１．セキュリティ対策は下流から上流へ

1.1 NIST　CSF(Cyber Security Framework)

米国NISTではサイバーセキュリティ対策の枠組みをCyber Security Framework(以下CSFという)にとりまとめ公開している。

CSFのサイバーセキュリティ対策は上流から

５つのフェーズに分けて定義している。

1.2 セキュリティ対策の状況

これまでセキュリティ対策は攻撃を検知して、受けた攻撃に対応して復旧することがメインで、攻撃を防ぐために情報を整理して、事前対策を行うことにはあまり注力されてこなかった。CSFであらわすと下流の(3)～(5)を実施していることが多く、上流の(1)～(2)は手薄だった。

しかし、事後対策では、完全に被害を防ぐことはできず、かつ事前対策よりもコストと工数がかかることになる。

そのため、最近では事後対策よりも事前対策に注力する企業が増えている。

２．脆弱性管理とASM

2.1 脆弱性情報と脆弱性管理

企業が使用しているシステムやソフトウェアには瑕疵（バグ）や仕様としてセキュリティ上の弱点が存在しており、これを脆弱性と言う。この脆弱性を発見して攻撃することが最も多いサイバー攻撃の手法である。

脆弱性情報は、国内では独立行政法人情報処理推進機構（以下IPAという）や各システム・ソフトウェアベンダーが随時公表しており、利用者は入手した脆弱性情報をもとに、セキュリティパッチを適用したり、必要なバージョンアップ作業を行うことになる。

ただ、CSFでいうところの(1)IDENTITYにおいて、対象資産や構成情報のリストアップをもれなくやることは難易度が高い。そして(2)PROTECTにおいても脆弱性情報を読み解くことは簡単ではなく、かつ自社のシステム構成によっては、他のシステムに不具合が発生する等の副作用が発生することがあり、動作検証も難しく脆弱性対策ができていないことが多い。脆弱性管理は簡単ではない。

2.2 ＡＳＭとは

ASM(Attack Surface Management)は、この脆弱性管理をインターネットからアクセスできる範囲(アタックサーフェス)に限定して実施することを指す。全面的に脆弱性管理ができない場合、せめて外部から攻撃される可能性がある部分だけでもやろうという、部分的な脆弱性管理のことである。ASMについては経産省がガイドラインを開示しており、政府も実施を支援しているが、それだけ企業における脆弱性管理及びASMはできていないということを意味している。

３．ASMから脅威インテリジェンスへ

3.1 脆弱性管理及びＡＳＭの課題

脆弱性管理及びASMで取り扱う脆弱性情報は、存在を開発ベンダーが認め、対策方法もできているものだけである。しかし、脆弱性情報の中には開発ベンダーが確認中であったり、認めていない未公表の脆弱性が存在する。ゼロデイ攻撃の原因となる脆弱性が、代表的な例と言える。また、存在が認識されていても、対策ができていない脆弱性も存在する。これらの脆弱性は公表されないため、一般的な脆弱性管理の対象とはならない。

3.2 脅威インテリジェンスとは

これら未公表の脆弱性情報を収集して提供するサービスが脅威インテリジェンスである。脅威インテリジェンスは、この他サイバー攻撃集団の動向や世界各国でのサイバー攻撃の状況など、脆弱性情報では把握できないサイバー攻撃の情報を提供してくれる。

3.3 脅威インテリジェンスの課題

脅威インテリジェンスは、外資系のいくつかのベンダーが提供しているが、未公表の脆弱性情報やサイバー攻撃集団の動向など、表に出ない情報を収集して提供しているため、価格的には高いわりに、確度の低い情報が含まれていたりして、一般の企業では導入するのも難しい。現時点では、他のセキュリティベンダーが自社サービスのレベルを上げるために自社に導入しているケースが多い。

3.4 今後のＡＳＭと脅威インテリジェンス

現在、多くのセキュリティベンダーが提供しているASMサービスは資産管理と構成管理に少し機能を追加したようなサービスが主流である。これはこれでやる意味はあるが、本来ならできていなければならない機能をやっている感がある。

４．おわりに

サイバー攻撃が複雑化・高度化してきている現状では、ASM及び脆弱性管理はできていて当たり前ぐらいのレベルになっている必要があり、そのうえで脅威インテリジェンスの情報を自社に取り込んで活用できるぐらいのレベルに上げていく必要がある。