近年、クラウドによるテクノロジーの廉価化、コロナ禍以降のテレワーク拡大による急速なDXの進展により、企業を標的としたサイバー犯罪が増加の一途をたどっています。しかし、サイバー犯罪の標的・攻撃領域となりうる企業内データ=IT資産の管理は行き届かず、散逸・点在してしまうのが企業内の今日の状況です。適切に管理がされていないIT資産はサイバー犯罪の格好の標的・脅威にさらされてしまいます。そのような事態を避けるために、企業はIT資産を適切に管理し、リスクを洗い出す必要がありますが、人力で全て可視化することは非常に 困難です。
攻撃領域となり得てしまうようなIT 資産(外部アクセス可能なデータ等)をハッカー、攻撃者の視点で巡回・検知し、それらに存在する脆弱性などのリスク を継続的に検出・評価する「ASM(Attack Surface Management)」を導入する企業が増えています。
以下では、大手通信会社が「ASM」を導入した背景・プロセスと弊社・Pipelineのサポートについて、事例をご紹介します。
PHOTO: NORIKO HAYASHI/BLOOMBERG NEWS
業種:通信業
導入部署:サイバーセキュリティ部門
ー所属部署のミッションと仕事内容を教えてください。
私たちの部門のミッションは、サイバー攻撃からの損害を最小限に抑え、会社のあらゆる情報資産を保護することです。サイバーセキュリティに関連する活動やプロセスを統括しており、具体的には、セキュリティポリシーの策定と管理、脅威インテリジェンスの収集と分析、インシデント対応の計画策定と侵入検知・対応などを行っています。
ーASM導入前は、どのような課題があったのでしょうか?
大きく分けて2つあります。一点目は内部脅威への対策です。
近年、リモートワークの導入により働き方が多様化するとともにクラウドサービスが普及し、いつでも・どこからでも・ どのデバイスからでも、業務システムにアクセスできるようになりました。利便性が向上した一方で、システム管理上の死角が非常に多くなり、結果、内部脅威の危険性が高まり、対策が急務となりました。
特に、業務に使用するIT機器・サービスのうち、従業員が勝手な判断で導入したIT機器やソフトウェアを使用する「シャドーIT」は、不正アクセスや情報漏洩が起こる懸念があり、注視しています。例えば、会社で契約しているクラウドサービスを利用して業務を行っている中で、個人のクラウドサービスに社内データを保存してしまうケース。また社員が業務で管理していたパスワードを放置したまま転職し、攻撃の穴になってしまうケースなど。以前は想定していなかった新たな危険性が生まれています。
ネットワーク上の感染・侵害されたデバイスから来る内部脅威に対して、そうした「見えていないもの」「忘れられているもの」を把握する仕組みを作り、未知の不審な行動を発見して対策を講じることが急務となっていました。
ーもう一つの課題は?
もう一つは、弊社ブランドのなりすましドメインを検出し、対策を講じることです。弊社は通信会社としてお客様に携帯電話・Wi-Fi・ルーターなどの端末を提供しており、お客様へのセキュリティ責任もあります。私たちのネットワークに載っているサービスや端末から、悪意の通信が出ていないか?なりすましが出ていないか?などを監視して、サイバー攻撃を未然に防がなければなりません。
サイバー犯罪者は「会社名.service.com」などブランド名を使ったドメインを、簡単に作成・購入することができます。偽ドメインを使ってメールやSMSなどで連絡を受けた場合、ユーザーや取引先企業からすれば、これがなりすましかどうかは、わかりません。
例えば「×××のお客様センターです。ご利用料金の支払い確認が取れておりません。以下のURLよりご確認ください」などのメッセージがSMSで送られ、SMSに記載されたURLをクリックすると、不正なアプリがインストールされるなどのケースがあります。
こうしたなりすましによる被害を防ぐために、弊社ブランド名で毎日検索を行い、新しく生まれたドメインを特定していました。しかし、手動でインターネットに接続されたIT資産を正確に把握することは非常に難しい。弊社の所有する300万のIPアドレスに対して、自社でセキュリティスキャンするには、多くの負担がかかっていました。
ーこれらの課題に対して、ASMを検討した背景は?
2023年5月29日に、経済産業省より導入ガイダンスが発表されたことを受けて、弊社でも本格的に検討を始めました。
ASMとは「組織の外部(インターネット)からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」のこと(定義:経済産業省)です。攻撃者の侵入口となりうる、VPN機器やリモートデスクトップなどインターネットに接続している外部サーバーやネットワーク機器を可視化して、管理する仕組みを指します。
そして、私たちが抱えていた二つの課題を効率的に解消するには、ASMの仕組みの構築と、ASMツールの活用が必要不可欠であると考え、選定を開始しました。
ーどのようにASMツールの選定を進めたのでしょうか?
新しくASMのプロジェクトを立ち上げ、以前からメールセキュリティ関連でお付き合いのあるPipeline社に、弊社に適したASMツールにはどのようなものがあるか相談しました。
複数ツールの中をご紹介いただき、その中からデータの正確性を評価して、あるASMツールの導入を決定。他のツールと比較して、包括的なデータベースを構築しており、脅威情報をリアルタイムで検出できる点を魅力に感じたためです。
ASMツールの導入にあたっては、広範囲をスキャンしてデータを取得できる反面、ノイズや自社にとって重要ではない脆弱性も含まれ、活用の難易度がやや高いことが懸念でしたが、今回導入したツールであればデータの精度が高いため、懸念を払拭できました。
ー実際にASMの運用を開始し、現時点での効果はいかがですか?
ASMツールの利用により、インターネットに接続されているあらゆるIT資産の可視化ができるようになりました。
ドメイン名やIPアドレス、製品名などをキーに、インターネット上で露出しているIT資産を検索・発見し、各機器のOSやソフトウェア、オープンポート、製品バージョンなどのデータを得ることができます。このリストを元に、リスクを評価して分類・分析し、優先順位付けや監査するプロセスに活用しています。
さらに、データから自動で脅威を検知してアラート通知を出すなど、運用工数を削減するための取組みも行っています。今後、より自動化を進めるとともに、自社の脆弱性管理の改善やセキュリティポリシーの見直しなど、情報資産の危険を防ぐ取組みを推進していきたいです。
ーASMツール導入にあたり、Pipelineのサポートはいかがでしたか?
代表の渡辺アラン氏は元エンジニアで、技術的な観点から「この点が良い」「この点が懸念」などとフラットなご意見をいただけるので、サイバーセキュリティ分野の専門家として非常に信頼しています。今回のASMや各ツールに関しても知見があり、とても参考になりました。今回、緊急性が高いため導入を急いでいましたが、決定からツール利用開始までのやりとりもスムーズで、大変ありがたかったです。
また、Pipelineのグローバル性も高く評価しています。渡辺氏はアメリカ生まれですが、日本に20年間住んでいて日本語が堪能です。グローバルのサイバーセキュリティの最新情報を、日本語で届けてくれる点は他社との大きな違いですね。また、大手のメジャーなサービスだけでなく、世界中からユニークな製品・サービスを発掘して提供いただける点も魅力です。
セキュリティ対策に100%はなく、今後も継続的な改善が必要となりますので、引き続き、宜しくお願いいたします。
<Pipelineよりコメント>
Pipeline株会社 代表取締役社長 渡辺アラン
ASMの仕組みは「これまで見えていなかったもの」を可視化できる点が大きなメリットです。今回ご紹介したケースのように大手企業の場合、自社での「膨大な量のIT資産」の把握・評価は困難で、精度の高いASMツール利用が不可欠となります。また弊社は開発・インテグレーションも含め、多様な形でサポートできる点が強みです。お客様の課題・ニーズに合わせてサポートさせていただきますので、ぜひお気軽にご相談ください。