この記事の重要ポイント:
- 経済産業省のASMガイドラインでも、ASMは一度きりのアセスメントではなく、定点的にモニタリングすべきとされている。
- Blackpandaは、公開資産に対する定点モニタリングの重要性を認識し、自社のインシデント対応経験を活かして独自のASMスキャンエンジンを開発。
- 中小企業向けのIR-1と近日リリース予定のエンタープライズ企業向けIR-Xの標準機能としてASMが搭載。
内閣サイバーセキュリティセンター(NISC)の横断的アタックサーフェスマネジメント(ASM)事業開始は、昨年5月に経済産業省がリリースした「ASM(AttackSurface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」に続く、日本政府のセキュリティの取り組みとして注目を浴びています。エンドポイント環境のモニタリングも攻撃の早期検知や防御のために重要ではありますが、一方で、クラウド化やゼロトラストが浸透した昨今、インターネットから発見できて、安易に攻撃できるような公開資産の脆弱性は、ランサムウェア攻撃や不正アクセスの入り口として頻繁に悪用されており、私がこれまで対応した日本企業のインシデントでも多数を占めています。
サイバー攻撃でよく悪用されるVPN等のリモートアクセス手段やWebサーバ等の公開資産では、新たに発見された深刻な脆弱性や、運用・開発の環境変更のタイミングで生じるような脆弱性な設定を、タイムリーに発見して対処することが重要です。経済産業省のASMガイドラインでも「管理」と位置付けられている通り、ASMは本来、1度きりのアセスメントではなく、定点的にモニタリングすべき領域です。
Blackpandaでは、インシデント対応を行う中で、以前からこのような公開資産に対する定点モニタリングの重要性を感じており、インシデント発生前にお客様のセキュリティリスク状況を把握しておく手段の一つとして、自社のこれまで培ったインシデントの知見を盛り込んで、自社の開発チームで独自のASMスキャンエンジンを開発しています。自社開発であるため、スキャンデータベース等の外部ツールの情報粒度や更新頻度に依存することなく、加えて、細かいチューニング等の運用も不要で、週1回のレベルの細かい定点モニタリングを実現しています。また、BlackpandaのASMエンジンでは、脆弱な公開資産の発見に加え、ユーザのメールドメインに該当する漏えい認証情報もダークウェブやハッカーフォーラムから洗い出すことで、ランサムウェアや不正アクセスのリスクに加えて、ビジネスメール詐欺(BEC)のリスクの軽減も図ることができます。
BlackpandaのASMは、中小企業様向けのIR-1、及び近日エンタープライズ企業様向けにリリースするIR-Xの標準機能として搭載されています。これらのソリューションはいずれもSaaS型で、平常時はASMモニタリング、インシデント発生時には1度だけインシデント対応を呼び出して、調査やアドバイザリ等の支援を受けることができるプラットフォームです。従来のコンサルティング形式のインシデント対応サービスのモデルと比較すると、コスト面で大きくメリットがあるモデルになっています。
