アタックサーフェス
アタックサーフェス とは何ですか?
アタックサーフェス攻撃者が侵入、データ持ち出し、改ざんを試みうるすべての地点の総和。ネットワーク、ソフトウェア、ID、サプライチェーン、人を含む。
組織のアタックサーフェスは、露出した入口点の完全な集合です。インターネットに面した資産、サードパーティ SaaS、API、エンドポイント、モバイルアプリ、ネットワークプロトコル、ソースコードリポジトリ、IoT/OT 機器、クラウド管理面、ID、そしてソーシャルエンジニアリングに弱い人的チャネルを含みます。これは動的で、新しい機能、ベンダー、設定変更が加わるたびに拡大します。アナリストはしばしばこれを、デジタル 面(ソフトウェアと露出したサービス)、物理 面(機器とメディア)、ソーシャル 面(フィッシングの標的となる人々)に分類します。
2023 年の MOVEit Transfer キャンペーンは、その教科書的な例です。たった 1 つの SQL インジェクションの欠陥 CVE-2023-34362 が、インターネットに面したファイル転送アプライアンスに潜んでいました。Shodan は公開時点で約 2,500 件の露出した MOVEit インスタンスを示しており、Cl0p ランサムウェアグループはこれをゼロデイとして悪用し、自組織の見落とされた一端を通じて数百の組織に侵入しました。この教訓は、管理されていない、あるいは「シャドー IT」の資産 — 開発用 S3 バケット、放棄された VPN アプライアンス、乗っ取りに脆弱な古いサブドメイン — こそ、攻撃者が真っ先に狙う場所だということです。
アタックサーフェス管理(ASM)および外部アタックサーフェス管理(EASM)ツールは、資産を継続的に発見し、フィンガープリントを取得し、露出に優先度を付けます。縮小は、ハードニング、レガシーサービスの廃止、権限の最小化、ネットワークのセグメント化、インターネットに面したソフトウェアの迅速なパッチ適用、未使用の依存関係やアカウントの削除に依存します。
flowchart TD
O[組織] --> D[デジタル面<br/>インターネット資産, API, SaaS, クラウド]
O --> P[物理面<br/>エンドポイント, IoT/OT, メディア]
O --> S[ソーシャル面<br/>従業員, フィッシングの標的]
D --> EASM[EASM による継続的発見<br/>+ フィンガープリント]
EASM --> X{露出が見つかったか}
X -->|あり 例 未パッチの MOVEit| R[パッチ / 廃止 /<br/>分割 / 最小権限]
X -->|なし| M[監視を継続]
R --> M● 例
- 01
放置された開発用 S3 バケットや CI/CD 管理 SaaS が、それぞれ EASM スキャンで新たな露出資産として検知される。
- 02
未使用の VPN アプライアンスを停止することで、ネットワークのアタックサーフェスを縮小する。
● よくある質問
アタックサーフェス とは何ですか?
攻撃者が侵入、データ持ち出し、改ざんを試みうるすべての地点の総和。ネットワーク、ソフトウェア、ID、サプライチェーン、人を含む。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
アタックサーフェス とはどういう意味ですか?
攻撃者が侵入、データ持ち出し、改ざんを試みうるすべての地点の総和。ネットワーク、ソフトウェア、ID、サプライチェーン、人を含む。
アタックサーフェス からどのように防御しますか?
アタックサーフェス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。