外部アタック サーフェス管理とは

外部アタック サーフェス管理(EASM)が重要な理由

組織はEASMによって、サイバー攻撃の主な標的となる、インターネットに公開されたデジタル資産を包括的に把握できます。これらの資産を継続的に特定、監視することで、脆弱性、設定ミス、シャドーITに関連するリスクをプロアクティブに軽減することが可能です。EASMなしでは、組織は真のエクスポージャーを認識できず、重大なギャップが残り、攻撃者に悪用される可能性があります。

フィッシングやランサムウェア、データ侵害などのサイバー攻撃は多くの場合、外部に公開されたシステムを標的にするため、効果的な防御には攻撃対象領域の可視性が欠かせません。たとえば、インターネットに接続された古いソフトウェアやパッチが適用されていないシステムは、機密情報への不正アクセスに頻繁に利用されています。EASMによって、セキュリティ部門はこうした高リスクの侵入口を攻撃者が気付く前に特定し、脅威の現状に基づいて修復作業に優先順位を付けられるようになります。

さらに、規制要件やコンプライアンス基準により、組織には強力なサイバーセキュリティ態勢の維持がますます求められています。EASMは、インターネットに公開された資産に関するリアルタイムかつ継続的なインベントリーを提供することでその対応を支援し、法的義務の順守、多額の損害につながる侵害のリスク低減を可能にします。つまり、EASMはより広範なリスク管理戦略の基盤となる要素であり、相互接続が進む環境において、進化するサイバー脅威からの保護を支援するものです。

EASMの仕組み

EASMは、ドメイン、IPアドレス、Webアプリケーション、クラウド サービスを継続的に特定します。シャドーITやサードパーティー サービスであること、または設定ミスを原因として、この多くは組織が存在を認知していない可能性があります。EASMツールは、偵察やスキャンなどの自動化された検出プロセスを活用して、外部に公開されたインフラのすべてを明らかにし、攻撃者に悪用される可能性のある潜在的な侵入口に注目します。

攻撃対象領域を明らかにしたら、検出された資産の脆弱性、設定ミス、コンプライアンスの問題を分析し、変更や新たなリスクに対する継続的な監視とアラートを提供します。これにより、セキュリティ部門はリスク レベルと潜在的な影響に基づいて修復作業に優先順位を付け、組織の全体的な攻撃対象領域を削減しながら、セキュリティ態勢を改善できます。

EASMの主な機能をいくつか紹介します。

• 資産の検出：インターネットをスキャンすることで、忘れられている可能性のある資産や適切に記録されていない資産など、外部に公開されたすべての資産を特定します。
• 脆弱性評価：資産を特定した後、脆弱性の自動チェックを実行することで、古いソフトウェアやシステムの設定ミスなどの弱点を検出します。
• リスクの優先順位付け：脆弱性について深刻度と潜在的な影響に基づいて分類し、最も重要な問題に集中できるようにします。
• 継続的な監視：攻撃対象領域をリアルタイムに監視することで、攻撃者に悪用される前に、新たなリスクを迅速に特定し、対処できるようにします。

EASMのメリット

組織はEASMがもたらす以下のようなメリットを活用することでサイバー攻撃を予防できます。

• 外部資産の包括的な可視性：シャドーITや攻撃者の侵入口となり得る忘れられた資産を含め、デジタル フットプリント全体の明確な把握を可能にします。
• リスクのプロアクティブな特定：外部攻撃対象領域を継続的に監視することで、脅威アクターに悪用される前に脆弱性、設定ミス、エクスポージャーを明らかにできます。
• セキュリティ態勢の改善：外部のリスクに対するリアルタイムのインサイトにより、修復作業に優先順位を付け、攻撃対象領域を効果的に削減しながら、全体的なセキュリティを強化できます。
• インシデント対応の強化：外部の脅威をより迅速に検出し、セキュリティ部門による対応を効率化し、攻撃が与える潜在的影響を限定します。
• 各種規制への対応：多くの業界規制は、組織が外部の脆弱性を定期的に評価、管理することを義務付けています。EASMが外部のリスクを継続的に監視、レポート化することで、コンプライアンスを合理化できます。

外部アタック サーフェス管理(EASM)の課題

外部攻撃対象領域の管理は非常に重要ですが、実現には課題が伴います。多くの組織は、無秩序に広がるデジタル資産の可視化と制御を試みるなかで、大きな課題に直面します。EASMの取り組みを複雑化する可能性のある、最も一般的な課題を以下にいくつか紹介します。

• 急速に変化する環境：組織の拡大や新たなテクノロジーの採用に伴って、攻撃対象領域は拡大、変化します。新たな脆弱性は突如として現れる可能性があり、絶え間ない変化への対応が課題となります。
• アラート疲れ：EASMはしばしば大量のアラートを発しますが、そのすべてが実行可能なわけではありません。本物のリスクを特定するためノイズをふるいにかけることで、リソースの浪費や脅威の見逃しにつながる可能性があります。
• リスク管理との統合：EASMのデータは、より広範なリスク管理戦略と統合されている場合にのみ有用です。得られたデータをコンテキスト化し、ビジネスの優先事項との折り合いを付けることは多くの組織にとって困難であり、これによってセキュリティ態勢にギャップが生じています。

内部アタック サーフェス管理(IASM)と外部アタック サーフェス管理(EASM)の違い

EASMは、組織外に公開されたデジタル フットプリントに関連するリスクを特定、監視、軽減することに重点を置いています。一方、内部アタック サーフェス管理(IASM)は、組織内で発生する脅威と脆弱性に対処します。具体的には、内部脅威、パッチが適用されていないシステム、設定ミス、内部のセキュリティ プロトコルのギャップなどです。

どちらのアプローチも包括的なリスク管理には不可欠ですが、その範囲と焦点は異なります。EASMは公開された資産やシャドーITなど外部のリスクに対処する一方、IASMは内部のセキュリティの不備や特権アクセスに関連するリスクに対処します。

堅牢なサイバーセキュリティ戦略には、IASMとEASMの両方が必要です。IASMは内部環境の保護に役立つ一方、EASMによって外部のフットプリントを常に監視し、新たな脅威から保護することが可能です。包括的なリスク管理アプローチを確立するには、内外両方の脆弱性に対処し、侵害のリスクを軽減しながら運用上のレジリエンスを確保できるよう、両方の機能を組み込む必要があります。

サイバー資産アタック サーフェス管理(CAASM)

サイバー資産アタック サーフェス管理(CAASM)は、デバイス、アプリケーション、クラウド環境、ユーザー アカウントなどの内部資産に対する高度な可視性と制御に重点を置いています。EASMが外部公開された攻撃対象領域に焦点を当てているのに対し、CAASMはセキュリティ部門による内部ネットワークの脆弱性の特定、監視、管理を支援します。これらのアプローチを組み合わせることで、組織のリスク エクスポージャーを包括的に把握し、外部の脅威と内部の弱点の両方に対処できるようになります。

CAASMをEASMと併用することで、内部資産と外部資産の管理のサイロ化を解消し、統一されたセキュリティ戦略を策定できます。この2つの活用により、リスクをプロアクティブに軽減し、攻撃ベクトルを封じながら、新たな脅威に迅速に対応することが可能です。この組み合わせは、外部からの攻撃を軽減するだけでなく、内部インフラを継続的に監視、保護する、堅牢なセキュリティ態勢の維持に欠かせません。

サイバーセキュリティにおけるEASMの未来

組織の規模拡大とデジタル化に伴い、攻撃対象領域は進化し、より複雑で保護が難しくなっています。では、絶えず変化するサイバーセキュリティ環境において、EASMは今後どうなっていくのでしょうか。ここでは、この分野の未来を形作る5つの動向を紹介します。

自動化による脅威検出

攻撃対象領域の拡大に伴い、脅威検出の自動化は必須となっています。複雑化する攻撃対象領域をより適切に管理するためには、AI活用型のセキュリティ ツールへの投資の強化を検討する必要があります。手動プロセスでは外部脅威の規模に対応しきれないため、このような方針転換が非常に重要です。

より広範なリスク管理プラットフォームとの統合

EASMは、統合リスク管理ソリューションとの統合が進んでおり、これによって攻撃対象領域のリスクを全体的なビジネスへの影響と関連付けることができます。この統合は、技術的な重大度だけでなくビジネス コンテキストに基づいて意思決定を行う、リスクベースのセキュリティという大きな流れに合致しています。

クラウドとサードパーティーのエコシステムの拡大

クラウド サービスやサードパーティー ベンダーへの依存の拡大によって、外部攻撃対象領域は再定義されています。その結果、サードパーティーのリスクをリアルタイムで可視化、評価するEASMツールが不可欠になりつつあります。

リアルタイムの継続的な監視の重視

組織の外部攻撃対象領域全体で資産と脆弱性を常に可視化する必要性が高まっています。IBMのCost of a Data Breach Report 2024によると、データ侵害の3分の1はシャドー データに関連しています。つまり、全体としてデータ保護はいっそう難しくなっているのです。これに対応するには、戦略を調整する必要があります。

リスクベースの意思決定の優先順位付け

EASMの未来は、リスクベースのセキュリティ フレームワークにあります。外部攻撃対象領域が拡大するなかで、組織はビジネスへの潜在的な影響に基づいて脆弱性の優先順位付けを行っています。今後、組織はリスクベースの脆弱性管理を採用し、事業継続性に最も重大な影響を与える脅威に焦点を当てるようになるでしょう。

Zscalerのソリューション

Zscalerは、外部攻撃対象領域を自動で分析するWebベースのスタンドアロン ツールとしてEASMを提供し、以下のような機能を通じて組織を支援します。

• インターネットに接続された資産に関する脅威の傾向とエクスポージャーをほぼリアルタイムで検出
• 脆弱性の深刻度を評価
• それらをアプリケーション資産とサーバーに継続的に直接マッピング

Zscaler EASMが提供する広範なオープン ソース インテリジェンス(OSINT)と、Zscaler ThreatLabzの高度な脅威インテリジェンスを組み合わせることで、NISTのNational Vulnerability Database (NVD)でCVEとして公開される前に脆弱性を発見することができます。Zscaler Zero Trust Exchangeプラットフォームは、世界最大のインライン セキュリティ クラウドを活用しており、一部のお客様で発見された新たな脅威のフィンガープリントを取得し、すべてのお客様に保護を拡大することができます。

Zscalerの各ソリューションとEASMの相乗効果

• エクスポージャーの修復：EASMで取得したデータをZscaler Private Accessと組み合わせることで、サポート切れや変更による不具合のリスク、アップタイム要件などのためにパッチを適用できない場合でも、OSとアプリケーションを効果的に保護できます。
• フィッシング ドメインの事実上の無力化：EASMによる類似ドメイン検出によって、悪意のあるWebサイトを特定できます。こうしたサイトでは、組織のブランドが悪用され、タイポスクワッティングやフィッシングによる資格情報の収集が行われている可能性があります。検出結果とZscaler Internet Accessを組み合わせることで、URLフィルタリング ポリシーを作成し、攻撃者がホストするサイトへのアクセスをブロックできます。
• ゼロトラスト プロジェクトの健全性管理：ZTNA採用後に従来のシステム(VPNコンセントレーターなど)の停止状況を検証することは、ゼロトラスト ネットワーク アクセス(ZTNA)プロジェクトの重要なフェーズの一つです。EASMは、インターネットへの公開状況を継続的に表示します。この機能により、これらの資産の使用停止による攻撃対象領域の最小化を確実に実現し、ゼロトラストの核心的メリットを担保します。
• 広範なリスク管理：EASMは、多面的なリスク管理を行うZscaler Risk360にデータを供給する役割を担います。すべての脅威の発生源(内外の攻撃対象領域、インライン トラフィック、アウトオブバンドのAPIなど)からのシグナルが1つのビューに集約され、ガイド付きの調査ワークフローと優先順位付けされたアクションにより、侵害を予防します。
• 競争優位性：EASMから得たインサイトを武器にして、進化する脅威の一歩先を行き、顧客データの安全性に関する安心材料を提供できます。また、EASMはM&Aのデュー デリジェンス業務を自動化するための強力なツールにもなります。

Zscalerのソリューションは、攻撃対象領域を削減し、ラテラル ムーブメントを排除しながら、アプリケーションをインターネットに対して不可視化します。Zscalerのエキスパートによるデモを依頼して、その仕組みをご確認ください。