドレス、サーバ（ソフトウェアやポート）も把握できないことが一般的です。
つまり、未把握資産が残存する最大の原因は、ドメインを網羅的に把握できておらず、未把握ドメインが存在することにあります。

未把握ドメインが発生する原因としては、次のようなケースが考えられます。

1) 事業部や海外現地法人、関連会社が独自にドメインを取得している
2) 各部署での管理がおろそかでヒアリングや台帳から漏れている
3) 販売部門が広告代理店と契約し、ドメインを取得している
4) M&Aの過程で前会社のドメインが残存している

ドメインは基本的に「購入」と「権利維持」にコストが発生するため、ドメインの費用精算が全て把握できていれば、原則として未把握という状態は起こり得ません。しかし、実際には事業部や海外拠点が精算しているドメインを情報システム部門が把握できていないケースが見られます。また、全てのドメインを適切に管理しているつもりでも、デジタルを活用して事業を推進している企業が多い今、未把握ドメインが発生してしまうことはなかなか避けられません。

大規模な企業であればあるほど、ドメインの管理を適切に行うためには強力なガバナンスが必要不可欠であり、実際には非常に困難となっています。

3. ASMにおける最も重要なポイントは「未把握資産の調査力」

前述の通り、ASMには未把握ドメインの検出が求められますが、実際に未把握ドメインを検出するためには、OSINT手法を用いて多種多様な資産情報を取得しなければならず、グループ会社を考慮した上で、関係会社まで詳細に調査することが必要です。一例として、対象企業の情報がないかWebサイトやWhois情報を広範囲に調査するなど、自社関連企業を網羅的に調査し未把握ドメインを発見していきます。

ASM調査におけるOSINT手法では、インターネット技術に関する知識やサイバー防御の経験が必要になります。そのため、自力でOSINT調査を試みることは、あまり現実的とは言えず、何かしらのソリューションを導入することが一般的です。
その際、全てのASMソリューションに未把握ドメインの検出機能があるわけではないことを考慮する必要があります。未把握資産が残存する最大の要因は未把握ドメインの存在であるため、未把握ドメインの検出が可能なASMソリューションを選定することが最も重要になります。

4. ASM運用において考慮しなければならないポイントは「ノイズ情報の発生」

こうしてASMに取り組まれた際に大きな運用課題となるのが、ノイズ情報の精査作業です。未把握ドメイン検出が可能なASMソリューションには、他社情報まで大量に検出してしまい、調査結果にノイズ情報が混在するものが多いからです。
一般的に、ノイズ情報とは、企業名や略称が同一の企業情報、または調査時点で売却済みのグループ企業情報などが挙げられます。そのためAIを含めた機械的な判断が困難で、「お客様ドメインの所有者情報の企業とお客様との資本関係を調べる」「実際にアクセスしてお客様関連企業か同名別会社か調べる」といった精査作業を、検出された１つ１つのドメイン情報に対して人手で行う必要があります。
ASMを進めるにあたっては、ノイズ情報の発生を考慮したソリューション選定や運用の検討がポイントになるのです。

まとめ

本記事では、ASMの取り組みにおいて重要なポイントを解説してきました。
前述の通り、未把握ドメインの存在が、未把握資産が残存する最大の要因です。そのため、ASMソリューションの選定においては、既に把握しているドメインのみを対象としたASMソリューションではなく、「未把握ドメインの検出が可能なASMソリューション」を選定する必要があります。
ただし、未把握ドメインの検出が可能なASMソリューションは、ノイズ情報も多く検出してしまいます。そのため、精査作業には多くの時間が必要となり、運用が困難な場合があります。したがって、お客様側で精査作業のリソースとナレッジを整備するか、ノイズ情報の検出が少ないASMソリューションを選定することを推奨します。 

本記事を通じて、ASM本来の目的、本質的な実施意義を再度ご確認いただき、自社は適切なソリューション選定・運用ができているのか？今一度振り返っていただければ幸いです。

なお、Macnica ASMは、弊社セキュリティ研究センターの独自の知見を使い、未把握を含めた資産の網羅的な調査と攻撃者の動向を加味したリスク調査を実施します。必要に応じて、人の目と手による介在を行い、ノイズ情報の精査作業も実施しているため、お客様向けのレポートにおいては、ノイズ情報が最小限に抑えられています。さらに詳細な情報を知りたい方向けに資料を無料で提供しています。
Macnica ASMの概要から、他企業の導入事例まで、ASMの検討に役立つ情報が満載です。ぜひダウンロードし、詳細をご確認ください。

▼Macnica Attack Surface Management 資料・事例ダウンロード