最近のセキュリティ業界で「アタックサーフェス」という言葉がよく使われるようになった。まだ新しい専門用語の域だが、将来はウイルス対策やファイアウォールなどのように、セキュリティの基礎知識になるかもしれない。そこでセキュリティ担当者ではない一般のIT管理者やユーザーに分かりやすいよう、この言葉の意味やセキュリティ対策での位置付け、意義などについて脆弱性管理ソリューションを手掛けるTenable Network Security Japanの貴島直也氏に解説してもらった。
「サーフェス」の言葉に注目
アタックサーフェスは、日本語の直訳で「攻撃(表)面」だが、分かりにくい。通常は「攻撃対象領域」と表現されている。その意味について貴島氏は、「明確な定義はないが、サイバー攻撃に狙われるITや情報などの資産あるいは弱い部分」と解説する。特定の行動や機能を指す用語ではなく、サイバーセキュリティの事象の1つを表す言葉だ。
貴島氏の解説にある「弱い部分」から想起するセキュリティ用語に「脆弱性」がある。サイバーセキュリティの「脆弱性」とは、一般的に「プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥」(総務省サイト)と説明される。通常は「リモートから任意のコードを実行される」のように「欠陥」の内容と、「共通脆弱性識別子」(CVE)という世界共通の項目に基づいて脆弱性の存在が特定されている製品名やバージョン、開発者、取り扱い状態などの情報が管理される。また、脆弱性の影響などを具体的に評価する「共通脆弱性評価システム」(CVSS)もある。
以上を踏まえて、アタックサーフェスの言葉で注目したいのが、「サーフェス」(領域)という表現だ。上述の「脆弱性」も「セキュリティ上の欠陥」を表す用語だが、実際には「一意の欠陥」としてその情報が取り扱われているため、特定の1つの「点」をイメージしてしまう。これに対して「サーフェス」(領域)は「面」をイメージさせる。「点」と「面」の違いが起きるのは、アタックサーフェスの意味にある通りサイバー攻撃の標的が「点」ではなく「面」になっているからになる。
貴島氏によると、脆弱性の発生状況も「面」のようになってきている。同社の調べでは、CVEとして採番(「CVE-西暦-連番」で表記される)された脆弱性の数は、2016年の6447件から2021年は2万1957件と、3倍以上に“増えた”。この“増えた”という変化をアタックサーフェスとして捉えるなら「広がった」に言い換えられるだろう。
またサイバー攻撃では、脆弱性だけではなくシステムの構成や設定などの不備も悪用される。昨今では、クラウドの利用が増え、複数のクラウドサービスを利用するマルチクラウド化も進む。基本的にクラウドサービスごとに設定やポリシーが異なるので、人手によって管理していれば、どこかでミスが起きるだろう。Aというクラウドサービスでは利用者の権限管理が適切でも、管理手法が違うBというクラウドサービスでは権限が意図せず不適切に割り当てられた状態になってしまい、管理者がその状態に気付かないまま、サイバー攻撃者に不備を突かれて、正規ユーザーになりすました不正侵入が行われてしまいかねない。
貴島氏は、クラウド以外にIoT(モノのインターネット)やOT(制御系技術)といった新しい領域もITの範囲に入り始めていると指摘する。IoTやOTのシステムから出力されるデータ(情報)を活用するために、情報システム(IT)と連携する利用方法が出現している。
このように、現在のサイバー攻撃で狙われる対象が「点」ではなく「面」となっていることをイメージできる。アタックサーフェスは、その変化の状況を表現した言葉というわけだ。
