脆弱性診断との違いから導入・活用まで徹底解説
1.はじめに:ASMとは何か?
今回は最近セキュリティ業界でのバズワード化しつつあるASM(アタックサーフェスマネジメント)に関連するような話題をいつものように5回に分けて思いつくままに書いてみようと思います。
まず最初にASMの定義を調べてみました。
ASM(Attack Surface Management)は、組織のデジタル資産やIT環境における攻撃対象領域(アタックサーフェス)を特定・監視・管理するプロセスやツールを指します。ここで攻撃対象領域という難しい言葉が使われていますが、平たく言うと、攻撃を行おうとする者が悪用可能な侵入可能なポイントや脆弱性を指し、具体的には公開されているWebサービス、クラウドインフラ、IoTデバイス、ソフトウェアの脆弱性、サードパーティとの接続ポイントなどのことです。
ASMの目的は、経済産業省が2023年5月に発行した「ASM導入ガイダンス」に書かれている通り、攻撃者と同じ視点で組織の外部資産を継続的に評価し、潜在的なリスクを軽減することにあります。実際にはガイドラインには次のように書かれています。「外部(インターネット)から把握できる情報を用いてIT資産の適切な管理を可能とするツールやサービスを活用して、外部(インターネット)に公開されているサーバやネットワーク機器、IoT機器の情報を収集・分析することにより、不正侵入経路となりうるポイントを把握するASM(Attack Surface Management)について、民間事業者における利用の実態を明らかにし、ASMに関連する各種ツールやサービスの特徴や活用方法について整理し、ガイダンスとして取りまとめました。」(※1)
私どもは脆弱性診断やペネトレーションテストなどのサービスを生業としておりますが、ASMの話題になると、「それじゃ脆弱性診断と何が違うの?」とよくお客様から聞かれます。
ぱっと見、何だか違いがあるようなないような、よくわからない感じになってしまう方も多いのではないかと思いますが、簡単に言ってしまうと、弊社の提供しているような診断サービスでは、診断対象がはっきりしていて、診断対象に対して疑似攻撃をかけ、その攻撃に対する耐性を見て診断結果を報告することを主としています。ペネトレーションテストの種類によってはドメインだけ教えていただいて、勝手に対象を見つけて勝手に攻撃を仕掛けてみるというようなサービスもありますが、いずれにしても対象となるシステムに対して(疑似)攻撃を仕掛けてその結果を見てゆくものになっています。別の言葉でアクティブスキャンをかけるという言い方をすることもあります。
一方でASMと言われるサービスやツールは一般的には「外部(インターネット)から把握できる情報を用いて」調査するものであり、直接対象のシステムなどに(疑似)攻撃を加えるものではありません。そのため、パッシブスキャンというような呼ばれ方をすることもあります。サービス提供者によっては実際にスキャンをかけたり(アクティブスキャン)、本格的な攻撃を実施するものもあるようですので、ここでは一般的な考え方だととらえておいてください。サービスやツールの提供を依頼する際には、実際の攻撃などを行うかどうかを事前に確かめておくことをおすすめします。
初めから少し重たい内容になってきた感がありますが、次回はASMの実際について簡単に説明を試みようと思います。
※1 出典:経済産業省ウェブサイト
(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
2.ASMと脆弱性診断・ペネトレーションテストの違い
何となくASMというのは、直接対象のシステムに攻撃を実施したりして調べるものではなさそうだということまでご理解いただけたかと思いますが、実際にはどんなことをしているのかまだもやもやしているのではないかと思いますので、簡単にどんなことをするものなのかについて順を追って説明してみます。
先日も触れた経産省の「ASM導入のガイダンス」によると、ASMのプロセスは、以下の通りであるべきされています。(※2)
1)攻撃面の発見(組織が保有するIPアドレス・ホスト名の発見)
2)攻撃面の情報収集(OS、ソフトウエアのバージョン、空きポートなどの情報の収集)
3)攻撃面のリスク評価(上記で収集した情報をもとにリスク評価を実施―Rating)
4)リスクへの対応(リスクの低減あるいは受容などセキュリティ診断に対する対応と同様)
このプロセスを実施するにあたっては一体どのような作業を行うのか、分かりにくいと思いますので、代表的な作業内容について以下に記します。サービス提供ベンダーやツールによって多少の違いがあると思いますので、詳細はサービス提供ベンダーなどにお問い合わせいただくことをお勧めします。
まず、攻撃面の発見についてですが、お客様が自社で使用していることを把握しているグローバルIPやドメインをリストアップします。いわゆるパッシブスキャンやアクティブスキャンの結果や関連する情報を探すわけですが、よく知られる検索ツールであるShodanなどを使ってOSINT(Open Source Intelligence)という手法で自社のIPやドメインについて調査を行います。
本格的な攻撃を試みるサービスやツールも同じような手法でインターネット上やダークウェブ上の情報を調査し、どこに対してどのような攻撃を仕掛けるかというアイデアを練っていくわけですので、攻撃者が簡単に得られるような情報を自分も得て備えるということになります。
この段階において、セキュリティ担当が把握していなかったサブドメインやIPアドレスなどを発見することもありますので、1)のプロセスを実施することには意義があります。
さらに得られる情報としてOSや使っているソフトウェアのバージョン情報、空きポートの情報などもありますので、これらの情報を実際のシステムと突合せて精査することには大きな意味があります。ただし、Shodanなどのツールは実施されたスキャン結果を検索・表示するという性格上、得られる情報は必ずしも今時点のものではなく、古い情報であることも時としてありますので、この精査のプロセスが大事になります。
一般にはこの種のサービスにおいてはスキャン結果から評価(100点中70点どいったような)が提示されることがありますが、自社としての評価を行うのが3)のプロセスになります。
最終的にはそれらの評価を参考にしながら4)のプロセスである、得られた内容について対策を行うか受容するかといった判断を行います。
次回は、レイ・イージス・ジャパンが提供しているASMのサービスについて簡単に紹介させていただきます。
※2 出典:経済産業省ウェブサイト をもとに弊社作成
(hxxps://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
3.ASMのプロセスと具体的な作業内容
前回の説明で、パッシブスキャンやOSINTというのが今一つ分からないという感想をお持ちの方も多くいらっしゃると思いますので、最初に補足説明しておきます。
ツールとしてShodanの名前を挙げさせていただきましたが、似たようなサービス(ツール)は多数存在していて、攻撃を試みようという人たちはこれらのツールを使って、既に誰かが対象となるシステムをアクティブスキャンやパッシブスキャンをかけた結果をインターネットやダークウェブなどから拾い集めて攻撃の作戦を作っていくわけです。
皆さんもご存知のように、新しくWebサーバなどインターネットに何らかのシステムを公開すると、あっという間にスキャンをかけてくる輩がいます。かなりの部分はロボット化されていて常に新しいものがないか巡回して探しているようなものなのですが、これらのスキャンした結果はどこかに保存されているものが多いのです。Shodanなどはそういった情報を収集して結果を示してくれるので、対象のシステムに実際の攻撃をしないパッシブスキャンの一種といえます。
よって、実際に見つけた情報が、昨日の情報もあるかもしれませんが、数年前の情報を拾ってくるかもしれません。
ベンダーによるサービスにおいてはそれらの新旧収集した情報を精査した上でなるべく新しい情報をもとに報告、評価(Rating)を行うのが一般的ですが、昨日脆弱性診断の対策をしてバージョンを変えたとか余分なポートを閉じたといったことがあった場合にそれらの情報が反映されていないことは想定しておく必要があります。
ということを理解していただいたうえで、レイ・イージスが提供するサービスはどのようになっているかというと、まずは対象となるドメイン(複数ある場合は複数のドメイン情報をいただきます)や、調査対象としたい外部に公開されているIPアドレスを弊社に提示いただきます。
弊社ではそれらの情報をもとに専用ツールによってインターネット、ダークウェブ上で関連する情報を拾い集めます。収集した情報は大量かつ種々のものが含まれていますので、それらを整理するために2~3週間程度いただき、余分な情報は取り除いた上で、いただいた情報に関連するドメインやIPアドレスなどを整理します。時には、お客様自身が撤去をさすれていたようなドメインや、セキュリティ関連チームの関知していないIPアドレスなどが検知されることもあります。
また、対象と思われるシステムに関してOSINTなどで調査を行い、公開されている脆弱性情報やOSやソフトウェアのバージョン情報、余分に空いているポートなどの情報を調べて報告書に記載します。
弊社では、ドメインに関連するメールアドレスや資格情報がダークウェブで流出していないかも合わせて調査しておりますので、発見されると、それらの情報も一部マスクを付した状態で報告書の付録として提供しております。
最終的にはこれらを整理して0~100点での評価をさせていただいています。
なお、弊社のサービスは、ドメインごとに15万円という料金で、ワンショットのサービスとなっております。ご興味のある方は、弊社担当営業までご連絡ください。
報告書のサンプルなども、ご用命いただければ提供させていただいております。(競合ベンダー様には提供できないケースもございますのであらかじめご理解いただけますようお願いいたします)
4.レイ・イージス・ジャパンのASMサービスと活用方法
ASMの使い方ですが、自社(自社グループ)について調査し、攻撃に備えるというのが一番分かりやすいかもしれませんが、以前にご紹介した経産省の「ASM導入のガイダンス」にも書かれているように、サプライチェーンなどの取引先企業のセキュリティ上の安全性の確認としても有効なものです。
攻撃者の立場で見ると、守りの強固な企業を直接狙うよりも、その取引先の中でセキュリティ的に甘い組織を狙ってVPNへの侵害やマルウェア感染などの方法で侵入を果たし、本来狙いたい企業のシステムを侵害するという作戦の方が容易です。
昨今のようにサプライチェーンが広がってくると、全ての取引先に対して各種のセキュリティ対策を強要することも、取引先の規模や体制などもありますので、現実的ではありません。一方では取引先を経由しての被害も現実的となる中、自社の安全性を守るためには、安全性について何らかの調査を行う必要性はますます高まってきています。
そこでASMなどを使って最低限の安全性を確認し、あきらかな不備に対しては修正することを取引の条件とするなどの対策も必要となってきます。
自社の費用でそれらの取引先のASMを実施することができれば取引先の負担もなく済みますので理想的かもしれませんが、取引先の数によっては莫大なものになってしまいます。そこで、取引先に対して安全性確認のためのチェックリストを渡して回答してもらうということも考えられます。チェックリストの中にASMの実施もしくは脆弱性診断や各種セキュリティ対策を必須項目として入れておくというのも良いかもしれません。ASMの実施を要件とするのであれば、例えば評点70以上を取引の条件にするなどいかがでしょうか?
自社でサプライチェーン全体に対して調査してしまおうというようなニーズに合わせたようなサービスもあると思いますが、取引先にある程度ゆだねようということであれば、ドメインあたりを低価格で調査するようなサービスもありますので、要件にあわせて各種サービス提供者に確認してみるとよいかもしれません。
もちろん、ASMを実施しても調べっぱなしでは何もなりませんので、発見された脆弱性などは対処するということを怠ってはいけません。公開されているべきではないシステムは非公開化や停止、脆弱なバージョンのシステムにはパッチをあてたり、空いていてはいけないポートはしっかり閉じるなどの対策を行い、外部からの攻撃の芽を極力摘んでおかなければなりません。
5.ASMに関するまとめと今後の展望
最近よく目にするASMについて、私の視点でまとめさせていただきましたがいかがだったでしょうか?余計な説明を見たおかげで余計わからなくなったということがなければ良いのですが、何しろベンダー毎に少しずつ定義が異なったりすることもありますので色々なベンダーと話をすると余計に分からなくなってしまう側面もあるかもしれません。
ただ、一般に言えることは、ASMはインターネットに公開されているシステムについて、攻撃を試みることができる対象が取得できる、攻撃の作戦を立てる上で使われる情報を得るための手法の一つだということです。攻撃者の立場から見ると、守りの固いシステムよりも緩いシステムを狙うのが楽ですので、ASMによって少なくとも外部から攻めやすいと思われる部分については早急に対処することを、セキュリティに携わる者として皆様にお勧めいたします。
なお、ASMのサービスやツールは、ベンダーによって内容も異なっております。提供形態も、年間サブスクタイプのものから、定期的に実施するもの、ワンショットのサービスを低価格で提供するもの、ペネトレーションテストのレッドチーム的なサービスまでいろいろなものが幅広く紹介されていますので、ご興味のある方は調べてみてください。
弊社のサービスは、以前の説明で簡単に触れておりますが、料金的には安価な部類で、内容的にはダークウェブでの資格情報の探索なども含んでおり、それなりの深さを持ったものと自負しておりますが、気になりましたら読み返してください。
最近私がちょっと気になっているのは、トレンドマイクロ社が最近案内しているASRMといった考え方です。トレンドマイクロ社では一般的な(あるいは弊社のようなというべきかもしれませんが)ASMのサービスを提供しているわけではないようですが、EDRの延長線上にASMがあるような感じに見受けられて面白いと思っています。私の理解が間違えている可能性もありますので、正しい内容についてはトレンドマイクロ社にご確認ください。
今回も私の勝手な見方で好きなことを書かせていただきましたが、また面白いテーマを見つけたら発信してみたいと思います。それまで皆様お元気で!
以上
