Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

アタックサーフェス全体で「知らないことすらわからないもの」をやっと発見

アタックサーフェス全体で「知らないことすらわからないもの」をやっと発見

CISO の最大の悩みは「知らないことすらわからないもの」。つまり、セキュリティ部門が検知していないため安全確保されていない資産や脆弱性、設定ミス、システムの弱点など。これらはセキュリティの盲点であり、攻撃を企む者にとっては黄金のチャンスになり、企業にとっては深刻なセキュリティリスクになります。

「知らないことすらわからないもの」。これが、CISO などのセキュリティ責任者が最も一貫して口にする言葉で、「業務上の最大の問題は何ですか?」と問うと必ずと言っていいほど返される言葉です。 大半のセキュリティプログラムは、IT 環境の大枠を可視化して、企業に対するリスク度の高い領域を特定するように構築されています。そのような洞察を基に、どこに焦点を当ててどのような方法でリスクを軽減して、ビジネスへの損害の可能性を軽減するかが決定できます。リスク管理対策を推進するのが企業のサイバーセキュリティ部門の中核的なミッションと言えるのではないでしょうか。可視性の提供に貢献できるツールやテクニックはいくつかありますが、それでも、「知らないことすらわからないもの」を検出して理解すること、そしてそれらを「知っていること」に変えるのは多くの課題を乗り越えないと実現できません。一旦可視化されて確認できれば、セキュリティ部門がリスク判断機能を活用して、他の既知のものと同様にリスクを軽減することができます。

近年、この「知らないことすらわからないもの」のギャップを塞ぐのに効果のある 2 つのテクニック、外部アタックサーフェス管理 (EASM) と攻撃経路分析 (APA) が注目を集めています。 これらのテクニックについて、どういうものか、なぜ成熟したセキュリティプログラムの最重要要素となりつつあるのか、さらにどのように企業のアタックサーフェスの理解に役立つのかを本稿で説明したいと思います。

アタックサーフェス管理

「知らないことすらわからないもの」の原因であって特に理解、管理が困難な要素は、企業インフラの外部と接触がある部分です。インターネットに公開されていて常時アクセスされている資産は、攻撃者が攻撃を試行する際にまず目にするもので、接続されて突っつかれている可能性のある部分です。防御側にとって問題になるのは、このような一般アクセスな可能な場所に資産があることを検知していない場合です。例えば、DNS エントリが残留していて、攻撃者にハイジャックされて詐欺目的で悪用される、とか、セキュリティの甘いサーバーやウェブアプリ (開発者がテストのために良かれと思って立ち上げたものなど) があって、そこに企業のドメイン情報が入っているなどです。セキュリティ部門が認識していない資産やサービスは、企業あたりだいたい数十以上あるのですが、攻撃側はそれらを充分に認識していると想定されます。

EASM テクノロジーは、ネットに接続されている資産 (公開資産) を継続的にスキャンして監視することによって、この問題に特化して対応します。EASM ツールは、企業の公開資産に関連したもののすべて (ドメイン名、IP アドレススペース、その他) を対象とした理解しやすい検索機能を提供します。正しく使うことによって、EASM はあらゆる場所にある、あらゆる公開資産に関する、一貫性のある継続した可視性を提供してくれます。以前、コンサルタントとしてクライアント先で EASM ツールを使っていたときの経験では、大半のセキュリティ部門が把握していると思っていた公開資産数の 100 倍の資産を特定することができました。しかも、クラウドインフラや環境の導入が進み、開発者や IT 担当者 - そうです、セキュリティ担当者でも - 新しい資産を簡単に立ち上げることができるようになり、記録漏れや規則的な特定ができていないものが増える傾向にあります。しかし EASM を活用すれば、このような潜在的な攻撃手法が既知のものとなり、リスク軽減作業の対象にしたり、または抹消させて悪用の可能性を絶ったりすることができます。インターネットに露呈された資産の検出と特定は、自動化されたツールでなければ対応が非常に困難なため、EASM はその部分に光を当てることのできるパワフルなツールです。

攻撃経路の分析

さて、EASM が攻撃の侵入口になりそうな場所を特定できるとしたら、そこから重要なデータや資産に到達するのに悪用される脆弱性、設定ミス、その他のシステムの弱点を特定できるのが APA です。最も基本的な機能として、APA は異なる種類のセキュリティ上の検出情報の関係性を明らかにして、セキュリティ担当者に認識されていないが侵害される可能性のある場所や、セキュリティ制御を迂回して最重要標的に到達できる場所を的確に特定します。SIEM ツールや侵害攻撃のシミュレーション (BAS) 製品の中には、脆弱性に関してこのような関係性を特定しようとするものもありますが、対象範囲が限定されているか、または、ある 1 つの脆弱性に対して既知の攻撃を静的に再生することしかできません。しかし、APA テクノロジーはボトムアップのアプローチを使うので、脆弱性評価とエクスポージャー管理の両方を活用して、各資産の構成や脆弱性の状態とリスクの文脈をより完全に理解することができます。そのようにして APA ツールは各資産のセキュリティ態勢をより明確に写し出し、従ってすべてのデータの関係性をより包括的に捉えます。

次のように考えてみてください。釘がささってタイヤがパンクしたとき、脅威 (釘) と脆弱性 (ゴムはパンクする可能性がある) が存在していることが分かります。この情報を使って、他のタイヤを評価すれば、釘によるパンクのリスクが潜在していることが確認できます。しかし、同じ脅威を車の他の部分に適用した場合にはこの推測は成り立ちません。車のボディは、釘によって金属に穴があいても同じような被害には至りません。エンジンブロックなどは全くダメージを受けないかもしれません。ある 1 つの脅威と脆弱性の種類を何度も繰り返して車全体のリスクを評価しても、何がリスクにさらされていて、何が故障するかについて意味のある情報を得ることはできません。 

では、関係性が認められる、異なる種類の脅威を考慮したらどうなるでしょうか。釘がタイヤに刺さればパンクする可能性があり、その時、タイヤが完全に破裂してホイールのリム上で長時間走行してしまうと、サスペンションやブレーキ系に構造上の損傷が起きる可能性が生じます。車が古かったり、メンテナンスが不充分だと、連鎖的にエンジンや冷却系の破損に及ぶ可能性もあります。この場合、異なる種類の脅威や弱点があることを確認したうえで相互関係を把握して、最初にあった 1 つの特定の脅威が広範囲な系統的な故障を起こしていることが理解できます。

企業内部の現代のアタックサーフェスでも状況は全く同じです。ポートの設定ミスが原因で公開資産が侵害されているとすると、侵害した攻撃者は、そこにあるホストから企業のウェブアプリケーションに対して SQL インジェクション攻撃を仕掛けるかもしれません。そうすると、侵害されたアプリケーションのデータが露呈され、他のホストにアクセスできるユーザーネームやパスワードを入手することが可能になります。そして、次に、既知のエクスプロイトのある Windows の脆弱性に対してより広範囲な攻撃を仕掛けて、管理者アクセスの昇格権限を取得し、それを使ってネットワーク内部を探索して目標となる重要資産に到達することができます。これは攻撃の展開をより現実に近い形で説明したものです。攻撃に対して確実な防御体制を講じるには、攻撃経路を始めから終わりまで理解し、ある種類の脆弱性が別の種類の脆弱性 (多くの場合全く別の種類のもの) の悪用につながることを理解する必要があります。このことが、どこにセキュリティ制御を実装したらよいかを決定する決め手になります。さらに、素早い導入、優秀なコスト効率も考慮する必要があります。今まで認識していなかった防御体制の隙間を塞ぐことが目的です。

「多重防御」戦略は、セキュリティ制御を何重にも重ねて、既知の資産や経路を保護する戦略です。APA は、「知らないことすらわからないもの」の中から攻撃されやすい場所と探索されやすい場所を表面化させて、それらを標的とする攻撃手法を「知られているとわかっていること」に変え、セキュリティ部門のコントロール領域を拡大してギャップを塞げるようにします。 

さらば「知らないことすらわからないもの」

企業のIT 環境がますます複雑化するにつれて、「知らないことすらわからないもの」に対する攻撃手法の潜在性も指数関数的に上昇します。脆弱性評価、設定評価、リスク管理の既存のベストプラクティスを駆使して、すべての評価結果の関連性分析の基礎とすることは、セキュリティ部門にとってかけがえのないツールとなり、インフラの保護、「知らないことすらわからないもの」の削減を実現し、そして、願わくば、CISO の最大の悩みを解決します。

セキュリティ戦略のアドバイスをお求めですか? Tenable の 2021 Threat Landscape Retrospective をご覧ください。これは、セキュリティ プロフェッショナルが今すぐセキュリティを改善するために使用できる昨年の脅威の状況の包括的な分析を提供します。また、ウェビナー「最新のアタックサーフェス管理: 環境内で最もリスクが高く、優先的に修正する必要があるものを特定して伝える (Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First)」を視聴してください。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格の有効期間が12月末日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加