Attack Surface Managementの効果と課題

ASMの必要性

近年、デジタル化が進む中で、企業や組織はサイバーセキュリティの強化を求められています。また、セキュリティレーティングサービス(外部からみたセキュリティ状態を評価するサービス)の登場により、企業のセキュリティ状態は可視化され、スコアリングされることが一般的となりました。これにより、企業は自らのセキュリティ状況を把握しやすくなった一方で、他者よりセキュリティ状態をスコアリングされ、ビジネス上の判断材料の一つとされることも増えています。

このような外部環境の変化に伴い、ASMの必要性が高まっています。外部公開されている資産や設定不備の有無など他者から見られる攻撃の端緒の有無等を含む状態を把握し、管理することは、リスク管理の観点から不可欠です。MS&ADホールディングスにおいては、2023年よりレピュテーションリスクの低減やシャドーITの発見などを目的にASM運用を開始しました。

ASMの利用形態

ASMの利用形態としてはASMサービスとASMツールの二種類があり、比較すると下表の様になります。なお、当社ではASMサービスを利用しています。

筆者の運用経験から、ASMサービスのメリット^※1としては、
　・ツールの操作やユーザー管理が不要である
　・要件によっては、機能が充実したツールと比べコストメリットが見込める
があります。一方、デメリット^※1として、
　・レポートからのデータ取得後の情報整理や管理に負荷がかかる
　・指摘が修正されたか追跡が困難
があり、定期的なセキュリティ評価はできるものの、機能の拡張性や運用開始後の負荷に悩むことも発生しえます。

ツールのメリット^※1としては、
　・可視性(情報の属性付け、精度)
　・インテリジェンス(各種要素をふまえた優先順位の自動提示)
　・スピード(発見した指摘の修復手順やガイドの自動提供、修復状況の追跡)
などがありますが、サービスと異なり、使いこなすにはASMツールの理解とユーザー管理などが求められます。

※1 上記ASMサービス、ツールのメリット、デメリットはともに使用するサービスやツールによって異なり、筆者の把握している情報から記載しております。定にあたっては着実な把握をするとよいでしょう。
また、ASMはセキュリティレーティングサービスと異なり、業界内で自社セキュリティがどんな位置にあるか把握できないサービスがある事も注意点となります。導入にあたっては、自社が抱える課題解決や目的達成につながるか、直接的な利用費用だけではなく、見えづらい運用コストも考慮した費用対効果をもって見極めるとよいでしょう。

ASMによる競争優位性の確保(効果)

ASMの活用は、現代のビジネス環境において企業が直面するセキュリティリスクを軽減するための重要な手段です。ASMを導入することで得られる効果は多岐にわたり、サイバーリスクやレピュテーションリスクの低減や、リスク対策に関する意思決定に寄与します。比較的規模の大きな組織においては、自組織の資産管理の一助やシャドーITの発見への寄与が見込めます。以下にてユースケースを紹介します。

1.サイバーリスク低減への活用

ASMは企業が持つ外部攻撃面(脆弱性が存在する指摘や設定不備)を正確に把握することを可能にします。これにより、企業は潜在的な脆弱性を特定し、適切な対策を講じることができます。特に、サイバー攻撃が日常的に発生する現代において、迅速な意思決定は不可欠です。ASMを活用することで、企業は外部から見える攻撃面の情報を広範に収集・分析し、対応策を講じることができます。

2.信頼獲得・レピュテーションリスク(風評リスク)低減への活用

ASMは企業の信頼性を高める要素ともなります。顧客や取引先に対して、自社がセキュリティ対策をしっかりと行っていることを示すことができ、外部評価において高いスコアとして証明できれば信頼関係の構築につながります。特に、データ漏洩やサイバー攻撃による被害が報道される中で、企業のセキュリティへの取り組みは顧客からの支持を得るための重要な要素となります。ASMを通じて得られた情報は、企業のセキュリティポリシーや施策の正当性を示す材料ともなり、顧客やステークホルダーに対して安心感を提供します。

3.セキュリティ投資の意思決定への活用

セキュリティ担当者にとっても、ASMは有用なツールです。ASMを活用することで、検出した指摘の数や深刻度を数値で表現し、セキュリティ施策の費用対効果を定量的に評価する材料とすることが可能となります。具体的なデータをもとに、脆弱な部分を修正する必要性やその根拠を説明することができるため、経営陣や他の部門とのコミュニケーションが円滑になります。これにより、全社的なセキュリティ意識の向上や、必要なリソースの確保が期待できるでしょう。

ASMの課題や考慮事項

当社でのASM運用の中で、いくつか課題や考慮事項を以下にて紹介します。ASMの課題は多岐にわたりますが、これらを克服することで、より効果的なセキュリティ対策が実現できるでしょう。

1.ノイズ混入による誤検知

ノイズ混入による誤検知は、正確な情報収集を妨げ、結果として無駄なリソースを消費する要因となります。そのため、運用においては、誤検知を減少させるためのフィルタリングや優先順位付けの仕組み、さらにASM診断の基となる情報のレビューを着実に行うことが一般的に推奨されます。

2.継続的な対応と情報活用の難しさ

ASMは動的な環境において変化する攻撃面を管理するため、継続的な情報収集と分析が求められます。利用者は得られた情報を適切に分析し、戦略的な意思決定に活かす能力も必要です。 また、ASMによる成果物をそのまま後続の情報提供に活用できない場合、表計算ソフトなどを用いた人的な情報管理や加工が必要となります。これにより品質を担保するための運用設計も重要な考慮事項となります。

組織に適した実践可能な運用設計

ASMはあくまで情報を収集する手段であり、運用として活用するにはそれぞれの組織に適した実践可能な運用設計が不可欠となります。導入する際は、その要件や方向性を関係者と合意しておくとよいでしょう。 特にASMとしてできる事は、極論、関係者への情報提供に終始しますので、意義のある情報として加工するために石川朝久著「脅威インテリジェンスの教科書」における“良いインテリジェンスの４要件^※2”のような原則をふまえるのも一案でしょう。

※2 「正確さ」、「利用者目線か」、「次のアクションにつながるか」、「適切なタイミングか」の４要件。 総じて、ASMは企業にとって重要な要素であり、セキュリティ対策の強化だけでなく、競争力の向上や顧客信頼の獲得にも寄与します。今後ますます重要性が高まるASMを積極的に活用し、企業の持続的な成長を支える基盤とすることが求められています。ASMの利用形態がツールであっても、サービスであっても、課題の抑止と効果の発揮には運用設計が大切となります。