情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
タグから探す
働き方改革
人材不足
ITインフラ
労働環境
課題解決
クライアント管理
顧客対応
人材管理
セキュリティ
アウトソーシング
クライアント管理
中小企業

知らない間にサイバー攻撃の侵入経路が増えている! 新たな脅威への備えとなる「ASM」とは?

情報システム部門
セキュリティ

DX化やリモートワーク、IoTなどの活用が進むにつれ、企業はIT資産にインターネット経由でアクセスするケースが増加します。これを悪用し、企業の外部公開IT資産を狙うサイバー攻撃に注意が呼びかけられています。今回は、最新のサイバー上の脅威の動向と、新たな脅威への備えとなる「ASM」について紹介します。

この記事の内容
変化するサイバー攻撃手法…攻撃者の視点から企業の"急所”を考える
「攻撃面」を守る対策、ASMとは何か?
まとめ

変化するサイバー攻撃手法…攻撃者の視点から企業の"急所”を考える

近年、多くの企業がDXやクラウド化などを推進し、ビジネス貢献や業務効率化などに役立てています。ネットワークに接続できれば場所を問わずに業務を行えたり、様々な情報を共有できたり、サービスを提供できたりする環境が徐々に広がり、多くの人がその利便性を享受できるようになりました。

このようにIT活用の幅が広がる反面、サイバー攻撃はますます深刻化し、企業の経済活動や人々の社会生活に大きな影響を及ぼすようになりました。「どこからでもアクセスできる」「インターネットに接続すれば利用できる」サービスやアプリケーションは、サイバー攻撃者にとって絶好の的になりつつあるのです。

これまでは、個人や小規模な攻撃グループによって、自らマルウェアを開発し、感染させるための手段を考え、攻撃の実行を行っていました。しかし、昨今ではRaaS(Ransomware as a Service)と呼ばれる、分業制の攻撃が主流となっています。

最初に不正侵入を行う「IAB(Initial Access Broker)」、「Operator(ランサムウェアの開発者、RaaS提供者)」、そして実際にランサムウェアによる攻撃を行う「Affiliate」という具合に分業化され、Affiliateは、IABからは不正アクセスのための情報を、ランサムウェア開発者からはRaaSによってランサムウェアの提供を受けます。このように、複数の関与者が役割を分担して “分業”でサイバー攻撃を成り立たせています(下図はランサムウェア攻撃の例)。

ランサムウェア攻撃の例 ※右図は警察庁サイバー警察局 「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」 を参考に作成

このようなサイバー攻撃の初期段階には「偵察」が行われるとされています。偵察はインターネットからアクセス可能な外部公開されたIT資産を対象に情報集収が行われます。こうして入手した企業のネットワークに侵入するための認証情報などを攻撃者に売買しています。

ランサムウェア攻撃の例
外部公開IT資産の例としては下記の様なものが挙げられます。
  • 情シスの管理範囲:サーバやVPN機器、各種クラウドサービス、公開サーバ、IoTデバイス …など
  • 情シスの管理範囲外:従業員が独自に利用するクラウドサービス、各部署で独自に公開しているサーバ、無許可で構築されたゲートウェイやVPN機器、漏洩した認証情報 …など

こうした中から、アクセス可能なIT資産を発見するところから攻撃が始まります。つまり、企業や団体にとって、まずは攻撃の端緒となるこれらのIT資産を把握し管理する必要性があるというわけです。

「攻撃面」を守る対策、ASMとは何か?

攻撃者視点で考えた時に、外部からアクセス可能なIT資産を特定し、セキュリティ対策を強化することが重要ということがわかりました。いま、こうした手法は、ASM(Attack Surface Management)と呼ばれて注目を集めています。

経済産業省では、このASMを次のように定義しています。
ASM(Attack Surface Management)は、組織の外部(インターネット)からアクセス可能な IT資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス。
「ASM (Attack Surface Management)導⼊ガイダンス」 経済産業省 商務情報政策局 サイバーセキュリティ課(令和5年5月)より

つまり、ASMでは攻撃者が標的とするIT資産を対象として、外部公開(インターネット上の)IT資産の洗い出しや監視を行うものであり、攻撃者視点でのセキュリティ対策と言えます。

組織で利用している下部公開IT資産

ASMの特徴としては、下記の2点が挙げられます。
・情シスが把握している外部公開IT資産を発見できること
・情シスが把握していない外部公開IT資産を発見できること

例えば、情シス以外が運用しているWebサイトや、一時的に利用しているクラウドサービスなど、情シスが気づかないうちに構築・運用されているIT資産も発見することができます。

ASMの特徴

まとめ

今回は、新たな姿に変貌するサイバー攻撃者がまず標的とすると考えられる、企業の外部(インターネット)公開IT情報と、それを守るための手法であるASMについて取り上げました。

また、経済産業省だけでなく、内閣官房(NISC)は2024年7月に「 横断的アタックサーフェスマネジメント(ASM)事業 」を運用開始するとし、関係省庁や独立行政法人などでも実施していく方針を示しています。昨今、日本では国を挙げてサイバーセキュリティ対策強化の方針を掲げていますが、その中でもASMの取り組みは重要な対策の1つと言えるでしょう。

なお、情シスレスキュー隊では、引き続きASMに関する情報やASMサービス情報などの記事や資料など有益な情報をご紹介していきます。詳しくは下記のリンクを参照してください。

ASMの基本がわかる資料を無料でダウンロード
ASMについて、その背景や目的など基本的な内容をわかりやすく解説した資料です。セキュリティ対策の強化に向けて、ぜひダウンロードして参考にしてはいかがでしょうか。
ダウンロードはこちら

<関連記事>
ASMのススメ〜政府も進める新たなサイバー攻撃への対策、どう始めるか?

<セミナー情報> セミナー情報
<関連製品情報> 関連製品情報
関連キーワード
情報システム部門
セキュリティ
ITインフラに関するおすすめ記事
ASMのススメ〜政府も進める新たなサイバー攻撃への対策、どう始めるか?
情報システム部門
セキュリティ
OSやソフトウェアは「最新」ですか?脆弱性による危険を減らすための重要な対策【Security Upgrade-2】
情報システム部門
セキュリティ
「セキュリティ対策が不安」なら? まずは5つのチェックで自社のリスクを可視化しよう【Security Upgrade-1】
情報システム部門
セキュリティ
パスワードの漏えいが招く重大事故に注意!パスワード強化のポイント【Security Upgrade-4】
情報システム部門
セキュリティ
ウイルス対策ソフト「導入」は当たり前?ランサムウェアの脅威に備え「運用」もチェックしよう【Security Upgrade-3】
情報システム部門
セキュリティ