アタックサーフェスを把握: 効果的なエクスポージャー管理の主なポイント
毎週月曜日、Tenable のサイバーエクスポージャー管理アカデミーでは、脆弱性管理からサイバーエクスポージャー管理への移行に必要な、実用的で現実的なガイダンスを提供しています。 この記事では、Tenable のセキュリティエンジニアである Aaron Roy が、アタックサーフェス管理とエクスポージャー管理の統合をどのように主導したかを紹介します。 サイバーエクスポージャー管理アカデミーの全シリーズはこちらからお読みいただけます。
アタックサーフェスの把握は、現在のサイバーセキュリティの基本です。 しかし、これを行う際には多くの疑問が浮かんできます。
- アタックサーフェスとは、正確にはどのようなものなのか。
- これが問題となるのはなぜか。
- そのすべてを把握するには、どうすればいいのか。
この記事では、そういった疑問にお答えします。 私は Tenable の情報セキュリティエンジニアになってまだ日が浅いものの、エクスポージャー管理への移行を通じて、IT 資産のアタックサーフェス管理 (CAASM) がいかに重要であるかを実感しています。
アタックサーフェスの把握
私はアタックサーフェスを、家の境界のようなものだと考えています。 すべてのドア、窓、そして場合によっては緩んだレンガさえも、侵入口となる可能性があります。 家が大きければ大きいほど、侵入口は多くなります。
デジタル環境は、家のように目に見えず、姿形もありません。しかし、同じようなものだと考える必要があります。インターネットに接続されているすべてのアプリケーション、サーバー、クラウドインスタンス、エンドポイントは、アタックサーフェスの構成要素です。 すべての侵入口を把握せずに、どうやって安全を確保できるのでしょうか?
脆弱性スキャンを超える
「脆弱性スキャンを実施したし、 それで十分ではないか」とお考えかもしれません。
確かに、脆弱性スキャンは重要ですし、これがなければ途方にくれることでしょう。 しかし、従来の脆弱性管理はパズルの一部に過ぎません。 エクスポージャー管理は、より包括的な視点をもたらします。 エクスポージャー管理を利用すると、既知の脆弱性を特定するだけでなく、潜在的なリスクの全体像も把握できます。 そこには、外部アタックサーフェス管理 や、存在に気付いていない資産も含まれます。
ASM 統合にはどのような効果があったか
Tenable Attack Surface Management と Tenable One サイバーエクスポージャー管理プラットフォームの統合に関する最近の私の取り組みを例として紹介します。
Tenable Attack Surface Management を使用すると、組織に関連するすべての外部ドメインとサブドメインを検出できます。 それは、デジタル世界にある家の隠された入り口をすべて探し出すようなものです。 Tenable Attack Surface Management の本当に優れた機能の 1 つは、データを脆弱性管理ツールおよびウェブアプリケーションスキャンツールと統合できることです。
これにより、一気に全体像が捉えられるようになります。
Tenable Attack Surface Management を Tenable Vulnerability Management と統合し、そこからスキャンを実行できるようになったことで、外部資産やウェブアプリケーションに対する可視性が向上しました。 その後、アタックサーフェス管理データは自動的に Tenable One プラットフォームに統合され、他の Tenable One の検出結果と関連付けた文脈で活用できるようになります。
Tenable Attack Surface Management の統合は、これまで未知であった外部資産を検出したりスキャンを開始したりする上で大きな助けとなりましたが、さらに大きなメリットは、Tenable Web App Scanning との相乗効果でした。 Tenable Web App Scanning は、ウェブアプリケーション (多くの場合、顧客向け外部サイト) 内の脆弱性を特定することに特化しているため、Tenable Attack Surface Management の統合が非常に有用であることがわかりました。 Tenable Attack Surface Management で検出されたドメインとサブドメインを Tenable Web App Scanning 内で直接確認できるようになり、アプリケーションを離れることなく、これらの確認を既存のスキャンとスケジュールに追加できるようになりました。
Tenable Attack Surface Management を Tenable Web Application Scanning に統合することで、新しく検出されたドメインを自動的に特定し、スキャンスケジュールに追加することができます。これは本当に画期的なことです。
これにより、ドメイン内の新しいウェブアプリケーションを特定するプロセスが簡素化され、報告が自動化されたので、アプリケーションの所有者に手動で更新を依頼する必要がなくなりました。 この統合により、確認作業の効率が向上し、新たなスキャンの追加や、404 ページにも及ぶような、Tenable Attack Surface Management により検出された無関係なドメインの削除が可能になりました。
アプリケーション所有者から新しいサイトに関する報告を待つ (現実的には必ずしも報告されるとは限らない) のではなく、自ら積極的に検出することも可能です。 忘れられた古いサイトが見つかる場合さえあるでしょう。
エンジニアから探偵への転身
私が学んだことの 1 つは、さまざまなソースからのデータが時として矛盾することがあるということです。 その矛盾を解決するには、ちょっとした探偵のような調査が必要になることも多くあります。
ツールは、何かに関して「XYZ だ」と報告するかもしれません。しかし、本当にそうなのでしょうか? もっと深く掘り下げ、データを再確認する必要があります。 テスト中に計算をチェックするようなものです。見直さず、盲目的に計算機を信頼する人もいますが、もちろん、確認したほうが良いですよね?
このような統合によって促進された、より広範なエクスポージャー管理アプローチへの移行により、データソースが大幅に増加しました。 私たちのチームは、10~15 個のアプリケーションのデータ管理体制から、その 2 倍または 3 倍の規模の管理体制へと移行しました。 そのため、正確さと実行可能性を確保するために、徹底的な調査作業とデータ改良のプロセスが必要となりました。
少数のデータソースから多数のデータソースへの移行は大変に思えるかもしれません。 でも、それは物事を複雑にすることではなく、 より鮮明で明確な全体像を捉えることが目的なのです。
主な課題は、さまざまなソースから取り込んだデータの正確性と一貫性を検証することでした。 私のチームは、以前は他のリソースやチームが所有していたプロセスに慎重に対処し、その効果の最適化を図るために反復と改良を重ねる必要がありました
少数のデータソースから多数のデータソースへの移行は大変に思えるかもしれません。 でも、それは物事を複雑にすることではなく、 より鮮明で明確な全体像を捉えることが目的なのです。 確かに、さまざまなソースのデータをチェックして絞り込む作業は必要です。特に、そのデータの以前の所有者が独自のプロセスを持つ別の部門であった場合はなおさらです。
しかし、長い目で見れば、このような情報をすべて手元に置くことで、状況をより明確に捉えることができます。 潜在的なエクスポージャーを全体像として把握できるのです。
エクスポージャー管理の未来
将来を見据えたエクスポージャー管理チームの目標は、このプロセスをさらに合理化することです。そのために、これらの異なるデータソースをすべて取り込み、ソフトウェア開発ライフサイクルなどのさまざまな担当部門が、できる限りシンプルな方法で活用できる形にします。 この継続的な移行の重要な要素には、Tenable が最近買収した Vulcan のようなツールをセキュリティオーケストレーションとチケッティングに統合することが含まれます。
最終的な目標は、現在手動で行っているプロセスの多くを自動化し、ステークホルダーに対して正確で実用的な情報を頻繁に報告できるようにすることです。 この包括的なアプローチにより、すべての検出結果と脆弱性の報告、およびすべての製品の SLA の監視と遵守を徹底することができます。
キーポイント
明確な計画を持つことは極めて重要です。 行き当たりばったりでやることはできません。
私たちは、これらの新しいソースから得たすべての情報をインベントリ化し、引き継がれる前にそれらがどのように機能していたかを把握して、さらに改善する方法を模索しています。 例えば、プロセスの調整、セキュリティオーケストレーションの追加、すべてのデータが正確で実用的であることの確認などを行っています。 さらに、Tenable One を使用すると、データについて文脈を踏まえて分析することもできます。
結局のところ、重要なのは、アタックサーフェスを把握し、徹底的にスキャンし、あらゆる情報を報告できるようにすることです。 それがエクスポージャーの効果的な管理につながります。 ただ単にチェックボックスにチェックを入れるだけではなく、 何がそこにあるのかを真に理解し、それを保護するために必要な対策を講じることが重要なのです。
エクスポージャー管理は継続的なプロセスであり、 進化し、適応し、常により良い可視性を追求することです。 個人的には、それこそが面白い点だと思います。
もっと詳しく
- Tenable のエクスポージャー管理リソースセンターをご確認ください。このページには、エクスポージャー管理の価値が発見できるさまざまなリソースが掲載されています。文書、ブログ、動画、診断ツールなどを活用して、継続的なエクスポージャー管理システムの構築にお役立てください。
Aaron Roy
Tenable、情報セキュリティエンジニア
Aaron Roy は Tenable の情報セキュリティエンジニアです。 エクスポージャー管理とそれに伴うあらゆる業務に取り組んでいます。 仕事以外の時間には子供たちと過ごし、妻が許せばゴルフも楽しみます。
関連記事
Forrester Names Tenable a Leader in the Q3 2025 Unified Vulnerability Management Solutions Wave™ Report
“Tenable continues to extend its established vulnerability management offerings into exposure management with its Tenable One platform,” according to the report....
How Exposure Management Can Turn a Torrent of Data into Insight
Each Monday, the Tenable Exposure Management Academy provides the practical, real-world guidance you need to shift from vulnerability management to exposure management. In this post, we look at the results of a survey taken during a recent Tenable webinar on the greatest cybersecurity challenges....
CVE-2025-53770: Frequently Asked Questions About Zero-Day SharePoint Vulnerability Exploitation
Successful exploitation of CVE-2025-53770 could expose MachineKey configuration details from a vulnerable SharePoint Server, ultimately enabling unauthenticated remote code execution....
- Exposure Management
- Exposure Management Academy