サイバーセキュリティに関わる調査レポートシリーズ
2024 アタックサーフェス管理
企業における攻撃対象領域は急速に拡大しています。 Ivantiの調査は、問題の規模、そして包括的なアタックサーフェス(攻撃対象領域)管理戦略をテーマとしています。
攻撃対象領域とは、通常サイバー攻撃を開始する目的で IT 環境にアクセスする際に用いられるエントリポイントの総体を指します。
IT用語の説明
攻撃対象領域(アタックサーフェス)とは?
「攻撃対象領域」は、近年ますます注目を集めている概念です。 Google トレンドによると、「攻撃対象領域」という検索用語は過去 5 年間で着実に増加しています。
2018 年 4 月から2023 年 4 月までの Google トレンドによる 「攻撃対象領域」検索結果
トピック「攻撃対象領域」に対する関心の高まりは、当然のことながら現実における攻撃対象領域の増加と一致します。 組織の 2 / 3 は、過去 1 年間に 攻撃対象領域 が拡大したと考えています。 主な要因として、Everywhere Work(どこでも仕事ができる)環境と、クラウドアプリケーションや IoT エンドポイントなど、インターネットへのアクセスを可能にする資産が多く利用されるようになったことが挙げられます。
現状では、IT およびセキュリティの専門家がこのテーマについて知識を持つだけでなく、組織の攻撃対象領域を特定、管理、削減するための対策を講じることが重要な段階に達しています。
サイバーセキュリティにおける攻撃対象領域とは?
他の技術的な概念と同様に、攻撃対象領域について議論する際には、すべての関係者がこの概念に関連する用語を理解して共通の言語で話せるようにすることが重要です。 これを前提として攻撃対象領域の説明を始めましょう。
「攻撃対象領域」の定義はさまざまです。 以下、サイバーセキュリティ分野の主要当局による定義をいくつか紹介します。
- オーストラリア政府サイバーセキュリティ センター (ACSC):「システム内で使用される ICT(情報通信技術)機器とソフトウェアの総体」
- 米国国立標準技術研究所 (NIST):「システムやその要素、あるいは環境の境界上にあり、攻撃者がそのシステムやその要素、あるいは環境に侵入したり、影響を与えたり、データを抽出したりできるポイントの総体」
- オープン・ワールドワイド・アプリケーション・セキュリティ・プロジェクト (OWASP) 財団:「攻撃対象領域とは、攻撃者がシステムに侵入し、データを持ち出す可能性のあるさまざまなポイントのすべてを指します。」
Ivanti では「攻撃対象領域」を、「通常サイバー攻撃を開始する目的で IT 環境にアクセスする際に用いられるエントリ ポイントの総体」と定義することにしましょう。 これらのエントリポイントには、デジタル上のポイント、物理的ポイント、人的ポイントがあります。
デジタル攻撃対象領域とは?
デジタル攻撃対象領域とは、クラウド / オンプレミスの別なく、外部ユーザーがインターネット接続によってアクセスできる、組織のあらゆる IT インフラストラクチャとシステムからなります。 すなわち、デジタル上のエントリポイントとは組織の置かれる環境のことです。
企業のネットワークに接続されたすべてのハードウェアとソフトウェアがデジタル攻撃対象領域である以上、基本的にはネットワークが攻撃対象領域であるとする考え方もあります。 ただし、デジタル攻撃対象領域を構成する要素は数多く、多種多様です。 これらの要素は、単に「ハードウェア」と「ソフトウェア」だけでなく、以下が含まれます(これらに限定されません)。
- コード
- インターネットに接続されたアプリケーションとサーバー
- IT システム、資産、ツールの構成ミス
- 古いデバイス / アプリケーションなど旧式の IT資産
- パスワード
- ポート
- 不正アクセスポイント
- シャドー IT
- 共有データベース
- 共有ディレクトリ
- ソフトウェア、ファームウェア、オペレーティング システムの脆弱性
- ウェブサイト
攻撃者はこれらすべてを悪用してIT環境にアクセスする可能性があります。
物理的攻撃対象領域とは?
物理的攻撃対象領域とは、悪意ある攻撃者が標的としうる物理的なオブジェクトを指します。 デジタル攻撃対象領域をネットワーク攻撃対象領域とする考え方があるのと同様に、物理的攻撃対象領域は、主にデスクトップコンピュータ、ラップトップ、モバイル デバイス、IoT デバイスで構成されることが多く、エンドポイント攻撃対象領域と考えてもほぼ間違いありません。 これらのデバイスは、紛失または盗難に遭うと、悪意のある人物の手に渡ることがよくあります。
エンドポイントに加えて、物理的攻撃対象領域には以下のようなものもあります。
- USBポート
- 防犯カメラおよび USB ウェブカメラ
- ハードドライブ
- ネットワーク ハードウェア
- プリンタなどの事務機器
- オフィスやデータセンターなどの物理的な場所の出入口
- 廃棄されたハードウェアに保存された、あるいは紙に書かれたユーザー情報およびログイン資格情報
- 紛失した従業員 ID カード、キー、認証バッジ
物理的に触れられるものは、基本的に物理的攻撃対象領域に含まれます。
人的攻撃対象領域とは?
ネットワークとエンドポイントの攻撃対象領域は注目を集めていますが、見落とされがちな攻撃対象領域がもう 1 つあります。それが人的攻撃対象領域です。 これは、Verizon の 2023 年データ侵害調査レポート (DBIR) で分析された侵害の 74% が人的要素によるものであったことからも説明できるでしょう。
人的攻撃対象領域は、ユーザーまたは管理者がセキュリティのベスト プラクティスを遵守しないことで発生します。 こうした不遵守行為は主に、ソーシャルエンジニアリング攻撃の罠にかかった人によって引き起こされます。 Verizon のレポートによると、ソーシャル エンジニアリングの中でも最も被害が多いのは、フィッシングと、フィッシングと組み合わせて使用されることが多いプリテキスティングの 2 つです。 「Press Reset: 2023 サイバーセキュリティ ステータス レポート」 の調査対象となった組織のうち 43% が過去 2 年間にフィッシング攻撃を経験しているのも不思議なことではありません。
人的攻撃対象領域となるその他の要素には、以下のようなものがあります。
- システムの定期的パッチ適用の不履行
- 脆弱なパスワードやパスワードの反復使用
- ユーザー権限の不適切な割り当て
- オフィスビルのドアが開いたままであること
- 許可されていない人物が安全なスペースに連れ立って、または便乗して入ること。
- ネットワーク設計上の欠陥を削除していないこと
- 入力情報を後ろから盗み見る「ショルダーサーフィン」による機密情報の不正取得
- 未知の USB ドライブをコンピュータに接続してベイティング(釣り餌)攻撃の罠にかかること
- 機密データの不適切な破棄
要因は無限にあります。 紹介してきた例は、無知や過失に起因する典型的な無意識の行為ですが、人的攻撃対象領域には悪意のある内部関係者による意図的行為も含まれます。 米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) によると、意図的な脅威とは、「内部関係者が、組織への許可されたアクセスや知識を利用してその組織に損害を与える可能性」とされています。
さまざまな種類の攻撃対象領域に、いくつもの攻撃の要素が含まれていることに注意しましょう。 たとえば、ドアストッパーを使って開放したドアは、人間によって開けられていることから人的攻撃対象領域であるだけでなく、ドアが物理的な場所への入口となる物理的オブジェクトであるため、物理的攻撃対象領域の一部ともみなされます。 最重要なのは、攻撃の要素がどのタイプの攻撃対象領域に起因するかではなく、その要素を特定して管理し、可能であれば排除することです。