2023.7.7
はじめまして。CAAV開発を担当しているsosos0s0です。
前回のブログでは、CAAVでできること、これからのロードマップ、機能紹介、そして私たちがCAAVにかける想いなどについて紹介しました。
第2回目のブログでは、企業の保有する公開サーバーの自動リストアップ(可視化)から、脆弱性の管理(継続的なセキュリティチェック)までを行うCAAVに関連するトピックとして、ASM(Attack Surface Management)の概要について紹介します。また、ASMにおけるCAAVの優位性についても解説します。
2023年5月29日、経済産業省が「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめています。本ガイダンスは、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取り組み事例などが紹介されています。
本ガイダンスでは、ASM(Attack Surface Management)を「組織の外部(インターネット)からアクセス可能なIT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義しています。
ASMは、主に「(1)攻撃⾯の発⾒」「(2)攻撃⾯の情報収集」「(3)攻撃⾯のリスク評価」の3つのプロセスで構成されます。
(1) 攻撃⾯の発⾒ はじめに、企業が保有または管理している外部(インターネット)からアクセス可能なIT 資産を発⾒します。具体的にはIP アドレス・ホスト名のリストが本プロセスのアウトプットとなります。 (2) 攻撃⾯の情報収集 (1)で発⾒したIT 資産の情報を収集します。このプロセスで収集する情報には、攻撃⾯を構成する個々のIT 資産におけるOS、ソフトウェア、ソフトウェアのバージョン、オープンなポート番号などがあります。⼀般的にこのプロセスは、調査対象に影響を及ぼさないよう、Web ページの表⽰など通常のアクセスの範囲で⾏われます。 (3) 攻撃⾯のリスク評価 (2)で収集した情報をもとに攻撃⾯のリスクを評価します。⼀般的には、公開されている既知の脆弱性情報と、(2)で収集した情報を突合し、脆弱性が存在する可能性を識別します。 |
前述の通り、ASMは攻撃面の洗い出し・攻撃面の情報収集、攻撃面のリスク評価といったプロセスを行う必要がありますが、これらのプロセスを手作業で行うには専門知識が必要かつ手間がかかるため、ASM の全てを⼿作業で実施することは難しいです。そのため、ASM の実施を⽀援する各種のツール(以下、ASM ツール)を活⽤するのが⼀般的です。
ASM ツールは、検索した攻撃⾯の情報やそれらの情報をもとに算出したリスク評価の情報を可視化するツールです。また、可視化した情報をレポートとして出⼒可能なツールも存在します。
ASM ツールは、主に下記の「検索エンジン型」と「オンアクセス型」に分類されます。(CAAVは「検索エンジン型」に該当します。)
検索エンジン型 ASM ツールを提供している事業者が、独⾃に収集した情報を事業者が管理するデータベースに保存し、ユーザーがツール操作時にデータベース上で攻撃⾯の検索・閲覧する型 オンアクセス型 ユーザーが検索を実⾏したタイミングで、対象への通信を⾏い攻撃⾯の情報を収集する型。 |
一般的なASMツールは以下のような機能を備えています。
本ブログでは割愛していますが、各機能についてのより具体的な説明について本ガイダンスに記載されておりますので、ASMツールについて詳しく知りたい方は一読されることをお勧めします。
本ガイダンスにおいて、ASMツールの活用にあたって備えていると望ましい知識・スキルを挙げています。
ASMツールを活⽤する際、情報セキュリティについての幅広い知識が必要となります。セキュリティ実装技術や通信プロトコル等といった技術的な知識のみでなく、リスク分析や評価といった情報セキュリティ管理といった知識が必要となります。また、情報セキュリティに関する動向は日々アップデートされるため、動向や事例についての情報収集を行い、集めた情報を評価するといったスキルも必要となります。
また、情報セキュリティのみでなく、発⾒した脆弱性を関係者に報告するためのヒューマンスキルも必要となります。コミュニケーションスキル、レポーティングスキル等が無いと、担当者が情報セキュリティの知識を持っていたとしても、組織全体に適切に伝達することが出来なければ、ASMツールを活用することは難しくなります。それに加え、組織・体制の知識(自社システムに関する知識、セキュリティ対応体制の知識、情報セキュリティポリシーの知識等)も必要となります。
このように、ASMツールを活用するためには、ユーザーが幅広い知識を有している必要があるというのが現状であり、スキルギャップを埋めることが急務であると言えます。
第1回目のブログでご紹介の通り、CAAVは「サイバーセキュリティ対策をユニバーサルデザインし、お客様の企業ブランドを守ること」をミッションとしており、「サイバーセキュリティ対策のハードルを下げ、対策への一歩を後押しすること」をビジョンとして掲げています。
CAAVにはユーザーの手間を軽減し、セキュリティ対策のハードルを下げる機能が含まれています。例えば、お客様の会社名をCAAVに登録するだけで、CAAVはお客様が保有する公開サーバーの発見(棚卸し)と、セキュリティチェック(脆弱性の把握)を一気通貫・全自動で実行し、その結果をダッシュボードに表示します。タイムリーかつユーザーに負担がかからないようになっており、ユーザーにとって取っつきやすい使用感になっております。そのため、幅広い知識を有していなくても気軽にASMを始めることが可能で、結果的にスキルギャップの改善が期待できます。また、ユーザインタフェースもシンプルにし、直感的に使用できるように考慮されています。
上記機能はあくまで一例であり、他にもセキュリティ対策のハードルを下げるための機能がCAAVには搭載されています。(具体的な機能については今後のブログで紹介いたします。)
第2回目のブログでは、CAAVに関連するトピックとして、「組織の外部(インターネット)からアクセス可能なIT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」であるASMの概要について紹介しました。
また、ASMツールを活用するためには、ユーザーが幅広い知識を有している必要があり、敷居が高くなっているという課題について説明しました。そのうえで、理想と現実のスキルギャップを埋め、セキュリティ対策のハードルを下げるためにCAAVを有効活用出来るということを説明しました。
今後のブログでは、CAAVの機能について詳しく解説する予定です。
最後までお読みいただきありがとうございました。
CAAVにご興味のある方は、お気軽にお問い合わせください。
https://portal.caav.jp/inquiry