【ITニュース解説】サイバー攻撃の「狙い目」を知るために電源遮断する例も――NICT園田氏が語るアタックサーフェス管理の意義

現代のIT社会において、私たちの生活やビジネスは、システムとネットワークによって支えられている。利便性が向上する一方で、サイバー攻撃のリスクは日々高まっており、企業や組織にとってサイバーセキュリティ対策は喫緊の課題となっている。国立研究開発法人 情報通信研究機構（NICT）の園田道夫氏は、サイバーセキュリティの最前線で「いま、そこにある（サイバーの）危機」に対し警鐘を鳴らし、アタックサーフェス管理の重要性を説いている。

アタックサーフェスとは、サイバー攻撃者がシステムやネットワークに対して攻撃を仕掛ける可能性のある、すべての「入り口」や「接点」を指す。これは、組織がインターネット上に公開しているWebサイトやメールサーバー、VPN（Virtual Private Network）などのリモートアクセス経路、クラウドサービス、API（Application Programming Interface）といった直接的な接点だけではない。従業員が利用するスマートフォンやタブレット、IoT機器、さらには古いシステムや開発環境、提携先のシステムなど、組織の認識を超えて広範囲に存在する可能性がある。つまり、組織が自社のIT資産として管理しているものだけでなく、意図せず外部とつながっている部分や、過去に構築され現在は使われていないが稼働し続けているシステムなども、アタックサーフェスとなりうる。

このアタックサーフェスを正確に把握し、管理することは、サイバーセキュリティ対策の第一歩であり、最も重要な課題の一つである。攻撃者は常に組織の弱点を探しているため、自社の「狙い目」を特定し、そこを強化する必要があるからだ。もし、組織自身がどのような入り口や接点が存在するのかを把握できていなければ、そこが脆弱な状態であっても対策を講じることができない。アタックサーフェスが広ければ広いほど、攻撃を受けるリスクは高まる。そのため、不必要な接点は閉じ、どうしても必要な接点については徹底したセキュリティ対策を施すことが求められる。

アタックサーフェスの把握は容易ではない。多くの組織では、ITシステムが複雑化し、クラウドサービスの利用やテレワークの普及によって、その範囲はさらに拡大している。NICTの園田氏が言及する「サイバー攻撃の『狙い目』を知るために電源遮断する例」は、その困難さを示す極端な事例と言える。これは、組織が所有するシステムの一部、あるいは全体を意図的に物理的に停止させてみて、それでもなお外部からアクセス可能な経路が残っていないか、あるいは意図しない通信が行われていないかを確認する手法である。例えば、あるWebサービスを停止させたにも関わらず、特定のポートが開いたままになっている、あるいは別の経路でデータが流出しているといった事態を発見する目的で行われる。このような極端な措置が検討されるのは、通常の調査だけでは見つけられないような、隠れたアタックサーフェスが存在する可能性が高いことを示唆している。組織が認識している以上に、広範囲にわたる「攻撃されうる表面積」が存在している実態に対し、危機感を持って対処する必要があるということだ。

現在のサイバー攻撃は、従来のウイルス感染や単一のシステムへの侵入にとどまらない。国家が関与する高度な攻撃や、産業全体を狙うサプライチェーン攻撃、さらに社会インフラを標的とする攻撃など、その手口は巧妙化し、規模も拡大している。未知の脆弱性であるゼロデイ攻撃を悪用したり、正規のソフトウェアやサービスを悪用して侵入を試みたりするなど、従来のセキュリティ対策だけでは防ぎきれないケースも増えている。攻撃が成功すれば、企業は機密情報の漏洩、サービスの停止、多額の金銭的損失、さらには社会的な信用失墜といった甚大な被害を被ることになる。一度失われた信用を取り戻すのは容易ではない。

システムエンジニアを目指す者にとって、アタックサーフェス管理の視点は非常に重要である。システム開発や運用に携わるすべてのエンジニアは、自身が設計・構築・管理するシステムが、どのようなアタックサーフェスを持っているのか、どのようなリスクを抱えているのかを常に意識する必要がある。それは、単にセキュリティ担当者だけの役割ではない。システムの設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」の考え方を持ち、開発する機能や連携するサービス、利用するライブラリの一つ一つが、新たなアタックサーフェスとなりうることを理解するべきだ。常に攻撃者の視点に立ち、どうすればこのシステムを安全に保てるか、どうすれば攻撃の入り口を最小限にできるかを考えながら業務に取り組むことが、未来のIT社会を安全に支えるシステムエンジニアには不可欠である。