攻撃対象領域管理 (ASM、Attack Surface Management)とは、ハッカーが浸透できる企業と機関のIT資産上の「攻撃対象領域」を予め把握し、潜在の攻撃を予防・管理する行為で、大事な資産がハッカーの標的にならないためには必須的だと言えます。しかし、そのような 攻撃対象領域管理 の重要性にも関わらず、攻撃対象領域管理が自分の企業、機関に実質的にどう活用され、どんな問題を解決できて、それによってどういう利点があるかをしっかり把握できない場合があります。今度のユーザーガイドでは、実際企業のCriminal IP ASMの 攻撃対象領域管理を活用した脆弱性検知 の活用事例を再構成して紹介します。また、 攻撃対象領域管理が具体的に企業、機関のどんな問題をどのように解決できるかについて語ることで、 攻撃対象領域管理 の導入を悩んでいる人々により臨場感のある観点を提示しようと思います。

大企業「A」社の 攻撃対象領域管理

大企業「A」社は国内外の法人を含め、常駐職員が2,000人を超える大手企業です。A社のセキュリティチームは、外部に公開されたポートやアプリケーションだけでなく、国内外のインターネット上で会社が所有・運営している数多くのIPアドレス、ドメイン、証明書などが攻撃可能なセキュリティ脆弱性から安全に管理されているかを常時点検し、有事の際は対応まで実施する任務を任されていました。しかし、ビジネスの規模が日に日に増え続けていくにつれ、A社のセキュリティチームが管理すべきIT資産(IP、ドメイン)の数も幾何級数的に増えるようになりました。IT資産のモニタリングと問題の対応などの多くの部分を自社の人手より手動で実施してきたA社のセキュリティチームは、もうこれ以上の追加リソースの投入は難しいと判断し、 Criminal IP ASM チームへ相談を依頼しました。

Criminal IP ASM ダッシュボードのホーム画面
Criminal IP ASM ダッシュボードのホーム画面

Criminal IP ASM は、別途の設置や設定の手間がなく、直ぐにウェブページにログインし、全てのASM機能を利用できるようになっていました。会社の代表ドメインを入力し、2~3日以内に世界中で繋がっている全てのIT資産が自動で検知され、ダッシュボードの形で簡単にまとめられました。A社のセキュリティチームは、今までのように数人で夜遅くまでモニタリング・管理しなくても、たった一つのページの中でIT資産の分布の現況や位置情報、オープンポート、最近のリスク等の詳細がまとめられ、非常に満足しました。まとめられた情報に基づいて保有する資産が安全か否かの程度がHigh、Medium、Lowの3段階で表示されるので、短時間の間に直観的な報告を行えるようになりました。

危険レベル「Critical」、7つのOpenSSH脆弱性を持っているオランダのIPを検知

数日後、会社に出勤してダッシュボードを確認していたセキュリティチーム長はふと何か変だと感じました。A社はオランダにサーバーを置いたり、他の会社と協業を行ったりした履歴はないはずなのに、保有するIT資産の国の情報に「オランダ」が表示されていたのです。一覧に表示されている複数のIPアドレスの中で「Critical」にスコアリングされている特定のIPをサイバー脅威インテリジェンス検索エンジンCriminal IPで分析した結果、そのIPは他の資産を攻撃する悪用確率が60%で、既に1件の悪用履歴を保有していました。泣き面に蜂で、オープンされている22番ポートで7件のOpenSSH脆弱性まで発見されました。

A社のIP資産リストの中でCriticalスコアに表示されているオランダのIPアドレス
A社のIP資産リストの中でCriticalスコアに表示されているオランダのIPアドレス
A社のIP資産リストの中でCriticalスコアに表示されているオランダのIPアドレス
A社のIP資産リストの中でCriticalスコアに表示されているオランダのIPアドレス

これはA社の社名で運営されるIPアドレスが攻撃などの悪意的な行為に利用され、ブランドが侵害されるか、管理されていないサーバーの脆弱性などによって他のメインサーバーがハッキングされる恐れがある状況でした。それを深刻な脅威だと判断したOOOチーム長は直ぐにプロセスによって報告をし、 Criminal IP ASM の脆弱性レポートを通じて速やかに対応措置を完了できました。既存のやり方でIT資産を管理していたら、このように迅速に問題を発見し、直ぐに対応することはできなかったはずです。

膨大なIT資産の脆弱性を直観的に可視化

Criminal IP ASM のIT資産自動識別の過程
Criminal IP ASM のIT資産自動識別の過程

今度のユーザーガイドでは 攻撃対象領域管理を活用した脆弱性検知 の活用事例について調べました。Criminal IP ASM は、1つの代表ドメインさえ入力すると世界中のネットワークに分布されている全ての資産を自動で識別し、 攻撃対象領域管理を実施するSaaS型の 攻撃対象領域管理 自動化ソリューションです。AI基盤のサイバー脅威インテリジェンス(CTI、Cyber Threat Intelligence)OSINT検索エンジンCriminal IPの検索、インテリジェンス、APIと連携され、検知および分析されたデータが項目別のダッシュボードで分かりやすく可視化されます。セキュリティ脆弱性のように自社のIT資産に存在する潜在脅威を簡便かつ直観的に事前認知・予防し、人手不足などの問題でセキュリティの管理に困っている企業・機関のセキュリティ担当者の悩みを解決できます。

Criminal IP ASM のより詳しい詳細と活用事例を知りたい場合は、無料トライアルを申し込み、直接攻撃対象領域をモニタリングすることもできます。その他、攻撃対象領域の概念や機能、重要性については「 攻撃対象領域管理 :未知の資産及び脆弱性の検知」の投稿をご参照ください。

データの提供:Criminal IP (https://www.criminalip.io/ja)

ご参照

攻撃対象領域管理 : 未知の資産及び脆弱性の検知