自社にとって本当に役立つ「ASMツール」の要件は？ マクニカセキュリティ研究センターが本質に切り込む：“攻撃者優位”に対抗せよ

「ASM」というキーワードは経産省のガイダンスによって一躍有名になった。だがASMを実施する際の心構えやツールの選定ポイントについては理解が広がっていない。長年ASMに関する調査や研究を行っているマクニカセキュリティ研究センターが、上野 宣氏と共にこれらのポイントを語った。

PR／ITmedia

PR

　ランサムウェアをはじめとするサイバー攻撃が後を絶たない。原因は、脆弱（ぜいじゃく）性が放置されていた機器や外部から容易にアクセスできる“穴”が開いたままのシステムであることが多い。こうした状況を改善する取り組みの一つとして注目を集めるのが「Attack Surface Management」（以下、ASM）だ。

　日本ネットワークセキュリティ協会（JNSA）と日本セキュリティオペレーション事業者協議会（ISOG-J）が発行している、ASMに関する用語や活用方法を説明するドキュメント「ASM導入検討を進めるためのガイダンス（基礎編）」のレビューに協力したマクニカの山崎剛弥氏^※、瀬治山 豊氏が、日本のセキュリティレベルの向上に長年貢献してきたトライコーダの上野 宣氏と共に、ASMの役割や要件について語った。

※「崎」は、正しくはつくりが「立」に「可」の“たつさき”

（左から）トライコーダの上野 宣氏（代表取締役）、マクニカの山崎剛弥氏（セキュリティ研究センター　主席）、マクニカの瀬治山 豊氏（セキュリティ研究センター　センター長補佐）

攻撃側が有利な状況を解消するには？

──昨今の脅威の状況について、ペネトレーションテストを多数の企業に実施してきた立場からどのように見ていますか。

上野 宣氏（以下、上野氏）：　ペネトレーションテストを実施してきて思うのは攻撃者の優位性です。攻撃側は、ランサムウェア攻撃で脆弱なアタックサーフェスを1カ所でも突ければ初期侵入に成功します。一方、防御側は全ての穴をふさがなければなりません。世界中に拠点や子会社がある企業は人材が足らず、端末管理が追い付いていない状況です。

　最近は侵入に直結する脆弱性よりも、企業が管理できていない忘れ去られたIPアドレスがあり、昔の脆弱性が残ったままになっているケースをよく見ます。これがまさに穴になっています。

瀬治山 豊氏（以下、瀬治山氏）：　マクニカの調査では、過去に調査した60％の日本企業で非常にリスクの高い脆弱性が放置されていることを確認しています。また、10〜20％では外部からRDP経由で侵入可能な口が見つかりました。「Windows リモート管理」（WinRM）や「Server Message Block」（SMB）が開いているケースも多くあります。

マクニカの調査では、対象の日本企業で多くのリスクを検出しているという（出典：マクニカ提供資料）

山崎剛弥氏（以下、山崎氏）：　国内にも多くの脆弱性がありますが、目立つのは海外拠点ですね。日本側からきちんと対応するように求めても受け流されたり、対応できていないのに「やった」と返事がきたりするケースもあります。逆に、法規制が厳しく対策が進んでいる欧米の拠点に日本側が強く言えないといった事情もあるようです。拠点の規模によっては、そもそもITに詳しい人がいないこともあります。

上野氏：　海外拠点のセキュリティ管理は現地ベンダー任せのため、日本からCSIRT（Computer Security Incident Response Team）の担当者が出張して指導しても運用が続かないと聞いたこともあります。ただ、侵入する側はそんな事情は関係なく、入りやすいところであればどこから入ってもいいですよね。

瀬治山氏：　「一つでも穴を見つけられればいい」という攻撃側と防御側の非対称性はつらい問題です。

上野氏：　サーバだけでなくドメインの管理も問題です。ドメイン登録時の申請ルールは整備されていても、いつまで利用し、どう廃止するかをしっかりと定めている企業は少ないと思います。

山崎氏：　海外はもちろん、国内でも事業部が複数のドメインを登録してしまい、一元管理できていないケースもあります。IT部門やセキュリティ部門はアセットの実態が分からないのでASMツールに頼ることになります。

上野氏：　そういう意味では、むしろ攻撃側の方が企業の資産を把握しているかもしれません。私も調査でよく使う「SecurityTrails」というツールを利用すれば、侵入の初期段階の情報を無償で簡単に入手できます。

瀬治山氏：　どこに、どういったサーバや機器があるかを攻撃者はリスト化しており、新しい脆弱性が登場すると、15分後にはその脆弱性の有無をチェックするという動きも観測されています。攻撃がスピーディーに仕掛けられる中、セキュリティ担当者はやらなければならないことが多過ぎて新しい対策にリソースを割けないという実態があります。

注目キーワードのASMで得られる意外な効能

──こうした課題に対して、ASMはどのようなアプローチで解決を支援していますか。

山崎氏：　ASMはインターネットに面した資産に限らず、社内資産も含めて「攻撃を受ける面を管理する」というプロセスを指す言葉です。経済産業省のガイダンスは「インターネットからアクセス可能なIT資産を発見し、そこに存在する脆弱性などのリスクを継続的に検出、評価する一連のプロセス」と定義しています。

　日本でASMが盛り上がっている大きな理由は、ランサムウェア被害の増加でしょう。セキュリティ担当者は「何かしなければいけないけれど、何をすればいいのか分からない」という漠然とした不安に襲われています。

　大事なのは、関連会社や子会社、海外拠点も含めて資産をきちんと棚卸しして信頼できる情報を収集し、運用できる体制を整えることです。そのきっかけとしてASMツールを利用して外部から見える資産を洗い出すことで、現場間のコミュニケーションや管理体制の改善につなげられます。

ASMとはサイバーセキュリティ脅威の攻撃となりうる資産（Attack Surface）を、把握・管理（Management）する取り組みだ（出典：マクニカ提供資料）

上野氏：　ASMにはOSINT（Open Source Intelligence）や脆弱性のスキャン、それらの管理など多様な概念が含まれます。そのため多くのベンダーが「ASMツールを提供しています」と言い始め、バズワード化しています。

　ASMツールが乱立することで、顧客が本当にやりたいことと実際のツールの機能にミスマッチが生じる可能性があります。JNSAとISOG-Jは「ASM導入検討を進めるためのガイダンス（基礎編）」を作成しました。これは要件定義の方法などを紹介し、自社の課題を分かった上で、“自分たちがやりたいこと”に合致したソリューションを選べるように支援するものです。

山崎氏：　そもそもASMとはソリューションやカテゴリーではなく、継続的に資産を管理・運用するプロセスや営みそのものを指します。ですから、自分たちが何をやろうとしているのか、そのためにどういった機能を求めるかは、検討の段階で考える必要があるでしょう。

上野氏：　そうですね。ASMは入れて終わりではありません。むしろ入れることで仕事が増えることもあります。

瀬治山氏：　マクニカはASMツールを提案する際に「あなたの会社の状況はこうなっています」と、その時点で洗い出した結果を包み隠さずお見せしています。中には、管理されていない資産や放置された脆弱性が見つかることで「これは上司に説明しにくいな」と苦笑されることもあります。しかし現状ほとんどの企業が似た状況であり、恥ずかしいことではありません。多くの企業がASMに取り組み始めた今こそ、自分たちの実態を把握し、一歩を踏み出すチャンスだと考えてほしいです。

山崎氏：　ASMによって健全な管理体制を築けて、海外拠点との関係性の改善にも役立つと思います。「不用意に外部公開されているサーバを排除する」という明確な目的をきっかけにして各地とコミュニケーションを取り、「何かあったときはこの人に頼もう」という関係性ができます。いざというときに情報が素早く行き渡って適切な対処ができるといった、あるべきガバナンスの姿が機能し始めたという話も聞いています。

瀬治山氏：　上層部に「検出されたこれだけのリスクに対処するには、これぐらいの人数とリソースが必要です」と説明し、セキュリティ担当者や予算を確保する材料の一つとしてASMツールの結果を使う企業もあるようです。

上野氏：　一方でASMが要らない企業もありますね。ASMでやることは単純で、資産管理を行い、脆弱性の管理や対応ができていればよいのです。既にそれができているのであれば、新しいツールを入れる必要はありません。

　ただ、実際はできていないケースが大半を占めます。資産を把握できず、脆弱性診断やリスクの評価、パッチ対応もできていないといった企業がASMを導入すれば、管理工数が減ったり、管理の追い付いていないところをサポートしてくれたりするかもしれません。

「ASMツールは入れてからが本番」　選定のポイントは

──ASMツールで重要なポイントは何ですか。

上野氏：　一つはユーザーインタフェースや使い勝手の良さです。ASMは継続的な取り組みのため、資産管理のしやすさや脆弱性を一目で確認できる視認性など「かゆいところに手が届く」機能があり、いかに運用しやすい状態をつくるかが重要です。

　もう一つは発見された資産のリスク評価です。ASMは、ある脆弱性のリスクを「高」として取り扱うのか、「自社の環境はこの条件だから『中』だ」と判断するのかといったトリアージが必要です。ツールの結果をうのみにすると、高リスクの脆弱性がたくさん出てきて対応できないといった状況になります。リスクをどう評価して扱うかは、運用負担を下げるという意味でもポイントです。

瀬治山氏：　当社のASMツール「Macnica Attack Surface Management」（以下、Macnica ASM）は発見された脆弱性の性質を深く見てリスクを判定しています。リモートからのコード実行なのか、権限昇格か、DoSにつながるかなどに加え、既に攻撃コードが公開されているのかや脆弱性が出た製品の過去の狙われ具合など、多くの要素を考慮しています。ユーザーがリスク対処に溺れてしまわないよう、ツール側で本当に対処が必要なリスクのみにトリアージをすることで運用負荷を下げる支援まで行います。

山崎氏：　Macnica ASMは調査を行い、継続監視の仕組みを整え、脆弱性を見つけるとアラートを通知するといった一連の流れをワンパッケージで提供しています。大事にしているのは一連の流れの調査の要所にアナリストが関わることです。

　事前の洗い出しは、Whois情報をベースに同じ登録者が登録している別のドメインを探しに行く「Reverse Whois」というテクニックを使います。自動化した調査は、登録者名のユニークさやWhois情報の表記揺れが原因で多くのノイズを拾ってしまうか漏れが生じるため、アナリストが精査をします。

瀬治山氏：　なぜそこまでしてアナリストが調査に関わるかというと、ただでさえ忙しい企業のセキュリティ担当者の負担を減らすためです。ASMを始めるとやるべきことが相当増えてしまうため、気乗りしないのも無理はありません。当社がプロフェッショナルとして脆弱性情報の収集や攻撃者の動向を追跡し、それらに基づいてトリアージを肩代わりすることで本当にやるべきことを導き出し、“アラート疲れ”を起こさない継続的な監視の方法を提供しています。

山崎氏：　マクニカはASMという言葉が定義される前から同種のサービスを提供していました。もともとはセキュリティ研究センター長の政本がOSINTテクニックに興味を持ち、自分たちの会社を調べ始めたところからスタートしました。2013年からは手土産的に調査結果を顧客にお知らせし、対応すべきものがあればお勧めする活動も始めました。

　2020年ごろにVPN装置の脆弱性やRDPから侵入するランサムウェアが流行したことから、これはサービスとして提供すべきだと判断し、2021年6月にMacnica ASMをリリースしました。

　当初から日本の組織における外部公開サーバ起因のインシデントをなくすために活動するという目標を立て、開発や提案をしてきました。すぐ対応すべきところがあれば包み隠さずお知らせしたり、われわれがリーチできない企業にはJPCERT/CCや警察と連携して危険なVPN装置に関する情報を提供したりしています。

上野氏：　私は昔から、良い製品を素早く日本市場に持ってくるマクニカの“目利き力”を高く評価しています。今後も、Macnica ASMにその知見が存分に生かされると期待しています。

──ありがとうございました。

「網羅的なIT資産の把握」と「対処優先順位付け」で運用負担を低減するMacnica ASM

　Macnica ASMは「日本企業の外部サーバ経由のインシデントをゼロにする」というコンセプトで開発されたASMツールだ。「IT資産の把握」と「把握した資産に潜む脆弱性への対処の優先順位付け」を、セキュリティ担当者がなるべく簡単かつ継続的に運用できるように設計されている。

　Macnica ASMには2つの特徴がある。一つは「資産発見の網羅性」だ。マクニカのセキュリティ研究センターが長年蓄えてきたナレッジや新たな調査手法を取り入れており、高い精度で未把握の資産を検出する。もう一つは「対処すべきリスクの絞り込み」だ。検出した脆弱性の中で本当に対処すべきリスクを脆弱性データベースや攻撃者の動向といった複数の観点から人手で精査することで、担当者の負担低減につなげる。ASMツールが乱立する中、真心を込めた調査で独自のポジションを確立した製品だ。ASMを検討する企業は詳細を確認してほしい。

Macnica ASMの概要（出典：マクニカ提供資料）