アタックサーフェス管理

Ivanti、サイバーセキュリティに関わる調査レポートシリーズ

企業における攻撃対象領域は急速に拡大しています。 Ivantiの調査は、問題の規模、そして包括的なアタックサーフェス(攻撃対象領域)管理戦略をテーマとしています。

調査レポートのサマリーをダウンロードする

01

攻撃対象領域の拡大

テクノロジーにおける進化、そしてEverywhere Workの浸透につれて、企業における攻撃対象領域はかつてない規模を伴う複雑な問題となっています。

現在の問題

企業は、自社ネットワーク上のデバイス、ツール、アセットで構成され、急速な成長を見せるエコシステムを監視しています。いずれの要素も急速な増加状態にあります。 しかしながら、拡大するデジタルユニバースに対する可視性は限定された状態に甘んじています。

Ivantiの調査対象となったIT担当者の半数以上が、今後12 か月の間に損害となるセキュリティインシデントを阻止できるようには思えないと回答しています。 また3人に1人以上が、1年前に比べると脅威を検出してインシデントに対応する準備がより劣っていると回答しています。



50%

のオフィス ワーカーが、職場で個人のデバイスを使用していると回答しています。

32%

のオフィスワーカーが、会社はその旨を認知していないと回答しています。

これが重要な理由とは

問題は、複雑さ (デバイスやアセットの急増による無秩序な拡散や非効率性)には限られません。 成長し続けるエコシステムを受けて、脆弱性と露出がさらに進み、データ侵害やダウンタイム、ノンコンプライアンス、評判リスクなどに結びつくことが考えられます。

こういった理由から、現段階において、アタックサーフェス管理 (ASM) がサイバーセキュリティ防御におけるミッションクリティカルとされています。 (Ivantiの調査によれば、ASMに対する投資の拡大が示されています。)

アタックサーフェス管理戦略は、新規の脅威やアクティブなエクスプロイト攻撃を継続的に検出して可視化させるとともに、脆弱性の優先順位付け、ならびに管理に向けたデータドリブンのアプローチを主導します。

攻撃がより巧妙になるにつれ、企業サイドはこの攻撃者の立場からプランと戦略を練って立ち向かわなければなりません。 攻撃はどこから始まるのでしょうか? 真っ先に侵入されるシステムとは? 攻撃はどのように展開される?

 

なぜ今アタックサーフェス管理が重要なのか?

攻撃対象領域の拡大と複雑化に応じて、セキュリティ戦略も発展、進化しなければなりません。

従来の資産検出とリスク評価は、企業のネットワーク全域におけるハードウェアとソフトウェアの資産を特定し、インベントリを作成するものでした。

もはやこれだけでは十分ではなくなりました。 一歩先を行くアタックサーフェス管理は、資産を特定するだけでなく、広範なデジタル環境全域における既知/未知の資産関連リスクを評価し、アクションとアクションシーケンスを推奨します。



02

サイロ化されたデータ

デジタルエコシステム全体で日々生成される構造/非構造データは実に大量におよぶため、企業の健全性とセキュリティに対する重要なシグナルが見逃されがちになっています。

現在の問題

広範な攻撃領域が大量のデータストリームを生成しているにもかかわらず、多くの企業はこれらのデータ管理を適切に行っていません。 データはサイロ化されているか、企業保護とビジネス成果に向けて活用すべき人々がアクセスできなくなっています。

ITとセキュリティの専門家の考えるデータサイロがもたらす仕事へのインパクトとは?

Quote Icon

別のシステムに保存されているデータへのアクセスが要されることがよくあります。しかしながら、必要とされる情報を取得するには、アクセス権を取得する代わりに、アクセス権を有する人に問い合わせることしかできません。

Quote Icon

適切な決定に向けたあらゆるデータが必ずしも揃っているわけではないために、アクセス上の問題で貴重な時間が無駄に費やされています。

Quote Icon

情報が不完全であるために、推測しなければなりません。



これが重要な理由とは?

サイバーセキュリティの専門家は、データサイロによって迅速で断固としたアクションが阻害されると報告しています。

82%

データサイロによって生産性の低下が招かれていると答えています。

40%

データサイロによってインシデント対応時間が遅延化されていると答えています。

33%

企業内の他機能との連携性欠如によって、利害関係者が正しく最善な行動方針に同意できなくなっていると答えています。

言い換えれば、データサイロは非効率的であるだけでなく、インサイトを制限し、露出を高めることを意味します。 しかしながら、そうである必要はありません。 サイバーアセットアタックサーフェス管理 (CAASM)ツールは、EASMとDRPSのデータを統合して企業データにまつわる問題を解決し、これまでにないデータ、インテリジェンス、可視性を可能にします。

 

アタックサーフェス管理ツール: はじめの一歩

  • 外部アタックサーフェス管理 (EASM): インターネットに面したアセットを継続的に監視、検出し、攻撃者に悪用されうる脆弱性を検索します。
  • デジタルリスク保護サービス (DRPS): ブランド保護、脅威インテリジェンス、データ漏洩にまつわるデジタルアセットならびにチャネル全域における幅広いリスクを監視します。  
  • サイバーアセット攻撃領域管理 (CAASM)(CAASM): 企業ネットワーク全域におけるあらゆるフィジカル/デジタルサイバーアセットの統合ビューを提供します。これには所有権、ネットワークアクセス、ビジネスコンテキストといったあらゆる企業資産情報が組み込まれ、ITチームとセキュリティチームの単一的な真のソースを提供します。



03

優先順位付け

企業は、リスクを評価して対応優先順位を決定し、一貫したアプローチで脅威に対応できなくなっています。

現在の問題

企業は、交絡するさまざまな要因によって、軽減すべき脆弱性の優先順位を付けられなくなっています。

外部要因: 急速に進化する脅威的状況、かつてない量とペースをともなう脆弱性と攻撃

内部要因: 攻撃対象領域に対する可視性の欠如、既存の脆弱性重大度を評価する能力の欠如、対応の調整と伝達にまつわる課題

企業の64%が、セキュリティパッチの優先順位を決定するための方法論の文書を有するものの、憂慮すべき事実が明らかにされています。


セキュリティ専門家は、ほぼあらゆる種類の脆弱性 (アクティブなエクスプロイト、コンプライアンスに要されるパッチ、リーダーシップからの指示など) を少なくとも「中程度の緊急性」、さもなければ「高い緊急性」と評価しています。 さらに、あらゆる脆弱性が優先されるようなケースにおいては、いずれも優先されなくなっています。



これが重要な理由とは?

資格を持ったセキュリティの専門家が不足しているために、チームは企業のセキュリティ維持に向けて効果的にリソースを割り当てなければなりません。 そこで、リスク対応の優先順位付けが非常に重要になります。

優先順位の割り振りはどのように行う? アタックサーフェス管理は、アルゴリズムと方法論を援用してリスクスコアを出力し、攻撃可能性やリスクの重大度、潜在的なインパクトといった要素に基づいて露出の優先順位を決定します。

セキュリティ専門家による監視と分析の要される内部/外部のデータ量を考慮すると、このタイプのリスク管理ならびに最適化が重要となります。 その効果とは? ダウンタイムが低減され、ビジネス上の中断が少なくなり、サイバーセキュリティ全般の態勢が向上します。

04

サプライヤーリスク

企業のサプライヤーとベンダーはアタックサーフェスの延長上にあります。しかしながら、多くの企業はこれらを攻撃者が密接な接続性を持ったエントリポイントとはみなしていません。

現在の問題

2023年度に行われたCapterraの調査によれば、過去12 か月の間に、61%の企業がソフトウェアサプライチェーンに対する攻撃によるインパクトを受けていることが明らかにされています。

Ivantiによる調査では、自社のソフトウェアサプライチェーンにおける脆弱なサードパーティシステム/コンポーネントを特定している企業は半数を下回り(46%)、39%の企業はこれから1年の間に特定するつもりであると回答しています。



これが重要な理由とは?

自社のベンダーやパートナーにおける攻撃対象領域は、企業の攻撃対象領域の延長上にあるとみなされます。 ソフトウェアサプライチェーンで1件の侵害が起こることで、企業の収益と評判だけでなく、コンプライアンスリスクと責任性の露出にもインパクトがもたらされます。 一例として、10年前にさかのぼるTarget社における大規模のデータ侵害は、攻撃者がサードパーティのベンダーを通じて資格情報を盗用したことに起因しています。冷蔵とHVACシステムのメーカーであったこのベンダーは、多くの人にとってデータ侵害の突破口とはみなされていませんでした。 後に、同ベンダーはこの侵害を考慮して2013年と2014年に1億6200万ドルのコストを計上したことを明らかにしています。この額は、今日では2億1300万ドルに相当します。 

アタックサーフェス管理は、こういった攻撃を防ぐためにインターネットに面しているアセットを監視し、自社サプライチェーン経由のリスクを含めた企業における網羅的なリスクプロファイルのより正確な把握を可能にします。 また、新規のサプライヤーやベンダー、パートナー、そして買収対象を審査する際にも重要な役割を担います。

2023年度のGartner®による調査によれば、「ソフトウェアサプライチェーンに対する攻撃が急激に増加しているにもかかわらず、ベンダーにおけるリスク管理や調達の一環としてのセキュリティ評価が不在となっていることから、 企業が攻撃に対する脆弱性を呈した状態」にあると報告されています。

05

アクションステップ

専門家たちは、企業が攻撃対象領域に見られる脆弱性の全容を理解し、関連リスクの管理措置を講じるためのアプローチにまつわる見解を明らかにしています。

優先順位の設定、データの調和化、自動化の援用

私たちは、今日のデジタル環境におけるアセット構成要素の再定義を行っています。 アセットは、もはや物理的なデバイスには限られません。 さまざまなアセットタイプが現れ、閉じられたネットワークはIPプロトコルで実行されるオープンシステムへと移行しています。 このような変化を受け、あらゆる規模の企業の「爆発半径」が大幅に拡大し、誤った構成やインターネットへの露出に起因したリスクが増大しています。 

DEERと呼ばれる原則に従うことが推奨されています。これは、露出を特定、列挙し、修復することを意味します。 

DEER原則における真の課題は、企業が利用して活用すべき相当量のデータにあります。 企業は、平均すると60~70程度の異なるデータソースを有しています。 企業がこのようなデータを効率的に管理するにあたって、5つの点が要されます。

  1. データを取り込む能力 
  2. データを正規化する能力 
  3. データにラベル付けする能力 
  4. 攻撃者の意図を基準にしてデータに優先順位を付ける能力 
  5. 企業の優先事項を理解する能力 

優先順位が明確にされたら、非常に堅牢な修復戦略を構築します。 このプロセスにおける各ステップは、シフトレフト (開発者中心) 、またはシフトライト (セキュリティ中心) で進めることができます。

次に自動化が要されます。このステップにおいてはサービス管理が関連してきます。 デバイス管理に向けて自動化されたワークフローを開発し、開発者、オペレーター、セキュリティチームに向けてチケットを作成します。 次に、自動化されたワークフローを作成し、人手をほぼ要することなく修復が実行されるようにします。

Dr. Srinivas Mukkamale

スリニバス・ムッカマラ博士
Ivanti 最高製品責任者

サプライチェーンにおける脆弱性を特定して計上します。

企業は、サプライチェーンやベンダーにおけるセキュリティにさらなる注意を向けなければなりません。 効果的に実践するにあたって、次の4点を考慮してください。

  1. 企業のポリシーに一致し、GDPR、HIPAAといった業界規制に準拠した明確なベンダーセキュリティ要件を確立します。 これらの規格は、あらゆるベンダー、サプライヤーにはっきりと伝達されなければなりません。 
  2. ベンダーエコシステムの徹底的なリスク評価を実施し、それぞれのサプライヤーが現行のセキュリティ要件をどの程度満たしているのか把握します。 定期的な監査ならびにコンプライアンスチェックを実施し、継続的な遵守を保証します。 
  3. ベンダーが企業のシステムやデータにアクセス可能な際には、ベンダーが企業のインシデント対応計画 (IRP) に統合されているか確認します。 これにより、ベンダーにまつわるインシデント管理に向けた定義済みのプロセスが保証されます。 
  4. ベンダーと結んでいる契約にセキュリティ対策が盛り込まれているか確認し、ベンダーサイドに責任性をゆだね、セキュリティ保持における各当事者の役割に対する相互理解を確立させます。 

何よりも、ベンダー間とのアプローチは協働的に進められなければなりません。潜在的な脅威やセキュリティ対策を一体となって改善するアプローチをめぐって定期的なコミュニケーションを設けることが推奨されています。

Daren Goesson

ダレン・ゴーソン 
Ivanti SUEM製品管理担当副社長

高度な攻撃対象領域の管理には、何よりも動的な態度が重要であることを忘れないようにしてください。

企業は、とりわけ特定の業界や市場に固有の外的なリスクの出現、そしてこれらのリスクが内部的な脆弱性といかに相互的に作用しうるか理解しなければなりません。 

コンテキストを把握することなく、リスクを評価することはできません。 企業のセキュリティチームによって、サプライヤーのソフトウェアにおいて「5」(中程度) の脆弱性が特定されるかもしれません これ自体は、それほど悪くはありません。 しかしながら、攻撃者がこのことを見出すことで、「たとえ5に過ぎなくとも、別の脆弱性と組み合わせることでRPE機能を帯びる」と考えうります。

攻撃対象領域管理のソフトウェア、そして優先順位付けにおいては、各脆弱性の動的な性質と、そこに見出される発見が考慮されなければなりません。 ASMソリューションは、脆弱性が形を変えてトレンドになったり、ランサムウェアに関連付けられたり、悪用されたりした場合に、これらの優先順位付けを動的に行って変更する方法を特定します。 

ソフトウェアの状態は日々変化していますが、社内において実装されていないものもあるかもしれません。 任意の外部者が軽微な欠陥を悪用し、攻撃対象領域にインパクトを与え、変更をもたらすことが考えられます。すると、これが突如として最優先事項になります。 すぐれた攻撃対象領域管理は高い動性を有し、トレンドに連動し、新しいデータを基にした継続的なリスク再評価を行います。

Rex McMillan

レックス・マクミラン
Ivanti 製品管理担当者副社長

調査方法

本レポートは、Ivantiが2023年と2024年の後期に実施した2つの調査に基づいています。調査はそれぞれ「2024 Everywhere Workレポート: フレキシブルな働き方を促進させるために」「2024 サイバーセキュリティ ステータスレポート: 変曲点」と題されています。 2つの調査は、ともにのべ15000人におよぶ経営幹部、IT担当者、そしてオフィスワーカーを対象としています。 また、サードパーティーソースからの調査も引用されています。


 

*Gartner:「エンタープライズ ソフトウェア サプライ チェーンのセキュリティ リスクの軽減」Dale Gardner著、2023年10月31日 GARTNERは、米国内外におけるGartner, Inc.の登録商標、サービスマークであるとともに、 関連会社の登録商標ならびにサービスマークです。 この場においては、許可を得て使用されています。 無断転載、複製は禁じられています。 

どうもありがとうございます!

調査レポートのサマリーをダウンロードする ダウンロード

As of April 1, 2024, all Ivanti operations in your region will be assumed by IVM EME. For sales questions please visit https://www.ivmeme.com

調査レポートのサマリーをダウンロードする

グラフを含む主要な調査結果やアンケート結果を、プレゼンテーション用のフォーマットで入手できます。