セキュリティを底上げするアタックサーフェスのリスク管理

國谷武史 (編集部)

2023-05-10 06:00

 サイバーセキュリティ業界が提唱するキーワードの1つとして、2022年頃から頻出するようになったのが、「アタックサーフェス」(攻撃対象領域)だ。その現状について調査したトレンドマイクロは、アタックサーフェスを把握するだけでなく、そのリスクを管理していくことがセキュリティレベルの底上げとビジネスの安全の担保につながると提起している。

アタックサーフェスに関する法人組織のセキュリティ意識(出典:トレンドマイクロ)
アタックサーフェスに関する法人組織のセキュリティ意識(出典:トレンドマイクロ)

 アタックサーフェスは、サイバー攻撃者から見て、サイバー攻撃を仕掛けるITシステムやデータなどの「デジタル資産」を指す。「サーフェス=表面」という日本語訳から、サイバー攻撃に狙われるのがデジタル資産の一部あるいは表面的な範囲と想起しがちだが、トレンドマイクロのシニアスレットスペシャリストの平子正人氏は、「VPN装置や公開系サーバーなどインターネット寄りの範囲だけではなく、そこから侵入された先にある内部のデジタル資産も含まれる」と解説する。

トレンドマイクロ シニアスレットスペシャリストの平子正人氏
トレンドマイクロ シニアスレットスペシャリストの平子正人氏

 アタックサーフェスが注目される主な要因は、コロナ禍への対応やDXの推進を背景としたITやデータの利用の変化。リモートワークのためにPCを社外で利用したり、新規事業のためのITシステムを社外のクラウドサービスで構築したりするシーンが広がり、そうした社外でビジネスのデータを扱うシーンも拡大している。

 サイバー攻撃者が悪事に及ぶのは、企業や組織の重要なデータが「金」になるからとされる。金を得るために、金になるデータとそれを扱うITシステムなどを狙って、ランサムウェアなどの手法で攻撃を仕掛ける。「データやITシステムを使えないようにする」と脅して、それに恐れる企業や組織に「身代金」を支払わせたり、窃取したデータを別の攻撃者や犯罪者に転売したりすることで金を得ようとする。

 企業や組織にとって重要なデータとITシステムの多くは、以前なら社内や管理下のデータセンターなどに置かれていた。セキュリティ対策は、この内部の防御を重点として、攻撃者や犯罪者が存在する外部のインターネット環境と内部の境界に対策の強弱の起点を置く「境界防御モデル」が採用されてきた。たが、上述の背景から社外にも重要なデータとITシステムが広がっている。つまり「アタックサーフェス」は、内部にあるデジタル資産と、新たに外部へ広がるデジタル資産を含む全てがサイバー攻撃の脅威に晒されている状態を表すキーワードであるとも言えるだろう。

 平子氏は、デジタル庁の「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」(PDF)などの各種のサイバーセキュリティ指針においても、ITシステムではアタックサーフェスをできる限り減らすことが求められていると指摘する。「サイバー攻撃などの脅威そのものはコントロールできないが、攻撃を受ける恐れのあるアタックサーフェスは防御側がコントロールしていける。攻撃を受けやすいところ減らしていくためにリスクを把握し、管理していくことが必要になる」

 アタックサーフェスを減らすことは、すなわち潜在的なサイバー攻撃による被害のリスクを減らすことにつながり、ひいてはセキュリティレベルの底上げを意味する。昨今のサイバーセキュリティでは、脅威がもたらすリスクを減らして安全性を確保する「サイバーハイジーン」(サイバーの衛生)と、脅威のリスクが顕在化しても被害の影響を最小限にとどめる迅速なインシデント対応などの両方が求められる。

 アタックサーフェスの削減は前者に該当するが、平子氏は、アタックサーフェスのリスク管理を通じたサイバーハイジーンの確保が後者の負担軽減にもつながるとし、セキュリティ対策全体の効果を高める意味でも、やはりアタックサーフェスのリスク管理が不可欠だと話す。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]