狙われる「無防備なデジタルの玄関口」 見えないリスクを可視化する新アプローチとは：EDRを導入する前の土台

「うちはセキュリティ対策をしている」と自負する企業でも、インターネットに公開された資産やシステムの設定不備には無頓着なことがある。自組織からは見えないリスクには、どのように対処すべきか。そのポイントを解説する。

PR／ITmedia

PR

　国家の支援を受けた脅威アクターやランサムウェアグループの活動はとどまることを知らず、セキュリティ機関などから連日攻撃の報告が上がっている。最近は攻撃者による生成AIの悪用も進んでおり、攻撃の質と量の向上も問題視されている。

　厳しい状況が続く中、従来のセキュリティ対策に加えて、外部公開資産や誤って露出したITリソースといった、無防備なまま開け放たれている「デジタルの玄関」をどう守るかが非常に重要だ。

攻撃者の侵入口となる「デジタルの玄関」をどう保護するか？

サイバーリーズンの筒井瞬氏（事業推進本部 サービス事業開発室 室長）

　「最近のサイバー攻撃は、企業が意図せずインターネットに露出させている外部公開資産やクラウド環境における誤設定といった攻撃面（アタックサーフェス）を起点とした侵入が急増しています」。こう話すのは、サイバーリーズンの筒井瞬氏だ。

　企業がインターネットに公開している資産はWebページやドメイン、証明書、VPN、メールサーバ、Webアプリケーションなど多岐にわたる。これらに脆弱（ぜいじゃく）性や推測されやすいパスワードが含まれていると、そこを突かれて初期侵入のきっかけとなってしまう。

　特にVPN、メールサーバ、Webアプリケーションはその特性上、外部に公開せざるを得ない。脆弱性があると大きなリスクにつながるため注意が必要だ。「脆弱性が見つかってから悪用されるまでのスピードも上がっており、早急な対処が求められます」と筒井氏は話す。

　ドメインやメールアドレスが関係者や利用者への攻撃に悪用されるケースもある。自社名や著名なブランドに似せた類似ドメインでフィッシングを仕掛けてユーザーから個人情報をだまし取る例も多数報告されている。この悪用を放っておくと、企業ブランドに関連した信頼の低下につながる恐れがある。

　子会社やグループ会社、パートナー企業といったサプライチェーンもある意味では外部公開資産だと言える。自社内のデジタル資産を十分に管理していても、子会社がうっかり開発環境を外部から利用できる状態にしてしまい、侵入の踏み台として使われた例もある。

　恐ろしいのは、攻撃者はこれらのアタックサーフェスを発見するのに生成AIを使っているという点だ。筒井氏によると、攻撃者は生成AIでハッキングツールを作成し、インターネット上の公開設定のバケット（データ保存領域）やソースコードリポジトリ、テスト環境、脆弱なWebページなどを自動で収集しているという。

　「情報収集のスピードや精度は日々向上しており、ファイアウォールやIDS／IPS（Intrusion Detection System/Intrusion Prevention System）といった従来の境界型防御では守り切れなくなっています。そもそも自社に脆弱なアタックサーフェスがあることに気が付いていない企業もあるため、まずは不可視のアタックサーフェスを把握し、リスクマネジメントすることが急務となっています」

「ASMを始めるのは大変……」という企業こそ知ってほしいASA

　外部公開資産を把握する上で外せないキーワードといえば「Attack Surface Management」（ASM）だ。ASMとはインターネット側からアクセス可能な資産を洗い出し、どのようなOSやアプリケーション、ネットワーク機器が稼働しているか、そこにどのような脆弱性やリスクが存在しているかを把握し、対処を支援する取り組みを指す。経済産業省が2023年5月に「ASM導入ガイダンス」を公表したことから、特にセキュリティ対策に積極的な企業の間で注目が高まってきた。

　ただ国内企業におけるASMの実践はなかなか進んでいないのが実情だ。キーワード自体の認知は拡大しているものの、具体的にどのような取り組みをすればいいのか分からなかったり、脆弱性対策やペネトレーションテストと混同していたりするケースもある。

　筒井氏は「現場はASMについて理解しているが経営層は脆弱性対策との違いが分からず、なかなか予算が下りないという話も聞いたことがあります」と述べる。

　ASMを実践するにはアタックサーフェスを継続的にモニタリングし、環境変化に応じて改善するといった運用体制が欠かせない。しかしそれには多くのコストと労力がかかるため担当者の負担になる他、リソースに対して「割に合わない」と感じるケースもある。

企業内外の情報を突き合わせてより信頼できる脅威情報を提供

　脅威は目前に迫っており、対策を講じる必要があるのも事実だ。そこでCybereasonが推奨しているのが「Attack Surface Assessment」（ASA）だ。ASAは外部公開資産を短期間でスポット的に調査、可視化する取り組みで、リスクの全体像を把握する初期ステップに適している。

　これを実現する新たなサービスとして、Cybereasonは2025年6月から「Cybereason ASA」を提供している。外部公開資産や設定不備などの弱点を短期間で調査し、推奨する対策を含めて専門家がレポーティングするサービスで、手軽かつ低コストに利用できることがポイントだ。

Cybereason ASAのサービスフロー（提供：サイバーリーズン）《クリックで拡大》

　手軽とはいえ、その調査結果は信頼がおける内容となっている。Cybereason ASAは、外部アクセスによる調査に加えてCybereasonのEDR（Endpoint Detection and Response）製品「Cybereason EDR」を通して収取した企業内部の情報を突き合わせて、企業の内外から脆弱性などのリスクや攻撃、侵入の可能性をより深く把握できる。

　「企業外部からアタックサーフェスを横断的に調査するだけでなく、Cybereason EDRを通して収集した企業内部の情報を突き合わせて、網羅的にアタックサーフェスに存在するリスクを検出します。EDRやXDR（eXtended Detection and Response）のように侵入を前提に検知や防御を通して被害を最小化する取り組みも重要ですが、Cybereason ASAはリスクの把握や評価、軽減を通して攻撃の可能性そのものを軽減し、事前に防ぐアプローチで補完し合う関係にあります」

外部からの調査に加えてCybereason EDRを通して収取した企業内部の情報を突き合わせて、より精度の高い脅威情報を提供する。なお、Cybereason EDRを導入していなくてもCybereason ASAは利用できる（提供：サイバーリーズン）《クリックで拡大》

　Cybereason ASAでは、管理画面の露出や脆弱性、設定ミスといった外部公開資産の“穴”を把握してリスクを最小化できる。公開情報を調査して自社をかたるドメインやメールアドレスなどを発見し、攻撃の兆候を早期につかむことも可能だ。

　Cybereason ASAの強みは、単なるツールによる調査で終わることなく、経験豊富な専門家の分析を経てリスクの優先順位や適切な対処方法を見極められる点だ。

　「フォレンジックやインシデントレスポンスの最前線で攻撃者と戦っているグローバルな人材が分析結果を精査し、『洗い出された問題のうちリスクが高いものは何か』『対策における優先順位が高いものは何か』などをレポート化して報告会で推奨対策とともに示すため、具体的なアクションにつなげられます」

Cybereason ASAのレポートイメージ（提供：サイバーリーズン）《クリックで拡大》

　リスクを把握し、対処の優先順位まで分かればセキュリティ投資を無駄にせず、効果的に対策できるだろう。中堅・中小企業の中には自力で対策するのが難しいところもあるはずだが、Cybereasonのコンサルティングサービスなども利用することで一緒に対策を進めることが可能だ。

　筒井氏は「最近はスキャンツールも高度化していますが、得られた結果を読み解き、プライオリティーを付けて具体的なアクションにつながる情報を届けられるのが、人が介在するCybereason ASAの価値です」と語る。

攻撃者に先手を打つには、まず「見える化」から

　海外に複数の拠点を展開するある国内製造業は、Cybereason ASAを利用してセキュリティやガバナンスを強化している。グローバルに事業を展開する同社にとっては、日本語だけでなく英語でもレポートを受けられる点も評価のポイントになったという。

　同事例では、調査の結果、古いバージョンのWebアプリケーションが稼働していたり、なりすましドメインで攻撃の準備が進んでいたりと、見えていなかったアタックサーフェスを把握できた。レポートに基づいて優先順位を付けながら対応できた他、資産を棚卸ししてアタックサーフェスを閉じる動きが拠点や現場で促進した上に、「守る前にリスクを見つけ、マネジメントしよう」という意識が浸透し、企業文化の変革が進んでいるという。

　EDRのように侵害を想定したセキュリティ製品を導入することは万が一に備えるという意味で重要だ。それと同時に本当の意味で企業全体のセキュリティ対策を強化したいのであれば、まずは攻撃者の初期侵入口である「デジタルの玄関」を把握し、穴があれば未然にふさいでおくことがより理にかなったアプローチではないだろうか。それができて初めて侵害後の対策を導入する意義がある。

　筒井氏は最後に「外部公開資産や誤設定、露出情報のアセスメントは自社のセキュリティ対策の進捗（しんちょく）状況や立ち位置を知る非常にいい機会です。ASMを始められるほどのリソースがなく足踏みしている企業があれば、まずは気軽に始められるCybereason ASAを試してほしいと思います」と締めくくった。