第2回：サイバーエクスポージャー管理が今のセキュリティに必須である理由

　2021年の年末に発覚したJavaのログフレームワーク「Log4j」の脆弱性（通称「Log4Shell」）は、近年に多くの企業が対応を迫られた重大なセキュリティリスクの中でも特に深刻なものでしたが、2022年10月1日時点では、まだ脆弱な状態にある企業が72％を占めていました。

　2022年に警察庁に報告されたランサムウェアによる国内組織の被害件数は230件（前年比で57.5％増加）で、特に2020年下半期以降、右肩上がりで増加し、その被害は規模や業種を問わず広範に及んでいます（PDF）。しかしここで見過ごせない点があります。われわれTenableが2023年に発表した「Tenable 脅威状況レポート（2022年）」では、何年も前から存在する既知の脆弱性が現在でも悪用され続けていることを指摘しました。

　サイバー攻撃を受けた時に攻撃を防げなかったのが、セキュリティ担当者の責任だと問うのは、たやすいことです。しかしセキュリティチームは、多数のポイントツールがそれぞれの機能別に生成する、バラバラなデータに悩まされているのが実情です。その上、データの解釈が困難であること、サードパーティベンダーから提供された情報が誤っていたりすること、タイムリーにパッチが当てられていないことといった問題が山積しています。サイロ化しているセキュリティ対策の構造を取り壊して、DX時代のアタックサーフェスの全体像を捉えるには、リスク削減が予測でき、数値化されて正確に伝達できる「サイバーエクスポージャー管理」が必要です。

サイバーエクスポージャー管理とは？　DX時代のアタックサーフェスの保護

　日本情報システム・ユーザー協会（JUAS）が公開した「企業IT動向調査2021」（PDF）によると、あらゆる規模の企業において、IT予算全体に占める情報セキュリティ関連費用は増加傾向にあります。それが事実なら、なぜ、いまだにサイバー攻撃の被害が報道され続けているのでしょうか。

　日本企業の多くは、侵入を前提としたサイバーセキュリティ対策を重視する傾向があるため、侵入してきた攻撃者を検知するインシデントレスポンスなどの実施を優先してきました。ゆえに、サイバーセキュリティ対応に使われている製品の多くが事後対応型で、予防を重視していないのです。また、サイバーセキュリティ対策を経営課題として優先していない組織も多く、予防を含め包括的に戦略を立てている企業が少ないと言えます。

　例えば、XDR（拡張型脅威検出および対応）システムは、複数のポイントツールのデータを照合して、攻撃を発生と同時に特定します。これは、インシデント対応の面からは、より迅速な行動につながりますが、攻撃自体は防止できません。「発生した直後に攻撃を特定すること」に重点を置いたとしても、企業のセキュリティ態勢は変わらず、現在のアタックサーフェスの全容を明らかにすることもできません。

　セキュリティ担当者は、データのオーバーロードに悩まされています。多くの企業は、最終的にデータをスプレッドシートに落として分析します。例えば、あるセキュリティツールがクラウドの中にある設定ミスしか検出できず、また別のセキュリティツールでは脆弱性データの集約しかできないとします。このような複数のツールが生成したデータを並べても、脆弱性対処の優先順位を正確につけることはできず、リスク軽減の効果を上げることは難しいでしょう。その大きな理由は、そういったセキュリティツールが、大きな問題の限られた一部分にしか対応できないからです。企業のセキュリティ態勢を効果的に評価するには、さらに細かく掘り下げるアプローチが必要です。一連のツールからデータを収集・分析して、企業環境全体を把握する必要があります。

　サイバーエクスポージャー管理は、企業のアタックサーフェス全体を可視化し、予防型のセキュリティツールから得られたデータを照合した上で、リスクを測定して優先順位を付ける方法です。また、長期的にリスクを効果的に削減することにも寄与します。制御系技術（OT）システム、クラウド上のインスタンス、インターネットにさらされているシステムやアプリケーションなど、IT インフラには含まれていない資産も可視化することで、企業はアタックサーフェスの全容を把握することができます。セキュリティチームは、サイバーエクスポージャー管理を行うことで、ユーザー、アクセスや特権のレベル、潜在的な攻撃経路を可視化して、アタックサーフェスの脆弱度を把握することができます。

　サイバーエクスポージャー管理は、現在のサイバーセキュリティの考え方とは異なった、新しいアプローチです。現在ほとんどの企業は、さまざまなセキュリティのニーズに個別に対処しているので、「コンテキスト（関連性）」がありません。例えば、ある企業が多数のデバイスを使用していて、そのデバイスの中でも、特に2台のノートPCに深刻な脆弱性があったとします。サイロ化したセキュリティ対策の観点から、その対策としては、両方のノートPCの脆弱性にパッチを当てることが必要だと推定されるでしょう。ここで欠けているのは、この企業が本当にリスクにさらされているかどうか、また、どちらのノートPCの脆弱性の修正を優先すべきか、という洞察です。

　片方のPCは、管理者権限のあるユーザーのもので多要素認証が使われていない、もう片方のPCは管理者権限のない、フロント業務メインの社員のものというコンテキストがあれば、どちらのPCの脆弱性対策を優先すれば良いかが明らかになります。サイバーエクスポージャー管理を採用し、全て1つのプラットフォームで管理を行えば、どのシステムを誰がどのレベルのアクセス権で使用しているのかといったコンテキストを把握できます。アタックサーフェス全体を可視化し、コンテキストを理解することで、脆弱さが露呈している最も重要な資産が明らかになり、攻撃者が悪用する可能性のある攻撃経路を検出することができます。

　リモートワークなどの労働環境の変化やDXにより拡大を続けるアタックサーフェスに対応し、ますます猛威を振るう犯罪者に対抗するためには、サイバーセキュリティの考え方を抜本的に変えることが必要です。このシフトを実現する方法の1つが、「サイバーエクスポージャー管理」です。このアプローチは、サイバーセキュリティの優先順位付けの作業を明確かつ簡潔で有意義なものにし、企業がリスクを正確に数値化して削減することを支援します。