見出し画像

ASMとCTEM ~併せて活用、より強固なセキュリティを実現~

Cyber NEXT

みなさんこんにちは。シーイーシーセキュリティオペレーションセンター(CEC SOC)セキュリティアナリストの木村です。

近年さまざまなものがデジタル化し、それに伴いIT資産も増加しています。IT資産が増えるということは、それだけサイバー攻撃の被害にあう可能性も高くなるということです。
ここ数年にあったサイバー攻撃の被害ですと、

・徳島県にある某病院のランサムウェア被害
・愛知県にある某港湾へのサイバー攻撃によるシステム障害

などがあります。

この2つの事例は、「組織が把握できていないIT資産、または放置されていたIT資産の脆弱性」を狙われて起きてしまったものです。
また、警視庁が発表している資料によると、令和5年ではサイバー空間における脆弱性探索行為が「1日1IPあたり約9000件」も行われており、増加の一途をたどっているといいます。

【出典】
令和5年におけるサイバー空間をめぐる脅威の情勢等について(警察庁)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf

年々サイバー攻撃の脅威は増加していく一方ですが、私たちの組織、企業は十分な対策を行えているのでしょうか?

平時運用と有事運用

サイバー攻撃から組織を守る方法として、2種類のセキュリティ運用があります。
1つは、侵入を前提とした早期検知、被害縮小のための「有事運用」。もう一つは、攻撃を未然に防ぐための「平時運用」です。
「有事運用」に関してはすでに仕組みが整っていて運用できている組織も増えてきていると思います。
「有事運用」ではSOCなどの通報、対応を行うサービスの導入やデバイスへセキュリティ製品をインストールすることで、セキュリティインシデントをいち早く検知、適切な対応を行い、被害を最小限に抑えることができます。
一方、「平時運用」では、攻撃を受ける可能性がある資産の把握と攻撃の予防を行います。

皆さんの組織では公開されているすべての資産の把握とそこに潜んでいる脅威への対策はできていますか?

平時運用と有事運用

ASMを実施して弱点を把握

「平時運用」で攻撃を防ぐ仕組みを構築するにはまず、自分たちが使っているネットワークやシステムなどの状況、使用している資産、それらに付随するリスクを可視化/把握する必要があります。
インターネット上に公開されている資産はどのくらいあるのか、どういったリスクが潜んでいるのかを調査してサイバー攻撃のリスク軽減を目的とするプロセスを「Attack Surface Management(ASM)」と呼びます。

○ASM実施のプロセス
1.資産を特定する
2.資産の情報収集を行う
3.資産のリスク評価を行う

ASMを行うことで今まで放置されていたリスクを見つけることができ、攻撃を受ける可能性がある穴を埋めていくための準備ができるようになります。

CTEMで平時から備えを万全に

ASMで資産と付随するリスクを洗い出したあとは、それらを継続的に管理・改善していかなければなりません。IT資産を管理して継続的に改善していくためのプロセスをCTEM(Continuous Threat Exposure Management)と呼びます。
CTEMのプロセスには5つのフローがあります。

CTEMプロセスのフロー

IT資産を把握してリスクを発見、改善していくという部分はASMと同じですが、CTEMは外部公開資産だけではなく、内部資産も合わせた組織全体のIT資産を対象としています。
CTEMを行う際に特に大切なのが、③Prioritization(優先順位設定)と④Validation(検証)です。

③ Prioritization(優先順位設定)
組織で許容できるリスクレベルなどを軸に優先度の設定を行います。
リスクはIT資産がある限りなくなりません。すべてのリスクを完璧に対策するのは現実的には不可能なため、優先順位を設定し優先度の高いものから対策を講じることが重要です。

④ Validation(検証)
攻撃者目線で検証を行います。
検証を行うことで、
・発見したリスクが本当に攻撃可能なリスクかどうか
・潜在的な攻撃経路の発見
・攻撃をされた際にどのような影響が出るのか
を確認することができます。

CTEMを正しく運用していくことで、攻撃を受けにくい体制を作ることができ、セキュリティ態勢の強化につながります。また、万が一攻撃を受けてしまったとしても、影響自体を小さく抑えることができます。

まとめ

「ASM」「CTEM」の実施は、見えないIT資産の発見から対策までと幅広く、少なからず負担のかかる作業となります。しかし、実施をしておくことで攻撃を受けにくい体制を作り、万が一攻撃を受けた際も被害を最小限に抑えることにつながります。
攻撃を受けてから後悔することにならないようできるところから少しずつ実施して、サイバー攻撃の被害にあうリスクを日々管理していきましょう。