外部アタックサーフェス管理（EASM)

外部アタックサーフェス管理 (EASM) とは、以下のような外部に露出しているデジタル資産の特定、監視、保護を目的とするプロセスです。

• 公開されている IP アドレス
• ドメイン
• サードパーティとの統合
• クラウドサービス
• ウェブアプリケーション

EASM ツールは、脆弱性、設定ミス、シャドー IT、サードパーティのエクスポージャーなどのリスクを発見し、外部からのサイバー脅威を削減します。

サイバー攻撃者による無防備な侵入口の悪用は増加するばかりです。このような状況において、EASM を攻撃者の視点からエクスポージャーを特定するために役立てれば、事前対策型の包括的なサイバー防御戦略を構築できるようになります。

外部アタックサーフェスが拡大するにつれて、組織はそれぞれ固有の EASM 上の課題に直面しています。以下に例を示します。

• クラウドの導入、リモートワーク、サードパーティの SaaS ソリューションによって、外部に露出した資産の数が飛躍的に増加している
• 従業員が IT 部門の監視をすり抜ける不正なツールやプラットフォームを導入し、攻撃者が悪用する可能性のある管理対象外の侵入口を作り出す可能性がある
• サイバー攻撃者が、高度な偵察ツール、自動化、AI、機械学習を使って、デジタル境界のセキュリティギャップを見つけて悪用する可能性がある
• 外部資産の管理に関するセキュリティやプライバシー基準の強制が増えている。例: 一般データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、決済カード業界データセキュリティ基準 (PCI DSS) など

外部アタックサーフェス管理は、以上のような課題の克服に役立つ、 包括的なサイバーエクスポージャー管理戦略の重要な要素です。外部アタックサーフェスが継続的に評価されるので、通常はセキュリティチームや IT チームの視野に入らない、外部に露出したすべての資産が特定できます。従って、攻撃者に悪用されるのを待たずにセキュリティギャップを発見して解消することができます。

外部アタックサーフェスを効果的に管理しなければ、データ漏洩、事業の中断、評判の悪化といったリスクが高まります。

• EASM はまず、パッシブ資産検出を行います。 公的記録、DNS、WHOIS データベース、証明書の透明性ログからデータを収集し、過去のドメインや過去に使用されたインフラを含む、既知および未知の資産を特定します。
• 次にアクティブスキャンとフィンガープリンティングを実行し、オープンポート、実行中のサービス、TLS 設定、ウェブアプリケーションの分析によって検出された資産を検証して、資産の所有権と潜在的な脆弱性を特定します。
• ドメインとサブドメインの列挙機能を使用すると、登録されたドメイン、サブドメイン、クラウドサービスを見つけることができると同時に、DNS レコードの変更を監視して、サブドメインの乗っ取りなどのリスクを防ぐことができます。
• また、EASM は、IP 範囲とクラウドリソースのマッピングも行います。 AWS、Azure、Cloudflare、GCP 内にある、外部からアクセス可能な資産を検出し、露出したストレージバケットや不適切に保護された仮想マシンなどの設定ミスを明らかにすることができます。

資産が検出されると、システムは継続的な監視とリスク評価によってセキュリティギャップをリアルタイムで追跡し、期限切れの SSL 証明書、オープンポート、一般アクセスが可能なデータベース、露出した管理パネルなどの問題にフラグを立てます。

EASM と IASM (内部アタックサーフェス管理) の主な違いは、内部 ASM がネットワーク内で動作し、システムをスキャンするためにアクセスを必要とすることです。 EASM は、公開データソースを使用して、ネットワーク外部からのリスクを特定します。

• 内部アタックサーフェス管理は、オンプレミスのサーバー、従業員のデバイス、社内アプリなど、社内の IT 環境のセキュリティ確保に重点を置いています。 そして、脆弱性、設定ミス、内部関係者による脅威を特定します。
• 外部アタックサーフェス管理 (EASM) は、ウェブアプリ、クラウドサービス、DNS レコードなどの、一般アクセスが可能な資産を検出して保護します。脅威にさらされているシステム、設定ミス、シャドー IT、サードパーティのリスクを継続的にスキャンし、攻撃者が未知の資産や監視されていない資産を悪用できないようにします。

外部アタックサーフェス管理ツールを使用することで以下を実現できます。

• シャドー IT やレガシーアプリなどの、管理されていない、または今は使われていないリソースを含め、インターネットに露呈しているすべての資産の自動検索
• 設定管理データベース (CMDB)、脆弱性管理プラットフォーム、エクスポージャー評価プラットフォーム (EAP) などの外部アタックサーフェスのデータとのシームレスな接続
• 重大度に基づいて脆弱性のリスクレベルを割り当て、最も差し迫った外部の脅威に注力すること
• 攻撃者が悪用する可能性のあるオープンポート、設定ミス、古いソフトウェアなど、サイバーリスクを増大させる潜在的な侵入口の検出
• 新たに発見された脆弱性やエクスポージャーを含む、アタックサーフェスの変化のリアルタイムで継続的な可視化
• カスタマイズされた緩和策の推奨事項を記載した、わかりやすいレポートの作成

• 忘れ去られたドメイン、クラウドインスタンス、サードパーティサービスなどの公開されている資産をすべて特定し、シャドー IT によるリスクを低減
• 攻撃者に悪用される前に、設定ミス、オープンポート、露出したデータベース、脆弱なセキュリティ設定を継続的にスキャン
• フィッシングドメイン、なりすましの試み、認証情報の漏洩などの新たな脅威を発見するために、外部アタックサーフェスをリアルタイムで可視化
• 不要な資産や今は使われていない資産を見つけて取り除き、外部フットプリントを縮小して、攻撃者が侵入口を見つけるのを難しくする
• クラウドのワークロード、環境、API、ストレージバケットの保護
• NIST、ISO 27001、PCI DSS などのフレームワークの準拠に対応 
• 攻撃者が資産をどのように発見し、標的にするかをシミュレーションし、修正作業の優先順位付けに役立つインサイトを提供

外部アタックサーフェスを削減させるには、以下のような、デジタルフットプリントを全体的に縮小させる戦略を実施します。

• デジタル資産をマッピングしてインベントリを作成し、外部アタックサーフェスの全容を把握します。 これには、インターネットに露出したすべてのシステム、アプリケーション、サービスの特定が含まれます。 ハードウェアやソフトウェアのインベントリの作成は、NIST や CIS Controls のようなフレームワーク対応の基本原則です。
• 不要なアプリケーション、デバイス、機能を削除して IT 環境の複雑さを緩和します。
• 定期的に脆弱性をスキャンして診断し、設定ミスに迅速に対処します。 セキュリティ設定の評価や定量的なリスクスコアリングも平行して行います。

EASM とサイバー資産アタックサーフェス管理 (CAASM) は可視化とリスクの低減に焦点を当てますが、その対象範囲は異なります。

EASM の対象範囲

• 外部の攻撃者から見える資産に焦点を当てます。
• シャドー IT、脆弱なウェブアプリ、サードパーティとの統合などのリスクを検出します。
• 脅威インテリジェンスによってサポートされており、外部からの脅威や脆弱性の修正の優先順位付けに役立ちます。

CAASM の対象範囲

• IT、IoT、OT、クラウド環境全体を可視化します。
• 資産、設定、アイデンティティの関係をマッピングして、包括的にリスクを評価します。
• 内部インフラ内の脆弱性とセキュリティ制御の管理を支援します。

EASM とCAASM を組み合わせることで、外部と内部の両方のサイバーエクスポージャーを完全に把握できます。

継続的な脅威エクスポージャー管理 (CTEM) フレームワークの中で、EASM は範囲設定と発見の段階において極めて重要です。

範囲設定は、攻撃者が標的とするすべての資産を特定することによって、外部アタックサーフェスの境界を定義することです。 EASM は、インターネットに露呈している既知および未知の資産を継続的にマッピングして、進化するリスクに基づいて範囲を定義し、絞り込めるようにする役割りを果たします。

発見は、シャドー IT やサードパーティのエクスポージャーを含む外部資産を特定して分類することです。 EASM は、自動偵察機能、データの関連付け、脅威インテリジェンスによって強化された検出機能を使って、攻撃者が悪用する可能性のある隠れた資産、忘れ去られた資産、設定ミスのある資産を見つけ出します。

包括的なリスク管理対策の一環として EASM 戦略を実施するときに役立つヒントをいくつかご紹介します。

1. 外部に露出した、保護するべき最もビジネスクリティカルな資産を特定します。
2. 検出の精度、監視機能、既存システムとの統合のしやすさなどを基準に EASM ツールを評価します。
3. EASM プラットフォームが、既存の脆弱性評価や脆弱性管理ツール、資産インベントリツール、より広範なセキュリティフレームワークとシームレスに統合できることを確認します。
4. 外部アタックサーフェスや進化を続ける脅威環境を定期的に再評価し、変化に適応して脅威に遅れを取らないようにします。
5. IT チーム、セキュリティチーム、コンプライアンスチーム間のワークフローを確立し、リスク軽減作業を合理化します。

包括的なサイバーエクスポージャー管理戦略の一環とした EASM を導入すれば、アタックサーフェスのリスクを最小限に抑え、ビジネスの回復力を強化できます。

EASM を御社のサイバーセキュリティフレームワークとどのように組み合わせたらよいかを把握するには、Tenable のようなトップクラスの外部アタックサーフェス管理ベンダーとの提携をご検討ください。Tenable のアタックサーフェス管理ツールは、より広範な ASM 手法や CTEM システムとシームレスに統合します。