Security Online Day 2024 春の陣レポート（AD）

IT資産の弱点を徹底的に守るには　Mandiantが考える「アタックサーフェス管理」の選び方と活用法

狙われるサプライチェーン攻撃、Mandiant ASMで「弱いところ」を守る

2024/04/19 10:00

通知

　サプライチェーンセキュリティをテーマに開催された、EnterpriseZine編集部主催のセキュリティイベント「Security Online Day 2024 春の陣」では、「『弱いところ』を徹底的に守れ！リスクベースで考えるアタックサーフェス管理、実践編」と題し、Google Cloud マンディアント事業本部セキュリティ・アーキテクトの桐谷彰一氏が講演を行った。なお、Mandiantは2022年に買収され、現在はGoogle Cloudの一員となっている。

通知

継続的な「アタックサーフェス管理」が必要な理由

　DXやグローバル化が加速している現在、サプライチェーンが「弱い鎖」となり、企業に深刻な被害を及ぼすことが増えている。サイバーセキュリティの攻撃と防御、その最前線においては「アタックサーフェス管理（Attack Surface Management：ASM）」の必要性が増してきたと、桐谷氏は昨今の脅威状況から説明を始めた。

　VPN装置の脆弱性が悪用され、ランサムウェアの被害に遭ったとのニュースを耳にする。Mandiantの調査によると、コロナ禍では8つを超える犯罪者グループが20以上のVPN製品の脆弱性を悪用してランサムウェア侵害事件を起こした。VPN装置から侵入し、工場のラインや病院の院内業務がランサムウェア攻撃で止まってしまうといったケースもその例だ。

　このような侵害事件の増加を受け、2023年5月には経済産業省が『ASM（Attack Surface Management）導入ガイダンス』を公表している。ポイントは、インターネット経由で外部からアクセス可能なIT資産を発見し、リスクを継続的に検出・評価すること。これにより把握していない端末機器や意図しない設定ミスを攻撃者視点で発見し、リスクを低減する効果が期待される。

　「継続的に実施することが重要なポイントです。一度きりで終わるのではなく、継続的なプロセスとして検出・評価することが大切だということを認識してほしい」と桐谷氏。米国CISA（Cybersecurity and Infrastructure Security Agency）による2022年の通知でも政府機関に対して、自動化された資産探索の実行を1週間ごと、そして資産探索で見つけた資産に対して脆弱性の一覧化を2週間ごとに行うこととされている。IT資産の棚卸しや脆弱性検査を実施している企業・団体は多いが、年1回の単発での施策に止まっているケースがほとんどであり、近年のサイバー脅威に対応することは難しい。より短いサイクルで資産の可視化と脆弱性の検査を行うべきと、米国では一歩踏み込んだ動きが見受けられる。

　「Mandiant Advantage Attack Surface Management（Mandiant ASM）」は、こうした昨今の要件に対応し、攻撃の起点となり得るアタックサーフェスをより適切に管理することで侵害リスクを軽減することを目的としている。組織ドメインなどの情報を基にインターネット経由で資産探査を行うもので、本社やグループ会社、海外拠点、サプライチェーン、さらにはクラウド上のリソースまでも探査の対象とすることができる。

　具体的には、企業のアセット特定・可視化を行い、それらのIT資産でどのようなアプリケーションやプラットフォームが稼働しているのか判定も行う。その上で脅威インテリジェンスを活用してリスクを明らかにし、セキュリティ上の懸念や問題点がないかを評価するという。「攻撃者から狙われる隙がないかを毎日自動で探索・評価します。問題点が確認された場合でも、優先順位をつけてしっかりと対応できるように支援します」と桐谷氏は述べる。

アタックサーフェス管理、有効なユースケースとは？

　では、具体的にASMはどのように機能するのか。桐谷氏は例として、自組織においてVPN装置の状態をダッシュボード上で確認できる様子を紹介した。

　画面上には利用している機器などがメーカー情報を含めて表示され、たとえばVPN装置をクリックすれば、IPアドレスや設置されている国などの詳細情報も確認できる。Webの管理画面が外部公開されていたり、ポートが開いていたりといった状況も一目瞭然だ。また、こうしたIT資産の状況について、セキュリティ上の問題点がないかをリスト化できる。

　もちろん、Webサイトや業務アプリケーションなどの資産も検出でき、パッチ未適用による脆弱性や設定不備などの問題点を資産情報と共にリスト化可能だ。さらに問題点は5段階の重大度で示されるため、リスクレーティングに基づいたトリアージにも適う。「このように定常的な自動評価を行うことで、資産の存在や脆弱性の情報を知らなくても、攻撃される可能性をいち早く把握できます」と桐谷氏は話す。

　MandiantのASMは多くの日本企業でも利用されている。たとえば、大手製造業の事例では東南アジアの工場や北米拠点など、グループ会社や子会社が全世界にあり、主要サプライチェーンも含めると組織が200を超える。これらの組織を日本のセキュリティ部門から守りたいが、膨大な組織数に加えて、成熟度やセキュリティレベル、関与できるレベルなどの違いからガバナンスを効かせ難いことが課題だった。そこでASMを用いて、これらの組織に対して毎日または毎週のスキャンを実施。万が一、重大な問題が見つかれば、ただちに連絡して対策できるような運用を確立している。

　また、さまざまなBtoCサービスを展開している大手Webサービス業では、グループ会社が各社で多様なサービスを立ち上げているため1,000以上の関連ドメインがあり、そのすべてを把握することが困難だった。そこでASMを用いて、外部から見て危険なIT資産がないかを毎日スキャンしている。ただちに対策が必要なリスクは、各グループのIT担当者に連絡して対策を促し、低リスクのものは定期レポートで通知する運用を採っているという。

　他にもASMのユースケースとしては、2022年に話題となったApache Log4jのようなクリティカルな脆弱性が公開された際、影響するIT資産を特定するときにも活用できる。さらに野良クラウドを含めたシャドーITへの対応はもちろん、企業の合併や統合といったケースにも役立つだろう。「まずは外部から見えるところを中心にリスク調査を自動化し、日常的に見える状態にします」と桐谷氏は言う。

脅威インテリジェンスに基づく優先順位付けで運用を効率化

　ASMのユースケースを紹介したが、もちろん導入しただけで課題解消とはいかない。たとえば、検出されるIT資産が多く、確認や振り分けに苦労するという運用課題はよく聞こえてくる。実際のIT資産数は1,000程度のはずだが、他社のツールでスキャンすると1万超のIT資産がリストアップされてしまったケースもあるという。ツールによっては誤検知が多い場合があるなど、IT資産をいかに精度良く見つけられるかは選定時の重要なポイントだ。

　また、セキュリティアラートが大量に上がり、どれから手をつけて良いかわからないケースもある。「セキュリティの問題点を見つけてくれるのは良いことですが、担当者に一つひとつ連絡するのは現実的ではなく、日常業務として運用できません」と桐谷氏。自社のセキュリティ運用と上手く連携できなければ回せない。

　一方、Mandiant ASMは検出精度が高く、“攻撃者の視点”でIT資産を発見できる点がポイントだ。攻撃者がツールを使い攻撃対象を探すのと同様に、自組織のドメインを入力するだけで関連するIT資産を再帰的に探索できるからだ。ASMが自動的にIT資産を見つける際の検出精度の高さこそが、運用における成功のポイントだと桐谷氏は強調する。

　データソースはDNSやWhois、ソーシャルメディアのアカウントなど250以上を利用しており、ドメインやDNS、クラウド上のリソース、GitHubのコードリポジトリなどもIT資産として検出可能だ。「特にクラウドリソースやコードリポジトリは発見され次第、攻撃者が深掘りして調べるため、検出できるかどうかは大きなポイントです」とも言う。

　さらにセキュリティアラートが大量に上がり、どこから手をつけて良いかわからないとの課題には、アラートの優先付けが有効だ。「最近の脆弱性は“Critical”としてレーティングされるものが多いため、その全部に対応しようとして運用負荷が高くなってしまう場合があります。NISTの脆弱性データベース（NVD）におけるCVSSレーティングで“High”または“Critical”を対応するポリシーがよく聞かれますが、IT担当者への連絡が多くなり疲弊しがちです」と桐谷氏。

　Mandiantでは独自のリスクレーティングに基づき、理論的な脆弱性の危険度だけではなく、実際の攻撃現場で得られた情報も評価している。これにより、たとえば2022年のHighまたはCriticalに分類された脆弱性を見るとMandiantは428件だが、NVDのCVSSでは5,000件以上だ。このようにMandiant ASMでは、実際に起きている攻撃の状況も踏まえた上で、本当に対処すべき脅威に焦点を当てることで、効率的にリスクのトリアージを行うことができる。

　これに加えて、スピードも重要だ。Mandiantでは、Apache Log4jの脆弱性が公表された翌日にチェック機能を実装した。つまり、日々スキャンを実施していれば、担当者がApache Log4jの脆弱性を知らずとも、公表翌日には影響する対象資産を見つけられるということだ。「特にリスクの高い脆弱性にはスピード感をもって機能を提供しています」と桐谷氏は述べる。

　最後に大事なポイントは、既存のセキュリティ運用との連携だ。ASMの運用フローとしてはIT資産の探索やリスクの可視化を自動的に行い、もし問題点があればアクションをとる流れとなる。このとき肝となるのは、短期、そして中長期的なアクションにうまくつなげるために、自社で確立している運用にあわせた形で行うことだ。Mandiantでは、他社チケット管理ツールとの連携やAPI、データのエクスポートが可能で、導入しやすさを意図した機能も備わっている。

　MandiantはGoogle Cloudの一員であり、ASM以外にも多くのサービスやソリューションを提供している。Mandiantが持っている攻撃者の脅威情報をベースにGoogle Cloud Threat Intelligence（GCTI）による脅威インテリジェンスをChronicle SIEM、SOARなどと連携して検出や調査、対応も可能だ。そのような運用基盤をクラウドプラットフォームとあわせて提供している点も同社の特長だろう。

　Googleが得意とするAIについても活用が進んでおり、脅威の早期発見やセキュリティ運用の効率化のために製品へと組み込まれている。「Google Cloud は、クラウドかオンプレか、ハイブリッドかなどにかかわらず、お客様の重要なデータやサービスを守り、DXの推進を支援していくことにコミットしています」と桐谷氏は締めくくった。