自社に最適な脆弱性管理/資産管理ツールとは?~ASM/SRSの違いを徹底比較~
-
│
はじめに
本記事では、脆弱性や資産の管理に役立つ製品カテゴリである、ASM(Attack Surface Management)とSRS(Security Rating Service)について解説します。ツールの導入や脆弱性管理/資産管理方法の検討の際に、ぜひ参考にしてください。
目次
- ASMとは
- SRSとは
- ASMとSRSの役割の違い
- 運用タイプ別に考える、ASMとSRSどちらが適切か
ASMとは
ASMとは、企業が所有するITシステムやアプリケーションなどの攻撃面(脆弱性)を定期的に調べ、リスクを管理するためのソリューションです。攻撃者の動向をみると、外部からネットワーク資産の脆弱性を悪用する気運は依然として高く、その対策製品として注目を集めています。
脆弱性診断や後述するSRS等と比較して、ASMの特徴的なポイントは以下の3点です。
1.外部に公開された資産を対象とする
2.未把握の資産・リスクを発見することを目的とする
3.定期的な監視能力を持つ
ツールとして持つ機能も上記の特徴を踏まえた実装となるため、多くの場合以下のような運用上のメリット/デメリットが生じます。
メリット
・把握済み資産の情報から未把握の資産・リスクを発見できる
・外部から自社資産がどう見えるのかを把握することができる
・リスクの優先順位付けに必要な情報を収集できる
・資産の変化に追従できる
デメリット
・把握済み資産を対象にした場合、エージェント型の資産管理ツールや脆弱性診断より情報の精度が落ちる
・誤った情報による運用上の手戻り等の対処工数が増える
・膨大に検知されるリスクすべてに対処できない(レベル感や優先順位付けが難しい)
ASMは、製品によっては脆弱性診断のような診断機能を持つものや、エージェントを活用することで内部の脆弱性管理も兼ねるものもあります。総じて、優先順位をつけてリスクに素早く対応したいというニーズに向いた製品であるといえます。
SRSとは
SRSは、組織のサイバーセキュリティ状態を評価・格付けするツール/サービスです。企業や団体が外部からの脅威に対してどの程度の防御力を持っているのかを客観的に分析し、数値や評価で示します。多くの場合、自社やそのグループ企業だけではなく、取引先などのサードパーティも同様にスコアリングし、自社との比較を行うことができます。昨今のトレンドを踏まえても、脆弱な企業はそれだけで攻撃の対象になりやすいため、平均的な水準を超えるということはこれまで以上に重要性を増しています。
ASMなどと比較して、SRSの特徴的なポイントは以下の3点です。
1.脆弱性ではなく、企業のスコアという形でリスクレベルを可視化してくれる
2.統計的なアプローチでスコア付け・優先度付けを行う
3.自社に限定されず、サードパーティの企業も対象になる
そのため、SRSでは多くの場合、以下のような運用上のメリット/デメリットが生じます。
メリット
・グループ内、業界内等のスコアを基にした目標設定が出来る
・自社のセキュリティ対応状況を客観視できる(投資効果を確認できる)
・セキュリティ保険やIRなど社外への説明の根拠として使える
・取引先のインシデントリスクを事前に把握できる
デメリット
・特定の脆弱性など、単体で大きなリスクの優先順位を誤る可能性がある
・スコア上げが目的になりかねない(本質的なセキュリティの向上に繋がらない)
・(ASMと比較して)未知の公開資産の発見が難しい
SRSは、製品によってはガイドラインへの準拠状況の確認に使えるものもあり、日々の運用をより精度高く実施するという点で効果的です。
ASMとSRSの役割の違い
ここまでのASMとSRSの特徴やメリット/デメリットを踏まえ、それぞれのツールを脆弱性・資産管理に活用していく場合、どのような役割を果たすのに向いているか、その違いについてもお話しします。
結論からお伝えすると、ASMは「臨時対応」の強化、SRSは「平時対応」の強化において効果的です。ここでの「平時対応」とは、日々皆様が行っているバージョンアップやパッチ当て、資産管理者のヒアリングなどの作業を指します。
ASMは先述の通り、未把握の資産の発見やリスクの発見、優先順位付けに強みを持ちます。そのため、運用の中では発見した未把握資産やリスクへの対応が要求されます。ただ、裏を返せば未把握の資産やリスクが検出されなければ、特に対応が不要とも言えます。つまり、ASMの運用は、臨時対応として見つかってきた資産やリスクを対処し、いかに平時の対応に乗せるかという運用になっていきます。
一方でSRSは、スコアの可視化と自社外を対象にできるという強みがあります。
そのため、これまで行ってきた平時の対応が十分なものだったのか、グループ内で手が回っていない企業がどこなのかに対して評価が可能です。別の言い方をすれば、これまでは主観的に、できているもしくはできていないと思っていたセキュリティ対応を、客観的に捉え直すことができます。その結果として、業界の水準やその地域・国の水準と比較したときに十部な対応ができているのか、さらに投資が必要なのか、投資が必要だとして何に投資をすべきなのかが明確になります。
これから本格的に脆弱性対策を行っていきたいという企業にとっては、SRSの製品が評価の対象としている項目を基に平時の運用を整備していくという使い方もできます。つまり、SRSの運用は、過度に使っているリソースを必要な対応に回し、平時の運用を整備するという運用になっていきます。
一見すると似たような製品カテゴリであるASMとSRSですが、整理していくと運用における役割が大きく違うことがお分かりいただけたかと思います。
運用タイプ別に考える、ASMとSRSどちらが適切か?
ここまで、ASMとSRSについて説明してきましたが、最後にユーザごとにどのようなツールを選ぶべきか、簡単な比較をして皆様の検討のお手伝いができればと思います。それぞれ以下のような特徴を持つ企業/組織に向いていますので、是非自社により当てはまるツールから検討を始めてください。
ASM
・臨時の対応を強化したい
・インシデントきっかけで即時に対応が必要
・自社のセキュリティをとにかく向上させたい
・平時の対応は既に確立されている
・未把握の資産・リスクを減らしたい
SRS
・平時の対応を強化したい
・脆弱性・資産管理をこれから始めたい
・自社のセキュリティを平均的なレベルまで向上させたい
・平時の対応を見直したい/立てつけたい
・グループ企業、サードパーティの安全性を把握したい
まとめ
本記事では、脆弱性や資産の管理に役立つ製品カテゴリであるASMとSRSについて解説しました。その違いを掘り下げることで、ツールの導入や脆弱性管理/資産管理方法の検討に役立つ観点をお伝えしました。
もし当てはまるものがあれば、ぜひASMおよびSRSのソリューションを用いて対策していくことをご検討ください。
弊社ソリューションのご紹介
弊社でもASM/SRSのソリューションを取り扱っておりますので、一部をご紹介します。
ASM:ULTRA RED
ULTRA REDは、世界でも有数のサイバー大国イスラエルに開発拠点を置き、イスラエル軍が世界に誇る8,200部隊に及ぶサイバー部隊のエンジニアらが開発した、軍事レベルのセキュリティソリューションを提供しています。サイバー部隊で培った経験やナレッジを活用し、自動化された攻撃エミュレーション技術を駆使して、組織に内在する脆弱性の有無と侵入の有効性を実証し、継続的に管理することが可能です。
攻撃のエミュレーションを持つASM自体がまだまだ数が少ない中で、ULTRA REDはその中でも優れた点があります。それは、CVE番号が付くようないわゆる脆弱性の評価だけではなく、本来はWebプラットフォーム診断やWebアプリケーション診断でないと発見が難しいような脆弱性も発見することができる点です。また、エミュレーション機能を持つことで、リスク評価の観点において、対処が必要なリスクをより精緻に仕分けることができます。さらに、エミュレーションの結果として、実際に悪用が可能であることが分かる証跡を製品側で提供してくれるため、事業部門との調整や折衝において有用性が高い点も魅力です。
SRS:SecurityScorecard
SecurityScorecardは、企業のサイバーセキュリティ態勢を評価するためのプラットフォームであり、リアルタイムにセキュリティリスクをスコアリングし、脆弱性やリスク要因を可視化します。企業はこの情報を活用して、効果的なリスク管理や対策の強化をすることができます。評価は120項目以上の観点からセキュリティリスクの分析によって行われ、100点を満点とした減算式のスコアリングと、A-D/Fの5段階グレーディングによって、セキュリティ状況を可視化します。
さらに、見つかった問題点に対する詳細な説明や推奨事項、関連するアセット(IT資産)の情報を確認できます。そして、多言語で出力可能なレポートや自動作成される改善施策のプランニング機能も備えるなど、ユーザビリティに富んでいるため、企業間でのコミュニケーションにおいて有用性が高く、効果的にリスク管理ができる点も魅力的な製品です。
