インターネットは最早ビジネスに欠かせない存在となっており、インターネットを利用していない企業を探す方が難しいだろう。インターネットを経由して世界中の企業や人々と繋がることが出来る、そう「サイバー攻撃者」でさえも。

 Covid-19感染拡大によって企業を取り巻くIT環境は大きく変わり、世界中で一気にテレワークが普及した。この急速な変化によってインターネットから直接アクセス可能なVPNや、クラウド上に公開されたIT資産、脆弱性を放置されたサーバー等がサイバー攻撃の標的となった。

 現在、これらのインターネット上からアクセス可能になっている「資産」を保護するための「ASM(Attack Surface Management)」と呼ばれる技術の注目が高まってきている。

■ASM(Attack Surface Management)とは?

 アタックサーフェスとは元々は軍事用語で「攻撃される可能性のある場所」を意味する。日本語では攻撃対象領域と訳されることが多い。

 企業のデータセンター奥深くに保管された資産ではなく、インターネットに公開されている資産、言わば「会社の表面」に置かれている資産であり、サイバー攻撃者から見た時に「アタックサーフェス(攻撃対象領域)」となり得る資産を検出する技術。

 セキュリティの世界には昔からある概念ではあるが、クラウドやテレワークが当たり前となり、再び注目が高まってきている。何故なら、脆弱なアタックサーフェスが存在すれば、サイバー攻撃者が標的とする企業に侵入する際には、このアタックサーフェスが利用される可能性が高くなるからだ。

 例えば、開発者がテレワークのために勝手に構築したAWS上のRDPサーバーや、脆弱性が存在するにも関わらず放置されてしまっているVPNゲートウェイ等だ。こういった脆弱なアタックサーフェスは、インターネットが利用出来る環境であればどこからのでもアクセス可能なことが多く、ゼロデイ攻撃の対象となりやすい。

 アタックサーフェスには、企業の管理部門が認識していないIT資産等も存在しうるため、もし悪用されていたとしても情報システム部門等がその存在を認識すらしていない可能性もある。

 アタックサーフェスを適切に検出する仕組みが存在しなければ、SoC担当者等は攻撃者が本当に狙っている場所に対する攻撃は一切感知することなく、「わざと見つかりやすいようにバラまかれた囮インシデント」の対応に翻弄されることになる。

■増加するゼロデイ攻撃

 アタックサーフェスが注目を集める理由の一つが、ゼロデイ攻撃の増加だ。ゼロデイ攻撃とは脆弱性が発見されてから、パッチ等が作成されるまでの期間に加えられる攻撃を意味するが、インターネットで情報が一瞬で流通する現代において、脆弱性が公開され、ゼロデイ攻撃を仕掛けられるまでの期間が非常に短くなっており、僅か5分で攻撃が観測されたケースも存在する。 

■狭くなったインターネット

 2000年頃であれば、インターネット全体をスキャンしようとすれば数か月は必要とされていた。しかし、現在では単一のポート番号とプロトコルの組み合わせ、例えばTCP:3389のような指定であればIPv4のアドレス空間(43億IP)全体を対象にしたとしても、スキャンに必要な時間は45分以下である。

 そして、サイバー攻撃者がこのようなスキャンを行うためには僅か$10ほどでスキャンを行うサービスを利用することが可能だ。

■企業を攻撃者の視点で見守るアタックサーフェス

 サイバー攻撃の技術は日々進化しており、従来のように「アンチマルウェア対策さえしていれば大丈夫」という時代では既にない。

 「DXにはクラウドが欠かせないから、セキュリティを緩めよう!」という声も一時増えたが、そのような掛け声で導入されたIT資産の多くがセキュリティを軽視した結果、設定ミスやセキュリテイ考慮漏れによって意図せぬ情報漏えいを多発させる要因となってしまった。

 このような状況を受けて、最近はセキュリティを重要視する企業においては「可能な限り攻撃対象領域を狭めよう」という動きが出てきている。

 アタックサーフェスは、サイバー攻撃者の視点にたって「狙いやすい場所」を探し出す技術だ。「攻撃を受ける前に、まずは守りを固めたい」と考える企業にとっては検討する余地のあるソリューションになるのではないだろうか。