無料会員登録
近年のIT環境の変化により、企業のIT資産は拡大しています。比例して増加しているのが、アタックサーフェスです。攻撃対象領域とも呼ばれ、サイバー攻撃の侵入起点となるリスクを抱えています。企業の情報資産をサイバー攻撃から守るためには、アタックサーフェスの理解と管理が大切です。この記事では、アタックサーフェスについて詳しく解説します。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
アタックサーフェスとは?
アタックサーフェスとは、サイバー攻撃の対象になり得る全てのIT資産を意味します。攻撃対象領域とも。ソフトウェアやOSといったデジタル資産に限らず、PCやUSBメモリなどの物理資産も対象です。厳密な定義はありませんが、直接サイバー攻撃を受ける侵入起点に加え、侵入先の機器やシステムも含まれます。
ITサービスや企業が導入するシステムが増え、アタックサーフェスも増加傾向にあります。アタックサーフェスは攻撃者のアクセスポイントとなるため、どのIT資産にどんなリスクがあるのかを理解した対策が重要です。
アタックサーフェスの2つのカテゴリ
アタックサーフェスのカテゴリは、以下2つに大きく分けられます。
- デジタルのアタックサーフェス
- 物理的なアタックサーフェス
それぞれに含まれる対象を解説します。
デジタルのアタックサーフェス
デジタルのアタックサーフェスは、攻撃者がネットワーク上からアクセスできるソフトウェアやハードウェア、その他の構成要素を指します。構成要素の中から、主な例を見ていきましょう。
Webアプリケーション・Webサイト
WebアプリケーションおよびWebサイトは、攻撃者に狙われやすいポイントです。不正にデータベースを操作する「SQLインジェクション」や、非公開のファイル・ディレクトリにアクセスされる「強制ブラウズ」など、攻撃手法は多岐にわたります。
サーバー
サーバーも、サイバー攻撃の対象になりやすい機器と言えます。サーバーを狙う攻撃の代表例は、サーバーへ大量にアクセスしてシステム障害を起こす「DoS攻撃 / DDoS攻撃」です。攻撃ツールがインターネット上に公開されており、比較的簡単に実行できてしまいます。
ポート
ポートとは、簡単に言うとデータ通信時の接続口です。ポート管理のために応答状況を調べる「ポートスキャン」がありますが、サイバー攻撃の下調べとしても悪用されています。ポートの応答状況から開放されているポートやOSなどの情報を入手し、脆弱性を突くといった流れです。
クラウドサービス
従来はオンプレミス型のITサービスが主流でしたが、近年は導入しやすいクラウド型サービスが一般化しています。オンラインストレージやコミュニケーションツール、会計システムなど、クラウドサービスの種類はさまざまです。たとえば、外部クラウドサービスに不正ログインされると、重要なデータが盗まれるといったリスクが考えられます。
物理的なアタックサーフェス
物理的なアタックサーフェスは、攻撃者が物理的に操作可能な端末を指します。主な例は、以下の端末です。
- デスクトップPC・ノートPC
- スマートフォン・携帯電話
- タブレット
- USBメモリ
- HDD
- ルーター
- 複合機・プリンター
これらに加え、従業員などの「人」もアタックサーフェスと見なす考え方もあります。企業に無断で使用する「シャドーIT」を生んだり、情報セキュリティ知識の低さゆえにマルウェア侵入を許してしまったりするからです。
アタックサーフェスの今後
アタックサーフェスは、今後も拡大すると予測されています。クラウドサービスやスマートフォン・タブレットといった利便性の高い端末が登場し、企業のIT資産は増加しているからです。
さらに、働き方改革や新型コロナウイルス感染症の影響によって、テレワークが普及しました。そのため、リモート環境を構築する機器やクラウドサービスも増えています。
旧来は、ファイアウォールのような境界型セキュリティの内側にアタックサーフェスが集中していました。現在はクラウド利用やテレワークにより、管理すべきアタックサーフェスは境界型セキュリティの外側に点在しています。企業は自社のアタックサーフェスの全容を把握・管理し、サイバー攻撃の侵入起点とならないように防ぐことが重要です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
アタックサーフェスのリスク管理となるセキュリティ対策
アタックサーフェスのリスクを管理するためには、基本的なセキュリティ対策が欠かせません。まずは、以下のように自社のアタックサーフェスの範囲を理解し、管理する必要があります。
- 自社のIT資産の調査
- ペネトレーションテストによるリスクの評価・ランク付け
- IT資産の目録を作成、重要度・脆弱性・リスク優先度などの関連付け
こうした手順でアタックサーフェスを把握し、対処や抱えている脆弱性に応じた情報セキュリティ対策を講じます。たとえば、次の対策が有効です。
- ソフトウェアやOSのバージョン管理・更新
- 境界型セキュリティに依存しないエンドポイントセキュリティの導入
- 老朽化した機器の廃棄・交換
- ネットワークの分割(セグメント分け)
- ログ収集と監視
- 社員の情報セキュリティ教育や研修
情報セキュリティ対策を一から構築したい場合は、IPA(独立行政法人情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」が役立ちます。クラウド利用も想定した最新の対策手順を解説しているので、ぜひ参考にしてみてください。
まとめ
技術発展だけでなく、働き方や社員の入退社によっても企業におけるIT環境は変動します。変動する環境の中で最新のサイバー攻撃に対応するためには、まずは攻撃対象となり得るアタックサーフェスの範囲を理解しましょう。アタックサーフェスを管理してセキュリティ対策を講じることで、情報資産のリスク低減につながります。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
CASB(Cloud Access Security Broker)とは?仕組みやメリット、次世代FWとの違いまで徹底解説
セキュリティチップとは?仕組みやメリットデメリット、注意点について徹底解説
スピアフィッシング攻撃とは?仕組みや危険性、対策方法について徹底解説
ラテラルムーブメントとは?具体的な手口や危険性、対策について徹底解説
ビッグデータとは?種類や具体的な内容、セキュリティ対策について徹底解説
ゾンビコンピュータとは?仕組みから危険性、対策方法まで徹底解説
セキュリティゾーニングとは?具体的方法やメリットデメリットについて徹底解説
M2M(Machine-to-Machine)とは?概要からIoTとの違いまで徹底解説
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
