経産省 ASM導入ガイダンスを公開
今でも、時々、ネットからの情報漏洩事故がニュースになっております。このような事故に関連してですが、5/29に経産省から「ASM(Attack Surface Management)導入ガイダンス」が発表されています。
https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html
アタック・サーフェス(Attack Surface)とは、組織が保有しているIT資産のうち、サイバー攻撃を受ける可能性のあるリスクのある要素を指します。「攻撃対象領域」「攻撃対象面」とも呼ばれています。
具体的には、不正アクセス被害が報道されるようなシステムはアタック・サーフェスと言えます。Webサイト、メール、DNS、VPN機器、IoT機器など多様で、利用しているクラウド業務サービスなどもアタック・サーフェスです。本来は重要データを保持するDBや業務端末など社内のIT資産もアタック・サーフェスに含まれます。たとえば、フィッシング詐欺や悪意ある内部関係者に狙われるような内部のIT資産が該当します。
ただし、この報告書では外部からの脅威に限定しているようです。(EASM(External Attack Surface Management)と内外を区別する用語もあります。)
この報告書では、外部攻撃者の目線になって、ネット越しにアクセス可能なIT資産の所在と、それらの脆弱性・リスクを継続的に評価するプロセスという事です。
組織のIT資産はITSMツールなどで管理されていますが、いわゆる把握しきれていない資産(シャドーIT)などもあるため、管理者の管理外となっている公開アタック・サーフェスに関しても対象になる事が大きな違いです。
これらが注目を集める背景として、報告書から抜粋しますと、”国⽴研究開発法⼈情報通信研究機構(NICT)のダークネット観測において、2022 年は 12,752 の IP アドレスからの約 2,871 億パケットが調査⽬的のスキャンとして判定され、これは 2022 年に観測された全パケットの約54.9%を占めた。調査の⽬的は不明だが、好むと好まざるとにかかわらず、実際に相当数の偵察⾏為が⾏われていることをまずは認識いただきたい。”これはなかなかの規模ですね。
まあ、なんでもかんでもセキュリティ対策しろと言われてもリソースは限られますので、ビジネスの収益施策とサイバー対策をうまくバランス取る必要が出てきます。
インターネットへの依存度が高いビジネスに関しては、検討されても良いのではと思います。