アタックサーフェスマネジメントツールへの過信は禁物？ できること、できないことを解説：そのSaaS本当に安全ですか？

注目のセキュリティキーワードである「ASM」（Attack Surface Management）。ASMツールを導入すれば全てが解決するというわけではありません。本稿はASMツールでできること、できないことを解説します。

[早崎敏寛，アシュアード]

　SaaSの安全評価をする上で重要なポイントを解説する本連載。前回は、SaaSの個人データの取扱いに関する評価ポイントを取り上げました。

　本稿ではASM（Attack Surface Management）ツールだけでは分からないSaaSや委託先のセキュリティ評価のポイントを解説します。

筆者紹介：早崎敏寛氏（アシュアード　Assured事業部　セキュリティグループ　マネージャー）

Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用などを経験。総合コンサルティングファームのアビームコンサルティングでマネジャーとしてセキュリティコンサルティングを担当した後、クラウドサービス（SaaSなど）の安全性を第三者評価するセキュリティ評価プラットフォーム「Assured」を運営するアシュアードに入社。セキュリティ領域のドメインエキスパートとしてサービス開発や顧客支援を担い、年間数千件のクラウドサービスのセキュリティ評価を実施しているAssuredのセキュリティ評価責任者を務める。主な保有資格はCISA、CISM、PMP。

ASMツールへの過信は禁物？　できること、できないことを解説

　アタックサーフェスとは、サイバー攻撃の対象になるIT資産や攻撃経路を指します。このアタックサーフェスを管理、把握し、インターネットに公開されている脆弱（ぜいじゃく）性を特定して評価する継続的な活動をASMといいます。

　ASMツールを活用することが一般的で、組織名やドメイン名、IPアドレスを基に調査を実施し、主に以下の事項を確認できます。

• インターネットに公開されているサーバやサービス、IoTデバイス
• 漏えいしたメールアドレス、ID、パスワード
• Webアプリケーションの設定や構成
• メールサーバや関連するDNSレコードの設定や構成
• 通信経路に関する設定や構成

　経済産業省からASMの実践向けガイダンス「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」が公開されているので、詳細を知りたい方は確認してみてください。

　SaaSや委託先のセキュリティ評価は、チェックシートを使ってヒアリングするのが一般的です。ただこのやり方は、被評価者がチェックシートを回答するまでに一定の時間がかかるためセキュリティ評価に時間を要します。

　ASMツールは外部から収集した情報を基にスコア化、セキュリティ評価し、レポートを作成する機能があり、セキュリティ評価にかかる時間を短縮します。そのため昨今、自社のセキュリティ評価だけではなく、SaaSや委託先のセキュリティ評価にASMツールを活用するケースが増えています。

　一方、ASMツールは外部から収集した情報を基にセキュリティ評価を実施するため、セキュリティ評価の範囲が限定的です。網羅的なセキュリティ評価を実施するためには、外部に公開されているサービスや機器の脆弱（ぜいじゃく）性の有無だけではなく、内部のセキュリティ対策や運用状況も確認する必要があります。

　自社のセキュリティ評価にASMツールを利用する場合は、外部に公開されているサービスや機器の脆弱性はASMツールで確認し、内部のセキュリティ対策や運用状況は監査などによって確認することで、網羅的なセキュリティ評価が実現できます。

　SaaSや委託先のセキュリティ評価をASMツールで実施する場合は、外部に公開されている脆弱性は確認できますが、SaaSや委託先の内部のセキュリティ対策や運用状況までは確認できず、網羅的なセキュリティ評価は困難です。例えば、次のような項目です。

• 預託データの取扱い状況
• セキュリティに関する組織体制
• 従業員に対するセキュリティ対策
• 内部アカウントの管理やアクセスのモニタリング状況
• データの暗号化
• 物理セキュリティ
• ログの取得や保管期間
• バックアップ方法やリストアテストの状況
• システムの開発・保守におけるセキュリティ管理
• インシデント管理

　ネットワークの境界対策やWebアプリケーションの構築、インフラ運用は外部の事業者が対応しておりセキュリティ対策が万全の場合、ASMツールのスコアやセキュリティ評価の結果は高評価になりますが、自社で運用している内部のセキュリティ対策や運用に不備がある可能性があります。

　また、ASMツールは組織名やドメイン名、IPアドレスで調査を実施するため、セキュリティ評価を実施する委託先の組織や業務がインターネットに公開されていない場合、委託先の代表的な組織やドメイン名が調査対象となり、正確なセキュリティ評価にはなりません。

　SaaSや委託先のセキュリティ評価におけるASMツールとヒアリングについて、主なメリットと注意点をまとめました。

SaaSや委託先のセキュリティ評価におけるASMツールとヒアリングにおける主なメリットと注意点（出典：アシュアード提供資料）

SaaSや委託先のセキュリティ評価におけるASMツールとヒアリングの活用方法

　ASMツールは、短期間でスコアやセキュリティ評価のレポートを確認できるというメリットがある場面に利用するのが最良だと考えられます。

　SaaSや委託先のセキュリティ評価はリスクベースによって実施されることが一般的です。リスクが小さいSaaSや委託先については、ASMツールによるセキュリティ評価を実施し利用可否を判断します。

　リスクが大きいSaaSや委託先については、1次評価としてASMツールによるセキュリティ評価を実施し、基準を満たしていなければ利用不可、基準を満たしていれば、ヒアリングによる2次評価を実施することでセキュリティ評価に関する期間と工数を削減することが可能です。

　次回は、サイバー攻撃が高度化し法規制が厳格化する状況で利用中のクラウドサービスの定期評価が必要な理由を解説します。