ビジネスの世界にクラウドサービスが浸透し、誰もが手軽にシステムを導入・運用できるようになった昨今、自社のIT資産を把握しきれないと頭を抱える情報システム担当者も多いのではないだろうか。日々報告される多くの脆弱性に対応できず、セキュリティリスクを見過ごしてしまっているケースも少なくない。こうした課題を解決するための技術として注目を集めているのが、「ASM/EASM(External Attack Surface Management)」だ。
本稿では、日立ソリューションズで多様なセキュリティ製品を提供し、製品の運用支援などにも携わる小林 淳 氏と 戸田岸 直 氏に、ASM導入の勘所と、今注目したいASM/EASM製品「CyCognito(サイコグニト)」の特長について話を聞いていく。
サイバー攻撃の対象となりうるIT資産「アタックサーフェス」が増加、脆弱性対策の遅れが命取りに
―まずは企業をターゲットとした、昨今のサイバー攻撃の動向について教えてください。
戸田岸氏:
脆弱性に対処できていない海外の子会社が攻撃者に狙われ、国内企業にも影響を及ぼすケースが見られるようになりました。このような関連会社や子会社などを経由し、攻撃範囲を広げていく攻撃は“ビジネスサプライチェーン攻撃”と呼ばれており、サプライチェーン攻撃の一種となります。サプライチェーン攻撃はIPA(情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」*でも、2022年から2年連続でトップ3に入っており、社会的にも影響が大きいと考えられている脅威です。
また近年では、VPN機器の脆弱性や、サーバー製品のOS/ミドルウェアの脆弱性を突かれて社内システムに侵入され、機密情報が漏えいしたという事例も増えています。こうした事例から、自社のIT資産把握と、そこに潜む脆弱性の管理が喫緊の課題となっていることがうかがえます。
——サイバー攻撃の起点・経路となる「アタックサーフェス」の状況にも変化は見られるのでしょうか。
小林氏:
リモートワークの導入やグローバル化が進み、海外子会社や拠点が増えたことでアタックサーフェスは増加していると考えられます。
戸田岸氏:
ビジネスにおけるクラウドサービスの需要増加に伴い、事業部門主体、いわゆる現場主導でクラウドサービスの運用が行われるようになったことも、アタックサーフェス増加の要因として考えられます。現場主導の運用により、情報システム部門が自社内のIT資産を把握しきれず、脆弱性に対処できていないシステムが運用されているケースも少なくありません。こうした背景から、アタックサーフェスの管理が重要と考えます。
——企業がIT資産管理と脆弱性対策に取り組むうえで、障壁となっているものは何でしょうか。
戸田岸氏:
脆弱性対策は、常に変化を続けるIT資産と、毎日のように発見される脆弱性を把握しなければならないので、継続的な対策が不可欠で、相当なマンパワーが必要です。しかし多くの企業が情報システム部門の人手不足問題を抱えており、脆弱性対策が急務と理解していても、十分に対策できていないのが実情と言えます。
ASM が攻撃者と同じ目線でIT資産に潜む脆弱性を見つけ出す!
——そうした課題を解消するアプローチとして、昨今ではASMに対する注目度が高まっていますね。
戸田岸氏:
ASMは、サイバー攻撃者と同じ視点、すなわちインターネットに接続されている企業のIT資産と、そこに潜む脆弱性を見つけ出すための技術・ツールとなります。2023年5月に経済産業省がASMの導入ガイダンスを公表したことで、日本国内での認知が一気に進んだ印象があります。
小林氏:
もちろん、ASMが注目されている背景には、日本国内において脆弱性を突いたサイバー攻撃の被害報告が増加し危機感が高まっていることもあると思います。
——脆弱性を確認するための手法として、脆弱性診断がありますが、ASMと脆弱性診断の違いについて教えてください。
戸田岸氏:
一般的な脆弱性診断は把握済みのシステム(IT資産)に対して、深いレベルまでシステム単位で診断を行います。場合によっては診断のために一部のシステムを停止する必要もあるため、半年ないし1年に1回程度で実施するのが普通です。
一方、ASMは組織全体を対象として継続的に実行するもので、インターネット側からIT資産の洗い出しを行います。外部からアクセス可能なIT資産は、攻撃者からもアクセスできてしまうため、情報システム部門が把握できていないものや把握できていても脆弱性に対応できていないIT資産がないか確認する必要があります。こうした特徴から、前者は現場のシステム管理者向け、後者は情報システム部門向けの診断とも言えます。
小林氏:
重要な脆弱性が日常的に報告されている現状において、半年や1年ごとの脆弱性診断だけでは十分とは言えません。安全性を担保するにはサイバー攻撃者と同じ目線で、最低でも月に一度のペースで診断を実施することが重要です。また、脆弱性対策を現場に任せている状態では、対策されないままになってしまう可能性もあり、深刻な被害リスクを低減させることは困難です。その意味でも、情報システム部門主導でIT資産と脆弱性を把握できるASMは有効なツールであるといえます。
——ここまでのお話をお伺いし、ASMは非常に有用である印象を受けましたが、企業がASMの導入・運用を考える際、課題となる要素はあるのでしょうか。
戸田岸氏:
実際にASM製品を導入してみると、想定以上のIT資産と脆弱性が検出されるはずです。そのため、優先順位付けを行いながら対策を進める必要があります。そこから対策手順の確認や、稼働中のシステムへの影響がないかを確認するテストを実行するなど、対策完了までにはかなりの時間と手間を要します。
小林氏:
ASMを活用し、リスクを洗い出すのは情報システム部門ですが、実際に脆弱性対策を実行するのは現場になるため、現場との連携がうまくいかないことが多くあります。また、組織の規模が大きく複雑な体制の場合、脆弱性が検出されたシステムの管理者を特定することは難しく、なかなか対策が進まないといった課題もあります。
セキュリティリスク軽減のソリューションとなる、ASM製品「CyCognito」の実力
——ASM製品を選定するうえでのポイントを教えてください。
戸田岸氏:
ASM製品は運用サイクルをスムーズに回していくことが重要なため、運用負荷を軽減する機能の有無が選定ポイントになると考えています。ライセンス費用が安い製品を選んでも、運用面を考慮した機能がなければ情報システム部門の負荷が高くなり、トータルで見ると運用コストが高くなってしまうこともあります。
選定にあたって考慮すべきポイントとしては、大きく5つあると考えています。
➀IT資産と脆弱性の検出方法、および診断の根拠を明確化できること
検出したIT資産が自社のものか、なぜその脆弱性を検出したのかなど、情報の正しさが確認できないと、本当に対策が必要なのか判断できない。
②脆弱性の検出精度が高いこと
診断方法は複数あり、精度の低い方法しか採用していない製品では誤検知が増えてしまう。
③複数の要素から対策の優先順位付けを行う機能を備えていること
検出した脆弱性の深刻度だけでなく、その他の要素も加味して対応優先度の高い脆弱性を提示する機能があれば、多くの脆弱性を検出した場合でも、情報システム部門の負荷を軽減できる。
④収集できるIT資産(ソフトウェアや機器)の情報量が豊富であること
緊急で、かつ深刻度が高い脆弱性が発見された際、診断を待たずに対応すべきシステムがあるか否かをASM製品で確認できれば、迅速かつ適切な対応が可能となる。
⑤脆弱性対策の運用を管理する機能や、チケット管理システムとの連携機能を備えていること
単純に脆弱性を見つけるだけでなく、その後の運用を見据えたASM製品を選定することが重要となる。
——日立ソリューションズでは、ASM製品「CyCognito」を提供されていますね。本製品の特長と強みについてお聞かせください。
戸田岸氏:
前述した5つの選定ポイントに照らし合わせて、CyCognitoの持つ特長について説明したいと思います。
➀IT資産検索経路、脆弱性検出のエビデンス明示
お客さまのトップドメインから具体的にどの証明書や、IPアドレスからドメインを見つけIT資産の検出に至ったのか、検索経路(Discovery Path)を確認することが可能。脆弱性検出に関しても、エビデンスを確認することができる。
②検出精度が高い
一般的なASM製品では単純にソフトウェアのバージョンから脆弱性を検出するが、CyCognitoではそれ以外の要素も加味した高精度な脆弱性診断も実行できる。検出した脆弱性が潜んでいる確度のスコアリングもできる。
③“狙われやすさ”のスコアリング機能
見つかった脆弱性に対して、深刻度だけでなく、攻撃者目線からの“狙われやすさ”なども加味したうえで、最終的にどのIT資産から優先的に対応すべきかスコアリングできる。
④IT資産に関する豊富な情報を収集、組織へのマッピング機能
検出したIT資産の機器の種別、OS、使用されているソフトウェアの種類、オープンポートなどの情報を確認・検索できる機能を備えている。さらにIT資産が属する組織が自社なのか関連会社、子会社なのかも自動でマッピングしてくれるため、脆弱性が検出されたシステムの管理者特定が容易になり、スピーディーな対策が可能になる。
⑤脆弱性対策のステータス管理
CyCognito自体で脆弱性対策のステータス管理を行うことが可能。さらに検出したIT資産や脆弱性に対し、タグやコメントなど独自の情報を付加できる。IT資産に対して内部の管理番号を付与したり、脆弱性の対策予定を登録して管理したりと、柔軟な運用が行える。また、既存のチケット管理システムと連携して運用に組込むことも可能となる。
自社導入で培ったノウハウを生かし、情報システム担当者の強い味方となる運用支援サービスを提供
——CyCognitoの提供にあたり、日立ソリューションズならではの強みや支援内容をお聞かせください。
戸田岸氏:
当社ではCyCognitoを自社導入しており、2年以上にわたり運用しています。自社導入で蓄積したノウハウを生かした運用支援サービスを提供しているのが当社の強みです。
実際に自社導入によって、これまで認識していなかった脆弱性を毎月数十件程度発見し、迅速に対処できるようになったほか、管理しきれていなかったIT資産も検出されるなど、たしかな成果が得られています。また、緊急かつ深刻度の高い脆弱性が報告された際、該当するIT資産があるか否かを迅速に確認できるようになったことも、大きなメリットと感じています。
運用支援サービスでは、こうしたメリットを最大化するため、CyCognitoへの管理情報の代行入力、見つかったIT資産や脆弱性の組織ごとのリスト化、ステータス管理、現場とのやり取り支援を含む技術的なサポートまで行っています。
小林氏:
できるだけ情報システム部門に負荷をかけずに、現場に脆弱性対策の依頼ができるような支援をめざしています。実際、ASM製品を試験的に導入してみたものの、脆弱性は見つけられても対策までの運用サイクルをまわすことが難しいとご相談いただいた企業も多い印象があります。
——最後に、ASMの導入を検討している企業に向けてメッセージをお願いします。
戸田岸氏:
ASM製品自体には対策機能はなく、あくまで検知するためのツールになります。検知した脆弱性は別途対応が必要であり、運用サイクルを回して初めて効果が得られるセキュリティ製品です。
新規導入はもちろん、すでにASM製品を導入し、運用部分で悩みを抱えていらっしゃる企業様のお力にもなれればと思っております。
小林氏:
CyCognitoを自社で運用してきたノウハウを生かして、お客さまの課題に寄り添った支援を行っていきたいと考えています。
*IPA(独立行政法人情報処理推進機構)
[PR]提供:日立ソリューションズ