【後編】攻撃対象領域管理ソリューションが今熱い!効率的なセキュリティ対策で攻撃リスクを減らしましょう
皆様こんにちは、日本IBMの藤原です。
今回は前編でお話ししたIBMの持っている攻撃領域管理ソリューション「Randori」がどのように組織のセキュリティに貢献できるかをご紹介します。
前編はこちら
【前編】攻撃対象領域管理ソリューションが今熱い!効率的なセキュリティ対策で攻撃リスクを減らしましょう|note
前回のおさらい
※前編を読んでいただいた方は飛ばしてください
攻撃対象領域は組織の資産に対して攻撃に使われる脆弱性や手法を総括したもので、様々なクラウドサービスやリモートワークの流行により拡大し続けています。攻撃側が有利なサイバーアタックの世界では、拡大し続けていて管理が難しくなっている自組織の資産の、手が行き届いていないところを狙って攻撃されてしまうかもしれません。
そういった課題に対し組織の攻撃対象領域を洗い出し、どこが狙われやすいのか、優先して対応するべきポイントはどこかを継続的に提示してくれる攻撃対象領域管理(ASM)ソリューションが有効です。
ASMを導入してリアルタイムに変わっていく攻撃対象領域の管理を始めてみましょう。
IBMの攻撃対象領域ソリューション Randori
Randoriは2022年に新たにIBMが買収した製品です。Randoriは攻撃対象領域管理(ASM)製品だけでなく、レッドチーミングのサービスも同じプラットフォームで提供しており、サイバー攻撃のプロフェッショナルな知見を活かした製品となっています。
Randoriのポイントは「可視化」「実戦的」「継続性」です。
Randoriは組織のメールアドレスを手掛かりに、実際に攻撃者が用いる手法やツールを利用し組織の攻撃対象領域を可視化します。ここではお客様資産はもちろん、ブランチ拠点や子会社の資産も洗い出します。見つかった資産に対し、攻撃者視点からいかに魅力的な標的であるかを継続的にスコアリングし、ユーザに優先順位を提示します。ユーザはその優先順位を元に必要な対処を行います。このサイクルを継続的に実行することで、攻撃者に先立ったセキュリティ対策の実現が可能になります。
実は脆弱性を突いた攻撃というのは発生した侵害の内およそ3%程度だったという調査結果があります。だから脆弱性対策をしなくてもよい、ということではなく、これまでの脆弱性管理の枠を超え、攻撃者の視点に立ってお使いのサービスがどう攻撃されるかというプロアクティブな視点を持つことが大切です。Randoriはまさにこのような対策が可能です。
ここからはRandoriの特長的な機能についてご説明します。
攻撃者が最も攻撃しそうなところをスコアリングで明確に
Randoriは発見した資産を単に既知の脆弱性の脅威度だけで判断するのではなく、どれだけ攻撃者から見て魅力的(攻撃しやすい)かを6つの要因(Target Temptation)とターゲットの特徴からスコアリングをします。お客様はRandoriが示す優先度が高いものから調査・対応をしていただけます。より実戦的なリスクベースアプローチをすることで本当に攻撃者から狙われやすいポイントが優先順位として把握できます。
Target Temptation 6つの要因
・Applicability (サービスがどれくらい普及・認知されているか)
・Criticality (セキュリティ境界線の防御に重要な資産かどうか)
・Enumerability (構成情報やバージョンなどどの程度検出できるか)
・Exploitability (脆弱性の存在や攻撃のしやすさ)
・Research Potential (攻撃のための調査や開発のしやすさ)
・Post Exploit Potential (攻撃成功後の有用性)
例えば、今は使われていないCisco SystemsのVPN(Anyconnect)は、非常によく知られたソリューションかつVPNという侵入によく使われてしまう重要なインフラなため、6つの要因から優先度は高くなる可能性がございます。しかし、検証環境で切り離されており今は利用していないということがお客様の調査で分かったとします。そうした場合、Randoriではターゲットに対するお客様の評価・対応を反映することで、優先度を結果的に低くするということができます。Randoriで自動的にスコアリングされる部分と、お客様の実際の評価を反映させることにより、最終的な優先度が判断されるという仕組みになっています。
IPv6を含む高精度な検出機能でシャドーITを特定
Randoriの検出アプローチではIPv4はもちろんIPv6も検出することができます。そのため、お客様が現在認識していない資産(シャドーIT)を子会社含め、高い精度で検出できます。そのため例えばM&A後の複雑な状況化でも高い効果を発揮することが想定されます。高い精度で検出できる理由は、探索方法が単なるIPv4スキャンなど単純な方法ではなく、実際に攻撃者が使用する方法を活用した手法を取るためです。また、どのように検出されたのかRandoriがたどった検出経路まで提示してくれます。これにより資産に対する明確さが向上します。
メールアドレス一つでとっても簡単に開始できます
Randoriによる探索はメールアドレス1つのみですので非常に簡単に探索をスタートすることができます。ある案件ではディールをわずか1週間程度でクローズできたという事例もあり、SaaSによる提供なのでスピード感のある導入が可能です。
まとめ
Randoriは攻撃対象領域の特定と優先順位付けの継続的な提供という新たな価値を提供します。対応自体はRandoriでは行えないため、これさえ入れればよいというものではありませんが、さらに進んでいくIT化の時代にマッチしたソリューションで、これから導入する企業も増えていくことが想定されます。
Randoriを導入して先回りの対策を始めましょう!
さらに詳しく知りたい方は公式サイトもご参照ください。
IBM Security Randori Recon - Randori | IBM
Randoriについて詳しい情報を知りたい、デモを見たい、試してみたいなどご要望などございましたら、以下のお問い合わせフォームよりご連絡いただけますと幸いです。
問い合わせフォーム
今回もお読みいただきありがとうございました。
日本アイ・ビー・エム株式会社
テクノロジー事業本部 デジタルセールス事業部 第二デジタル営業部
藤原 圭汰
Email:Keita.Fujiwara@ibm.com
LinkedInでも情報発信しています。お気軽につながりお待ちしております。
https://www.linkedin.com/in/keitafujiwara-2535a1240