【ITニュース解説】How External Attack Surface Management helps enterprises manage cyber risk

現代の企業活動において、ウェブサイト、クラウドサービス、リモートアクセス環境など、インターネットに接続されたIT資産は事業継続に不可欠な存在である。しかし、ビジネスの急速なデジタル化に伴い、企業が管理すべきIT資産は爆発的に増加し、その範囲も複雑化している。特にクラウドサービスの普及やリモートワークへの移行は、従来のように社内ネットワークという明確な境界線で資産を管理することを困難にした。この結果、多くの企業が自社のIT資産の全体像を正確に把握できていないという課題に直面している。この管理の隙間こそが、サイバー攻撃者にとっての侵入口となり、企業を深刻なリスクに晒す原因となっている。

サイバーセキュリティの文脈で、攻撃者が侵入の足がかりとして利用できる可能性のあるIT資産全体を「攻撃対象領域（アタックサーフェス）」と呼ぶ。これには、企業が公式に運用しているウェブサーバー、メールサーバー、VPN装置、さらには利用している各種クラウドサービスなどが含まれる。攻撃者は、この広大な攻撃対象領域の中から、セキュリティ対策が手薄な一点を見つけ出して攻撃を仕掛ける。特に深刻な問題となるのが、企業のIT管理部門がその存在を把握していない「シャドーIT」と呼ばれる資産である。例えば、開発チームがテスト目的で一時的に構築したサーバーが、プロジェクト終了後も削除されずにインターネット上に放置されていたり、マーケティング部門がIT部門の許可を得ずに外部のウェブ分析ツールを導入していたりするケースがこれにあたる。これらのシャドーITは、公式な管理下にないため、セキュリティパッチの適用が漏れていたり、安全でない設定のまま放置されていたりすることが多く、攻撃者にとっては格好の標的となる。たった一つの管理外の資産が原因で、企業全体のネットワークに侵入され、大規模な情報漏洩や事業停止につながる危険性をはらんでいる。

こうした現代的な脅威に対応するため、「EASM（External Attack Surface Management）」、日本語では「外部攻撃対象領域管理」というセキュリティアプローチが重要視されている。EASMの最大の特徴は、従来のセキュリティ対策のように企業の内部ネットワークを守るという視点ではなく、社外にいる攻撃者と全く同じ視点から自社がインターネットにどのように見えているかを継続的に監視する点にある。これにより、自社が意図せず公開してしまっている情報や、これまで気づかなかったセキュリティ上の弱点を客観的に発見することができる。EASMは、主に「発見」「分析」「優先順位付け」「修復」というプロセスを通じて機能する。まず「発見」の段階では、インターネット全体を探索し、自社のドメイン名や組織名に関連するあらゆるIT資産を自動的に洗い出す。これには、公式に登録されたサーバーやドメインだけでなく、関連会社の資産や、忘れ去られた古いウェブサイト、さらには前述のシャドーITまで含まれる。次に「分析」の段階では、発見した個々の資産を詳細に調査する。どのような種類のサーバーソフトウェアが稼働しているか、そのバージョンに既知の脆弱性はないか、暗号化などのセキュリティ設定に不備はないかなどを評価し、具体的なリスクを特定する。続いて「優先順位付け」の段階では、特定された無数のリスクの中から、攻撃される可能性の高さや、万が一攻撃が成功した場合の影響の大きさを考慮して、対応すべき問題の優先度を決定する。これにより、限られたリソースを最も危険な脆弱性の修正に集中させることが可能となる。最後に「修復」の段階では、優先度の高い問題について、担当者が迅速かつ的確に対応できるよう、具体的な対策方法や修正手順に関する情報を提供する。

EASMを導入することで、企業は自らがインターネットに晒している攻撃対象領域の全体像を、正確かつ継続的に把握できるようになる。これにより、攻撃者に悪用される前に未知の資産や脆弱性をプロアクティブに発見し、先手を打って対策を講じることが可能となり、サイバー攻撃を受けるリスクを大幅に低減できる。また、膨大な数の潜在的リスクの中から、真に危険な問題に絞って対応できるため、セキュリティチームの業務効率を劇的に向上させる効果も期待できる。企業のデジタル資産がますます多様化し、その境界が曖昧になっていく今後のビジネス環境において、自社の「外からの見え方」を常に監視し、主体的にリスクを管理するEASMの考え方は、企業の規模を問わず、持続的な事業運営を支えるための不可欠なセキュリティ戦略となるだろう。