クラウドへの移行、サービスとしてのソフトウェア (SaaS) アプリケーションの普及、およびリモートワーク機能の急激な増加により、ほとんどの組織の攻撃対象領域は拡大かつ複雑化し、その定義と防御は指数関数的に困難になっています。事実上、あらゆるアセットがサイバー攻撃のエントリポイントとなる可能性があるため、組織にとって、既知または未知、オンプレミスまたはクラウド、内部または外部のアセット全体で攻撃対象領域の可視性を高めることは、これまで以上に重要になっています。

攻撃対象領域管理とは

攻撃対象領域管理とは、組織のITインフラストラクチャ内の攻撃ベクトルを継続的に検出、モニタリング、評価、優先順位付け、修復することです。

ITハイジーンのソリューションによく見られるアセットの検出やアセット管理と本質的に似ていますが、攻撃対象領域管理における重要な違いは、攻撃者の視点から脅威検知と脆弱性管理にアプローチすることです。そうすることで、組織は、既知のアセットだけでなく、未知の不正な要素によってもたらされるリスクを特定し、評価するようになります。

攻撃対象領域とは

攻撃対象領域とは、サイバー攻撃の際に攻撃者が利用する可能性のある、ITアセットの相互接続されたネットワークを表すために使用される用語です。一般的に、組織の攻撃対象領域は、次の4つの主要な要素で構成されています。

1. オンプレミスアセット：サーバーやハードウェアなどのサイト上にあるアセット。
2. クラウドアセット：クラウドのサーバーとワークロード、SaaSアプリケーション、クラウドでホストされたデータベースなど、運用または配信にクラウドを活用するあらゆるアセット。
3. 外部アセット：企業データを保存および処理したり、企業ネットワークと統合されている、外部のベンダーまたはパートナーから購入したオンラインサービス。
4. 子会社ネットワーク：合併または買収の際に持株会社によって所有されるネットワークなど、複数の組織で共有されるネットワーク。

組織の攻撃対象領域は、デバイスの継続的な追加、新規ユーザーの導入、およびビジネスニーズの変化に伴い、時間とともに進化することに注意することが重要です。このため、組織は、サイバー犯罪者によって悪用される前に、すべてのアセットを継続的にモニタリングおよび評価し、脆弱性を特定する必要があります。

攻撃対象領域管理の価値

攻撃者の考え方を想定し、そのツールセットを模倣することで、組織は、すべての潜在的な攻撃ベクトルの可視性を向上させることができ、特定のアセットに関連するリスクを軽減したり、攻撃対象領域自体を削減したりすることで、セキュリティポスチャを改善するための的を絞った措置を講じることができます。効果的な攻撃対象領域管理ツールを使用して、組織は以下のことを実行できます。

• アセットの検出、レビュー、修復を自動化する
• すべてのアセットを継続的にマッピングする
• シャドーITアセット、およびこれまで知られていなかったその他のアセットを迅速に特定し、無効化する
• 弱いパスワード、設定ミス、古いソフトウェアやパッチが適用されていないソフトウェアなどの既知の脆弱性を排除する

攻撃対象領域管理の主要機能とは

効果的な攻撃対象領域管理戦略には、次の5つの主要機能があります。

フェーズ1：検出

この初期フェーズでは、組織は、内部と外部の両方の攻撃対象領域にわたってすべてのデジタルアセットを特定し、マッピングします。従来のソリューションでは、未知のアセット、不正なアセット、または外部アセットを検出できない場合がありますが、最新の攻撃対象領域管理ソリューションでは、脅威アクターがIT環境内の脆弱性と弱点を見つけるために使用するツールセットを模倣します。これにより、攻撃対象領域全体の可視性が向上し、組織は、潜在的な攻撃ベクトルとして使用可能なあらゆるアセットを確実にマッピングできます。

フェーズ2：テスト

新しいデバイスの接続、ユーザーの追加、およびビジネスの進化に伴い、攻撃対象領域は常に変化します。そのため、ツールを使用して、継続的な攻撃対象領域のモニタリングとテストを実施できることが重要です。最新の攻撃対象領域管理ソリューションでは、24時間365日アセットをレビューおよび分析して、新たなセキュリティ脆弱性の出現を防ぎ、セキュリティギャップを特定して、設定ミスやその他のリスクを排除します。

フェーズ3：コンテキスト

どのアセットも攻撃ベクトルとして使用される可能性がありますが、すべてのITコンポーネントが同じリスクを負うわけではありません。高度な攻撃対象領域管理ソリューションでは、攻撃対象領域分析を実施し、IT環境内で公開されているアセットとそのコンテキストに関する関連情報を提供します。アセットがいつ、どこで、どのように使用されるか、アセットの所有者、そのIPアドレス、ネットワーク接続ポイントなどの要因は、ビジネスに対するサイバーリスクの重大度を判断するために役立ちます。

フェーズ4：優先順位付け

攻撃対象領域管理ソリューションは、すべてのITアセットを検出してマッピングすることを意図しているため、組織には、既存の脆弱性と弱点の修復作業に優先順位を付ける方法が必要です。攻撃対象領域管理では、脆弱性の可視性、その悪用可能性、修正するリスクの複雑さ、悪用の履歴など、多数の要因に基づいて、実施可能なリスクスコアリングとセキュリティ評価を提供します。ペネトレーションテスト、レッドチーミング、およびやや主観的な場合のあるその他の従来型リスク評価方法や脆弱性管理方法とは異なり、攻撃対象領域管理スコアリングは、プリセットシステムパラメーターとデータを使用して計算される、客観的な基準に基づいています。

フェーズ5：修復

攻撃対象領域管理プログラムの最初の5つのフェーズで自動化されたステップに基づいて、ITスタッフは、最も深刻なリスクを特定し、修復に優先順位を付けるための十分な能力を備えるようになりました。これらの取り組みは、サイバーセキュリティの専門家ではなく、ITチームが主導することが多いため、確実に各機能間で情報を共有し、すべてのチームメンバーがセキュリティ運用について足並みを揃えることが重要です。

組織による攻撃対象領域リスクを軽減する方法とは

進化する一連の攻撃者の戦術を特定して阻止するために、セキュリティチームは、デジタル攻撃対象領域を360度見渡すことで、脅威をより適切に検知し、企業を防御する必要があります。そのためには、組織の内部ネットワーク、ファイアウォール外部の存在、ユーザーやシステムが操作しているシステムとエンティティの認識など、すべてのアセットにわたって継続的に可視化する必要があります。

組織でデジタルトランスフォーメーションの取り組みを推進するうちに、無秩序に拡大する攻撃対象領域の可視性を維持することが難しくなる可能性があります。クラウドワークロード、SaaSアプリケーション、マイクロサービス、およびその他のデジタルソリューションのすべてによって、IT環境内が複雑になり、脅威に対する検知、調査、および対応がより困難になっています。

クラウドストライクのRiskIQ Illuminateは、CrowdStrike Falcon®プラットフォームと統合され、内部エンドポイントテレメトリを、10年以上にわたって収集されたペタバイトの外部インターネットデータとシームレスに結合します。エンドポイントデータの上部にインターネットインテリジェンスを1つの場所で階層化することにより、内部インシデントに対する重要なコンテキストが提供され、セキュリティチームは、内部アセットが外部インフラストラクチャとどのように相互作用するかを理解し、攻撃をブロックまたは防止して、侵害されたかどうかを把握できます。

RiskIQ Illuminateの主な機能と利点には、次のようなものがあります。

• 検知と対応の迅速化：360度のコンテキストおよびファイアウォール内外の可視性の向上により、セキュリティチームを強化し、データ侵害やランサムウェア攻撃などの最新の脅威から、企業をより適切に防御します。
• コラボレーションの強化：RiskIQ Illuminateを使用すると、エンタープライズセキュリティチームは、内部知識と脅威インテリジェンスをアナリストの結果に重ね合わせることで、脅威調査やインシデント対応の取り組みにシームレスにコラボレーションできます。
• デジタル攻撃対象領域のプロアクティブな管理：外部に面したすべてのアセットを完全に可視化し、それらのアセットを確実に管理および保護します。