サイバーセキュリティ業界が提唱するキーワードの1つとして、2022年頃から頻出するようになったのが、「アタックサーフェス」(攻撃対象領域)だ。その現状について調査したトレンドマイクロは、アタックサーフェスを把握するだけでなく、そのリスクを管理していくことがセキュリティレベルの底上げとビジネスの安全の担保につながると提起している。
アタックサーフェスに関する法人組織のセキュリティ意識(出典:トレンドマイクロ)
アタックサーフェスは、サイバー攻撃者から見て、サイバー攻撃を仕掛けるITシステムやデータなどの「デジタル資産」を指す。「サーフェス=表面」という日本語訳から、サイバー攻撃に狙われるのがデジタル資産の一部あるいは表面的な範囲と想起しがちだが、トレンドマイクロのシニアスレットスペシャリストの平子正人氏は、「VPN装置や公開系サーバーなどインターネット寄りの範囲だけではなく、そこから侵入された先にある内部のデジタル資産も含まれる」と解説する。
トレンドマイクロ シニアスレットスペシャリストの平子正人氏
アタックサーフェスが注目される主な要因は、コロナ禍への対応やDXの推進を背景としたITやデータの利用の変化。リモートワークのためにPCを社外で利用したり、新規事業のためのITシステムを社外のクラウドサービスで構築したりするシーンが広がり、そうした社外でビジネスのデータを扱うシーンも拡大している。
サイバー攻撃者が悪事に及ぶのは、企業や組織の重要なデータが「金」になるからとされる。金を得るために、金になるデータとそれを扱うITシステムなどを狙って、ランサムウェアなどの手法で攻撃を仕掛ける。「データやITシステムを使えないようにする」と脅して、それに恐れる企業や組織に「身代金」を支払わせたり、窃取したデータを別の攻撃者や犯罪者に転売したりすることで金を得ようとする。
企業や組織にとって重要なデータとITシステムの多くは、以前なら社内や管理下のデータセンターなどに置かれていた。セキュリティ対策は、この内部の防御を重点として、攻撃者や犯罪者が存在する外部のインターネット環境と内部の境界に対策の強弱の起点を置く「境界防御モデル」が採用されてきた。たが、上述の背景から社外にも重要なデータとITシステムが広がっている。つまり「アタックサーフェス」は、内部にあるデジタル資産と、新たに外部へ広がるデジタル資産を含む全てがサイバー攻撃の脅威に晒されている状態を表すキーワードであるとも言えるだろう。
平子氏は、デジタル庁の「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」(PDF)などの各種のサイバーセキュリティ指針においても、ITシステムではアタックサーフェスをできる限り減らすことが求められていると指摘する。「サイバー攻撃などの脅威そのものはコントロールできないが、攻撃を受ける恐れのあるアタックサーフェスは防御側がコントロールしていける。攻撃を受けやすいところ減らしていくためにリスクを把握し、管理していくことが必要になる」
アタックサーフェスを減らすことは、すなわち潜在的なサイバー攻撃による被害のリスクを減らすことにつながり、ひいてはセキュリティレベルの底上げを意味する。昨今のサイバーセキュリティでは、脅威がもたらすリスクを減らして安全性を確保する「サイバーハイジーン」(サイバーの衛生)と、脅威のリスクが顕在化しても被害の影響を最小限にとどめる迅速なインシデント対応などの両方が求められる。
アタックサーフェスの削減は前者に該当するが、平子氏は、アタックサーフェスのリスク管理を通じたサイバーハイジーンの確保が後者の負担軽減にもつながるとし、セキュリティ対策全体の効果を高める意味でも、やはりアタックサーフェスのリスク管理が不可欠だと話す。
