侵入前提の前提の話～アタックサーフェスマネジメントが今なぜ求められるのか～（後編）

2026年3月31日更新
2024年3月28日掲載

本記事はSBテクノロジー株式会社（SBT）が執筆・公開した記事を、ソフトバンク株式会社との合併（2026年4月1日付）に伴い転載したものです。文中の「当社」「SBテクノロジー」などの記載ならびにサービス名称などの内容は、初出掲載時点の情報が含まれます。
元記事リンク： https://www.softbanktech.co.jp/special/blog/cve/2024/0007

ソフトバンクのプリンシパルセキュリティリサーチャー辻です。このブログの前編では、ランサム攻撃の仕組みや現状、その措置として有効なアタックサーフェスマネジメント（以下、ASM）、つまり「資産管理」と「脆弱性管理」がなぜ今あらためてASMとして定義付けられたのか、ということをご紹介しました。
それでは、後編ではASMの押さえるべき大事なポイントやインシデントの事例などに触れていきましょう。

「資産管理」と「脆弱性管理」をあらためて考える

ASMで管理すべき対象は、「資産」「アクセス制御」「脆弱性」の3つがあると考えています。
「資産管理」の資産とは、BODの「23-01」では馴染みのない「IP資産」と書かれていますが、IPアドレスを持つ資産ということになります。まずは、その「IP資産」と言われるものの管理、例えばIPアドレスはいくつあり、それに紐付くドメインはどういうもので、それらではどのようなOS、そしてアプリケーションが動作しているのか、といったことを把握し、リスト化します。脆弱性のスキャンをするために、「何があるのかを知る」という自分たちがこれから歩く道のりを知るための地図を作るということです。

IT資産の把握ができたら、その次にやるべきことは「アクセス制御」。外部との通信口となるポートの開閉を調べ、開いていれば、本当に運用上開けておくことが必要なのか、必要であったとしてもアクセス元を最小限にする余地はないかといった検討。さらに認証も、その強度を上げる余地はないのか、例えば二要素認証にしているのかなどを考慮する必要があります。

そして最後は、2つ目の段階で熟慮の結果、それでもポートを不特定多数に開放する必要がある場合に、そのIT資産に「脆弱性」があるかどうかの調査を行うことです。

その一連の流れを、ショットではなく日々のサイクルとして回していくことがとても重要なポイントです。では、どこを重点的にASMするか。あえて優先順位を付けるのであれば、やはりインターネットに面している部分です。ただしこれは、内部のASMを後回しや疎かにしてよいということではもちろんなく、順を追って対応が必要なのです。

脆弱性対応で重要なのは優先度

ここまでは、ASMやそれを取り巻く環境などについてお話ししました。
ASMでまずやるべきことは、ポートスキャンと脆弱性スキャンと前述しましたが、脆弱性が見つかった場合に、組織のネックになるのが対応をするための人的リソースや金銭的リソースです。IT資産が増え、あてるパッチが多くなるほど人的リソースが割けなくなるなど、パッチマネジメントに悩む組織も多いのが現状です。

米国の非営利団体MITRE社が管理している脆弱性情報データベース『Common Vulnerabilities and Exposures（CVE）』によると、脆弱性は年々増加していて、2023年に発行された件数は3万件を超えました。
その脆弱性を全て対応するのか、古いものから対応していくのかとなると、それでは対応が追いつきません。人的リソースも金銭的リソースも潤沢にあり、パッチを即時に全てあてることができる組織であればいいですが、中々そういう組織は多くはないのではないでしょうか。さらに、パッチをあてる対象の再起動やその後の正常性チェックもあるので、運用の現場からはできる限り適用は最小限にしたいという声をよく聞きます。

そこで、多くの脆弱性の中で、本当に対応をすべき、人的リソースと金銭的リソースをかけるべき脆弱性を見極め、対応の優先順位を付けることが重要になってきます。

では、どのように対応優先順位を付けるのか。一つの判断材料として有効なのが、脆弱性が実際に悪用されたかが確認できる米国のCISAから出されているKEV（Known Exploited Vulnerabilities catalog）です。この情報は、米国政府が悪用を確認できているものとなりますので、日本独自で使われているアプリケーションなどの情報はありませんが、脆弱性の深刻度であるCVSS（Common Vulnerability Scoring System）に加えて、KEVに掲載された情報と照らし合わせることで、悪用されている脆弱性の優先度を上げるという判断ができます。

脆弱性対応の優先順位の説明図。CVSSのリストからKEVに掲載された脆弱性の優先順位を上げている。

アタックサーフェスマネジメントができていないことで起こるインシデントは多くある

日本でASMが課題として捉えられていないということを前述しました。
例えば、アクセス制御不備が原因と考えられるランサムウェア感染の事例が日本でもいくつか公開されています。ある国立大学法人では、統合認証システムのサーバーがランサムウェアに感染、一部のデータが暗号化されました。原因はファイアウォールの設定変更作業時に外部からのアクセスがデフォルト値で許可となっていたにもかかわらず、作業を請け負った組織の作業者がデフォルト値を拒否と誤認していたことからでした。その結果、作業完了後から発覚までの2カ月の間、本来アクセスできないはずのポートへ外部からアクセス可能な状態となっており、被害に遭ったというものです。

こういったケースはまれかと思うかもしれませんが、実態として意識せず外部に公開してしまっている環境は想像以上に多いのです。
本来であればASMが必要ですが、前述したように人的リソースや金銭的リソースでハードルが高く感じるなら、必要最低限の対応としてポートの開閉を確認するポートスキャンくらいは実施してほしいです。自組織が保有するIPアドレス、インターネットに面しているであろうグローバルIPアドレス、もしくはクラウドで使っているIPアドレスを把握し、ポートスキャンの実施をおすすめします。

アタックサーフェスマネジメントの第一歩は自組織の現状を知ること

今回のブログでは、ASMの重要性をご紹介しました。繰り返しになりますが、ASMの第一歩は、まず自組織の現状を知ることです。そして、もし運用上不要であるポートが開いている場合は、即座に閉じることです。

ここ数年、Endpoint Detection and Response（EDR）の認知度向上や浸透もあり「侵入されることが前提で」という言葉をよく聞くようになりました。その考えも必要ですが、一方で、侵入されてしまえば、対応のために莫大な人的リソースも金銭的リソースもかかってしまう。私たちが風邪をひくことを前提に薬を買っておくという前に、ワクチンを打つ、マスクと手洗いをして予防する。このように、セキュリティも「侵入前提」の前提としてASMに取り組んでいただきたいと思います。

AIによる記事まとめ

ASM（アタックサーフェスマネジメント）は、資産把握、アクセス制御、脆弱性管理の三段階で構成されます。まずはIP資産を可視化して管理対象を明確にし、次に通信ポートの制限や認証強化で露出を最小化します。対応が困難な膨大な脆弱性は、実悪用情報のKEV等を活用して優先順位を付けることが肝要です。侵入後の対応も重要ですが、まずは自組織の現状を知り、不要な隙をなくす予防的なサイクルを回すことが不可欠です。

※上記まとめは生成AIで作成したものです。誤りや不正確さが含まれる可能性があります。