【要点抽出】ASM (Attack Surface Management)導⼊ガイダンス

ニキヌス

最近よく聞くASM(アタックサーフェスマネジメント)。その導入のためのガイダンスが経済産業省のサイバーセキュリティ課から出ました。

https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

何の本?

セキュリティ管理において資産管理や構成管理は基本のキです。
が、それが抜け漏れなくできている企業はほぼ見たことがありません。
その精度をあげる取り組みは引き続き行いつつも、取り急ぎ、インターネットごしにアクセス可能なIT資産だけでもしっかり洗い出す(=アタックサーフェスをマネジメントする)必要があります。
本書は全体的にかなり入門編です。
ASMってそもそも何?どんなツールなの?といったイメージを付けるのに役立つと思います。

構成は?

全32ページとコンパクトです。
今回は2、3章をまとめます。

  • 2章 ASMの基礎知識

  • 3章 ASMの実施にあたって行うべきこと

  • 4章 民間事業者の取り組み事例×2

2章 ASM(Attack Surface Management)とは

本書ではASMを以下のように定義しています。

組織の外部(インターネット)からアクセス可能なIT資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス

「組織が見落としていたけど、攻撃者からは丸見えなヤバい資産を洗い出す」ことが通常の資産管理との違いです。

ASMは3つのプロセスで構成されます。

  1. 攻撃面の発見
    組織が管理するドメイン名を特定し、IPアドレスやホスト名を洗い出す

  2. 攻撃面の情報収集
    上記で洗い出したIT資産についてのOS、ソフトウェア、ソフトウェアのバージョン、オープンなポート番号等を洗い出す

  3. 攻撃⾯のリスク評価
    上記で洗い出した情報をもとに脆弱性の有無を確認する

情報収集や評価は、あくまで外部から見える情報を元に推測するだけなので、脆弱性診断のように疑似攻撃を仕掛けたりはしません。
その意味で、診断のように監視アラートがあがったり安定稼働に影響を及ぼすリスクは低い反面、脆弱性の発見確度は低い特徴があります。

本書では、診断とASMは別物なので使い分けや併用するよう求めています。

3章 ASMの実施

ここでは大きく「実施の流れ」「ASMツールの特徴」「注意点」の3つが書かれています。

(1)実施の流れ

まずは実施計画を立てます。
計画には、導入目的、調査対象範囲(グループ会社やサプライチェーンをどこまで入れるか)、運用(実施頻度、資産や脆弱性の発見内容に応じた対処方針)、利用ツールを含めます。

次に攻撃面の調査と評価を行います。
調査範囲のIPアドレスやドメイン名を用意した上でASMツールを回します。
ASMツールはインターネット上の情報を検索し、調査結果をレポートにまとめてくれます。
実際にはこの後、洗い出された脆弱性にパッチを当てる等の作業が続きますが、本書で扱うASMの範囲はこれだけです。
当然ながら、攻撃面は刻々と変わりますので、一度調査して終わりではなく継続的に取り組む必要があります。

(2)ASMツールの特徴

ASMツールは調査対象の情報を検索することが最大の使命ですが、どこにある情報を調べに行くかによって2種類に分けられます。

  • 検索エンジン型
    ASMツールベンダが事前に情報収集・整理したデータベースに対してASMツールが検索するタイプ

  • オンアクセス型
    ASMツールが調査対象に直接通信するタイプ

想像するに、前者はレスポンスの早さや、調査対象に影響を出さずに使える点・後者は情報のタイムラグがない点がメリットだと思います。

そして、本書ではASMツールが持つ12の機能を紹介しています。

  • IP アドレス・ホスト名の⼀覧表⽰機能
    上記「攻撃面の発見」「攻撃面の情報収集」で得た情報を表示する

  • 攻撃⾯の詳細情報表⽰機能
    対象IPアドレスやホストについてのOSバージョン、ソフトウェアバージョン、ポート番号等の情報を表示する

  • ダッシュボード機能
    検出した攻撃面の全体概要を数値やグラフで表示する

  • リスク評価機能
    CVSSベースや独自ロジックなどにより攻撃面の危険度を評価する

  • レポート機能
    算出されたリスク評価をレポート(PDF)形式で⽣成・出⼒する

  • リスク対応補助機能
    対応優先度や対応⽅法などを提⽰し、方針決めをサポートする

  • ファイル出⼒機能
    攻撃⾯や脆弱性情報などの⼀覧をCSV などでエクスポートする

  • 通知機能
    特定の情報をユーザーに通知する

  • アクセス制御機能
    ASMツールのコンソール画⾯での操作・閲覧を制限する

  • ログ機能
    ASMツールの操作ログを収集・保存する

  • 対応状況管理機能
    調査中や調査済みなどの対応状況のタグを付与する

(3)注意点

ASMツールを使う際に気を付けるべきポイントが5点挙げられています。

  • 不正確な情報の検知
    上述の通り、ASMツールは脆弱性診断をしているわけではないので、そんなに情報の確度は高くない前提で付き合う必要があります。
    脆弱性の可能性が指摘されても騒ぐ前に事実確認し、逆に脆弱性が見つからなくても、ただバナー情報を非表示にしていたために見つからなかった可能性もあるため、安心はしきれません。

  • 対象となる企業への影響
    「オンアクセス型」のASMツールの場合、対象システムに直接スキャンをかけるので、管理・運用元の承認を得ずにやった場合、下手すると訴えられる可能性があります。

  • 脆弱性評価の⽅法 / リスク評価指標の活用方法
    似た内容なので2つまとめて。
    ASMツールは発見した脆弱性の危険度を評価してくれますが、自社基準が既にある企業はそれをマッピングする必要があります。例えば悪用実績の有無が加味されずにCVSSだけで評価した場合、過度に高く判定される可能性があります。

  • 検索エンジン型の更新頻度
    「検索エンジン型」のASMツールの場合、事前に作ったデータベースを調べますが、そのデータベースはいつ時点に作ったものか?により情報の正確性に関わります。

その他、ASMツールの活用の際に備えていると嬉しい知識やスキルが紹介されていますが、セキュリティの知識やソフトスキル等「セキュリティの仕事をする上で共通的に必要だよね」というものばかりでしたので割愛します。

また、そうしたスキルがない組織がASMを実施したい場合、サービス化したASM、つまり「ASMサービス」を使うのもアリです。

感想

ASMについての基礎知識が得られました。
こうした新しげな言葉は、ステークホルダから「魔法のツール」として捉えられがちです。
これさえあれば資産管理はバッチリ、網羅性はバッチリと考えたくなりますが、情報の確度の件などやはり弱点はあるわけで、地道な資産管理・構成管理・脆弱性管理を避けて通れるものではありません。

となると、セキュリティ担当としてはASMツールの投資効果を説明しづらいだろうと考えられます。
自分なら、地道な資産管理の難しさ、それに対する脅威の迫り方などの前提情報を話した上で、ASMだけでなく資産管理の成熟も含めた全体的なロードマップを提示するだろうなと思いました。
あるいは、とりあえず試行してみて「こんなに管理できていないIT資産がいっぱい!」と見せたほうが話が早いかもしれません。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら


この記事が気に入ったらサポートをしてみませんか?