企業システムの守りの要、「アタックサーフェス（Attack Surface）」とは

目次 アタックサーフェス（Attack Surface）とは アタックサーフェス管理（ASM）とは 脆弱性診断とアタックサーフェス管理の違い アタックサーフェス管理の必要性 まとめ

1. アタックサーフェス（Attack Surface）とは

デジタル技術の急速な発展と、コロナ禍におけるリモートワーク推進の影響を受け、業務プロセスをDX化しようという動きが広まっています。デジタル化が進むと、システムやネットワーク内に存在する潜在的な脆弱性である「アタックサーフェス（Attack Surface）」が増加し、そこを狙った不正アクセスやサイバー攻撃が急増します。

アタックサーフェスとは、サイバー攻撃の侵入経路となり得るインターネット上のIT資産（ハードウェア、ソフトウェア、ネットワークなど）すべて、を指します。具体的には、エンドポイントやWebサイト、アプリケーションなどとなります。テレワークでパソコンの社外利用やクラウドの利用が増加するなど、アタックサーフェスは拡大しています。そのため、VPN装置やファイアウォールなどのネットワーク機器や、クラウド上の公開サーバなどの新たなアタックサーフェスが侵入の経路となる事が増え、大きな課題になっているのです。

ここ数年、サイバー攻撃は進化し、攻撃も増大しています。さらにアタックサーフェスの拡大により、サイバー攻撃を受けやすい状況となりました。その結果、多くの企業からの機密情報や顧客情報の漏洩、ランサムウェア攻撃などの事件が多発し、甚大な被害が生じているのです。

セキュリティ全般のレベルを向上させる上で、アタックサーフェス対策は欠かせません。そのためには、まずはアタックサーフェスを正確に把握し、適切に管理する必要があります。

2.アタックサーフェス管理（ASM）とは

アタックサーフェス管理（ASM）とは、セキュリティリスクを最小限に抑えるため、企業や組織が使用しているシステム、ネットワーク、アプリケーション、デバイスなどのセキュリティ状況を常に把握し、組織のアタックサーフェスを継続的に監視、評価、縮小して適切な対策を講じるプロセスのことです。

脆弱性スキャン、ペネトレーションテスト、セキュリティ監査などの手法を用いて組織のセキュリティ状況を評価し、結果的にセキュリティポリシーの遵守が高まります。

3. 脆弱性診断とアタックサーフェス管理の違い

脆弱性診断とは、システムやネットワークに存在する脆弱性を検出し、修正するために実施されるプロセスのこと。ネットワークスキャンやソフトウェアのコードレビュー、構成設定のチェックなどを行い、問題がある箇所を特定して修正します。ただし脆弱性診断はあくまで組織が管理している資産に対しての対策になるので、未管理の公開資産を洗い出す事はできません。

一方ASMは、より継続的で包括的なアプローチを取り、組織全体のセキュリティリスクを管理することに重点を置いています。

攻撃者はわずかなセキュリティ対策の穴でも踏み台にして攻撃対象を広げられるため、そのような穴がないか執拗に探しています。せっかくセキュリティ対策をしていても、その管理対象に抜け漏れがあっては、攻撃者の侵入を許しかねません。
アタックサーフェス管理では、攻撃者目線で対策の穴を徹底的に見つけ出すことで、組織としてのセキュリティレベルを向上させることが出来ます。

4.アタックサーフェス管理の必要性

サイバー攻撃の手法やツールが日々進化する状況で新たな脅威に迅速に対応するには、管理資産の状況を確認するだけではなく、未管理の資産含めて継続的にアタックサーフェス（Attack Surface）を管理する必要があります。

IoTデバイスの普及やクラウドサービスの利用拡大、リモートワークの増加などにより、アタックサーフェスが拡大しているということも考慮しなければなりません。ASMを通じ、リスクを適切に管理し、セキュリティ対策を強化していく必要があります。

5.まとめ

ASMは、企業や組織のセキュリティを維持・向上させるために欠かせません。継続的かつ包括的なアプローチでセキュリティリスクを管理し、アタックサーフェスを縮小することが求められているのです。

定期的なセキュリティ状況の把握により、企業や組織内のセキュリティ意識を向上させるという効果が期待でき、さらに実際の攻撃シナリオを想定してリスクを評価し、適切な対策を立てることにも役立ちます。

ＪＢＣＣでは「Attack Surface診断サービス」を提供しており、ツールで発見した外部脅威をセキュリティ専門家がリスク分類、分析、評価。ＪＢＣＣ独自の診断レポートを作成し、実際にどのような対策が必要になるかを具体的に提示いたします。

また、ＪＢＣＣでは「Attack Surface診断サービス」の他、セキュリティＤｒ．診断サービス、クラウド設定監査サービス、標的型メール訓練サービス、プラットフォーム診断サービス、Webアプリケーション診断サービス、ネットワーク脅威診断サービス、テレワーク脅威診断サービスなど、「見える化サービス」のラインナップが充実しています。

これらのサービスを活用することで、企業や組織はサイバー攻撃に対するリスクを軽減し、データ漏洩やシステムダウンタイムなどの被害を最小限に抑えることができます。さらに、リスク管理が改善されることで、顧客や取引先からの信頼も高まり、ビジネス上の競争力を強化することにもつながるでしょう。

Attack Surface診断サービス

詳細を見る

お客様ごとに適切なセキュリティ対策を行うために脅威を可視化「見える化サービス」

詳細を見る

ＪＢＣＣ株式会社 ＪＢＣＣ株式会社は、企業のデジタル・トランスフォーメーション（DX）を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 460社、セキュリティ 1,100社の実績があります。 お客様の環境に合わせた最適なITシステムを、クラウド、超高速開発、セキュリティ、データ連携等を活用し、企業のDX実現と経営変革に貢献します。