受動的インターネットスキャンデータの限界
従来のセキュリティチームは、外部に公開された資産の可視化を受動的なインターネットスキャンデータやサブスクリプション型データセットに依存してきました。しかし、これらのデータは静的なスナップショットであり、現代の動的なインフラ環境では急速に陳腐化します。
クラウド環境の目まぐるしい変化、開発チームによる新サービスの継続的なデプロイ、そして設定ミスは、受動的なスキャンが追いつかない速度で発生し、また消え去ります。その結果、受動的なデータのみに依存する組織は、しばしば古く不完全な情報に基づいて意思決定を行わざるを得ない状況に陥ります。
外部からの正確な防御的視点を維持するためには、日々検証が行われる継続的かつ自動化されたアクティブな偵察が不可欠です。
現代の攻撃対象領域:高速化、分散化、追跡の困難さ
過去の攻撃対象領域は比較的静的でした。ファイアウォール、数台の公開サーバー、少数のDNSゾーンといった構成で、発見と管理は容易でした。しかし、現代のインフラは状況を一変させています。
クラウドの導入はホスティングを分散させ、複数のプロバイダーと地域に資産を押し広げました。迅速なデプロイメントサイクルは新しいサービス、コンテナ、エンドポイントを導入し、開発チームの実験、テスト、自動化によって資産の拡大が静かに進行します。
マーケティングキャンペーン、SaaSツール、ベンダーホスト型環境、未管理のサブドメインなどから生じる「シャドーIT」も問題です。わずかな変更であっても、誤ったDNSレコード、期限切れのTLS証明書、忘れられた開発インスタンスなどが重大な露出を生み出す可能性があります。
これらの変化は絶えず発生するため、継続的に更新されない可視化は常に現実と乖離します。攻撃対象領域が毎日変化するならば、その可視化も同等の速度で対応する必要があります。
受動的データが現代のセキュリティチームに通用しない理由
受動的なスキャンデータは、現代のセキュリティチームにとって多くの課題を提示します。
- 陳腐化した発見:受動的スキャンデータはすぐに古くなり、新たな露出が見逃される一方で、既に解消された問題が報告されることが頻繁にあります。
- コンテキストの欠如:所有者、根本原因、影響、環境認識などの情報が不足しており、セキュリティチームは効果的な優先順位付けができません。
- 見逃される一時的な資産:短期間だけ存在する一時的なテストサービスや自動スケールされたクラウドノードなどは、定期的な受動的スキャンではほとんど捕捉されません。
- 重複または無関係なアーティファクト:古いDNSレコードや再割り当てされたIPスペースなど、現在の環境を反映しないデータが多く含まれ、手動での選別作業が多大な時間を浪費させます。
継続的な偵察とは何か(そしてそうでないもの)
継続的な可視性は、外部からの露出を自動的に検証する反復的で制御された偵察に依存します。これには以下の要素が含まれます。
- 新たに公開されたサービスの検出
- DNS、証明書、ホスティングの変更の追跡
- 新しい到達可能なホストの特定
- 新規または未知の資産の分類
- 現在の露出と設定状態の検証
これは「エクスプロイト」や「侵入的な行動」ではありません。防御のために構築された、安全で自動化された列挙です。
インフラストラクチャが変化するにつれて、継続的な偵察もそれに合わせて変化します。新しいクラウドリージョン、新しいサブドメイン、新しいテスト環境が攻撃対象領域に出入りしても、手動での更新は不要で自動的に対応します。
継続的な可視化が明らかにする受動的データでは捉えきれないもの
継続的な可視化は、受動的なデータでは見過ごされがちな重要な情報を明らかにします。
- 新規露出サービス:忘れられたステージングサーバーのオンライン化、開発者によるテスト目的のRDPやSSHの開放、公開されたS3バケットなど、突発的かつ意図しない露出を攻撃者よりも早く捕捉します。
- デプロイメント中の設定ミス:証明書の誤適用や期限切れ、デフォルト設定の復元、予期せぬポートの開放など、迅速なデプロイメント中に発生する微妙なエラーを即座に特定します。
- シャドーITと不正資産:マーケティング用ウェブサイト、ベンダーホスト型サービス、サードパーティのランディングページ、未管理のSaaSインスタンスなど、従来の資産管理の範囲外にある公開資産を特定します。
- リアルタイム検証:継続的な偵察は、発見された情報が今日の攻撃対象領域を正確に反映していることを保証し、無駄な労力を劇的に削減し、意思決定の精度を向上させます。
偵察を意思決定に繋げる
継続的な偵察は、単なる情報収集にとどまらず、セキュリティチームがより効果的な意思決定を行うための基盤を提供します。
- 検証による優先順位付け:検証され最新の発見に基づき、セキュリティチームは最も差し迫ったリスクを自信を持って特定し、優先順位を付けられます。
- ノイズのないトリアージ:陳腐化、重複、無関係な発見がアナリストのキューに到達する前に除去されるため、効率的なトリアージが可能です。
- 明確な所有権パス:正確な帰属情報により、問題はエンジニアリング、クラウド、ネットワーキング、マーケティング、または特定のアプリケーションチームなど、適切な内部グループに迅速にルーティングされます。
- アラート疲労の軽減:未検証のスキャンエントリに埋もれることなく、セキュリティチームは実際の、行動可能な問題に集中できます。
Sprocket Securityのアタックサーフェスマネジメント(ASM)へのアプローチ
Sprocket Securityは、そのASMフレームワークを通じて、企業が攻撃対象領域を効果的に管理できるよう支援します。
- 大規模な日常偵察:外部フットプリント全体で自動的かつ継続的なチェックを実行し、露出が数時間または数分しか存在しない場合でも、出現と同時に発見・検証します。
- 行動可能な発見:各発見は分類、検証、帰属、優先順位付けされます。これにより、情報の過多なく、明確さ、コンテキスト、影響が保証されます。
- ASMからの推測の排除:検証され、コンテキスト化された発見は、「何が変わったのか」「なぜそれが重要なのか」「どの程度深刻なのか」「誰が所有しているのか」「どのような行動を取るべきか」をチームに明確に伝えます。これにより、曖昧さが排除され、問題解決までの時間が短縮されます。
攻撃対象領域を効果的に管理するために
組織が攻撃対象領域の包括的な監視を確実にするための方法はいくつかあります。
- 正確な資産インベントリの維持
- 継続的な監視の実装
- リスクに基づいた脆弱性の優先順位付け
- 可能な限りの自動化
- システムの定期的な更新とパッチ適用
現代のセキュリティが求める継続的な可視性
現代の攻撃対象領域は絶えず進化しており、静的で受動的なデータセットではもはや追いつくことができません。新たな露出に先行し、容易に回避可能なインシデントを防ぐためには、環境の実際の状態を反映する継続的かつ自動化された偵察が不可欠です。
受動的なデータのみに依存することは盲点を生み出しますが、継続的な可視性はその盲点を解消します。組織がインフラストラクチャを近代化し、デプロイメントサイクルを加速するにつれて、継続的な偵察は攻撃対象領域の健全性、優先順位付け、そして現実世界のリスク削減の基盤となります。