ASM製品の具体的な活用：第3回 ASM製品とラックナレッジの統合

この連載では、ASM製品の活用や脆弱性診断サービスとの使い分けについて、実際の製品で得られる情報や診断サービスの調査内容に触れつつ、3回に分けてご紹介します。

第2回では、ASM製品と脆弱性診断サービスの調査方法や調査結果の違い、脆弱性診断サービスを検討すべき場合について説明しました。

ラックは長年にわたって脆弱性診断サービスを提供してきた、豊富なナレッジを保有しています。このナレッジは、ASM製品の調査結果にも活用できます。

ただし、現時点では調査結果とナレッジを自動的に紐づける仕組みは整備されていません。それでも、ラックのナレッジをASM製品でも利用したいという要望は多く寄せられており、現在も実施可能なサービス内容を検討しています。最終的には、このナレッジを統合プラットフォームとして整備し、お客様からの問い合わせ対応や課題管理など、ASM運用に関する様々な情報を一元管理することを目指しています。

さて、連載の最終回となる今回は、現在社内で検討中の、ASM製品向けとなる診断ナレッジの統合プラットフォームサービスについてご紹介します。

ラックが保有しているナレッジとは

まず、ラックが保有するナレッジについて説明します。

ラックは1995年から正式に脆弱性診断サービスを提供しており、現在では年間で約25,000のシステムを診断対象としています。この豊富な実績を通して、様々なシステムにおける脆弱性の発見傾向や、攻撃を受けやすいポイントといった情報を数多く蓄積しております。

具体的なナレッジとしては、以下の表のようなものがあります。

脆弱性名	検出された問題点の名称
リスクレベル	ラックの知見に基づき、被害の大きさや攻撃の容易さ等から3段階に脅威度を判断
問題点と影響	問題点の概要と、セキュリティ事故が発生した場合の影響や見解
対策方針	問題点やリスクレベルからどのように対策を講じるべきかという見解

今回ご紹介するサービスは、この豊富なナレッジをASMの調査結果と連携させ、ASMの活用の幅を広げることを目的としています。

ASM製品向けサービスについて

それでは、現在検討中のASM製品向けサービス（以下、ASMプラットフォーム）について説明します。今回説明するのは、2024年7月時点で検討中の内容です。本サービスの全体像としては、以下のような構成を検討しています。

ASMプラットフォームで検討している機能には、主に以下の2点があります。

• ①ASM製品の調査結果とラックナレッジの紐づけ
• ②作業、課題管理とラックへの問い合わせ

何故この2点を挙げているかというと、経済産業省が公開する「ASM（Attack Surface Management）導入ガイダンス」では下記のようなプロセスの実行が求められていますが、「攻撃面のリスク評価」と「リスクへの対応」が多くの組織でスムーズに実施できていないという情報を得ているためです。

ASM製品では、「攻撃面の発見」から「攻撃面のリスク評価」を一連のプロセスとして自動的に実行しますが、特にASM製品導入初期には多くの問題が同じリスク評価値で報告されることがあり、どの問題から対処すべきか迷うことが少なくありません。

加えて、ASM製品では複数の問題について修正状況を管理する必要がありますが、これまで利用されたお客様では問題点の管理に手間がかかり作業効率が低下するという課題がありました。

そこで課題管理や作業状況の管理機能と合わせ、ラックのナレッジや専門スタッフとのコミュニケーションができるプラットフォームを提供することで、脆弱性管理やリスク対応をスムーズに進め、セキュリティ対策の向上を図りたいと考えています。それぞれの機能としては、以下のようなサービスを検討しています。

①ASM製品の調査結果とラックナレッジの紐づけ

ASM製品は、インターネット上で検出可能な資産と、その資産に存在する問題を調査します。しかし、ASM製品が発見した問題についての解説は画一的なものであり、国や地域、業種、対象サーバの提供サービスといった特徴を考慮したリスク評価や修正方法は提示されません。そのため、同じ評価値の問題が複数検出された場合、どの問題から優先して修正すべきかの判断が難しくなりがちです。

ラックでは、ASM製品の運用サポートサービスを提供しており、定期的なレポートや報告会を通じてアドバイスを行います。ただし、このサービスは検出されたすべての問題に対してナレッジを提供する体制ではなく、ラックのナレッジが更新された場合に通知する仕組みも備えていません。

ASMプラットフォームでは、ラックのナレッジをデータベース化し、ASM製品の調査結果と自動的に突合させることで、ラックのナレッジや評価を加味した対応方針を検討できる構成を考えています。また、このデータベースはラックのプラットフォーム診断等の情報をもとに随時更新されるため、報告会等を待たずに最新の情報を参照できる仕組みを議論しています。

また、過去にラックの診断サービスを利用していた場合には、その際に収集した資産情報をASMプラットフォームに登録し、より詳細なリスク評価を提供できるよう検討しています。

②作業、課題管理とラックへの問い合わせ

ASM製品を効果的に運用するためには、発見された問題を効率的に解消することが重要です。そのためには、対応順序の決定と対応状況の管理が不可欠ですが、ASM製品によっては対応状況の管理機能がないこともあります。

また、対応状況の管理ができる場合でも、ラックのナレッジやラックへの問い合わせまでをASM製品上で管理することまではできないため、それらは別途管理していただく必要があります。

ASMプラットフォームでは、対応状況や課題の管理についても、プラットフォーム上でチケットを発行する形で管理可能にする予定です。これにより、お客様側とラック側の双方が対応状況を把握し、課題や放置されている危険度の高い問題を確認できるようにすることを検討中です。また、対応方法や修正方針についても、ASMプラットフォームにてラックにご相談いただき、その履歴を管理できる仕組みも考えています。

診断サービスを利用した詳細調査へ

また、ASM製品だけでは問題が完全に調査できないと感じた場合や、より詳細な診断を希望される場合は、ASMプラットフォーム上でラックのプラットフォーム診断サービスを申請できるようにすることを検討しています。

さらに、診断サービスで得られたソフトウェアやバージョン情報、各資産の管理者の情報などもプラットフォーム上で管理し、継続的なリスク評価と対応に役立てられる仕組みを議論しています。

ASMプラットフォーム活用の目標

最終的にASMプラットフォームは、以下のような運用サイクルを実施できるようにすることを目的としています。

1. ASMで資産を見つける、継続的に外部評価する
2. 詳細調査が必要なリスクや重要アセットは定期的にプラットフォーム診断を実施する
3. リスクが確定したら修正などの対応を実施する
4. 対応に至るまでのラックとのコミュニケーションや、対応等の履歴をプラットフォームで管理する
5. その過程で得られた詳細バージョン、担当者、ミドルウェアなども併せて管理することで以降の継続的な評価に役立てる

現状では、ラックのナレッジを利用する際に都度お問い合わせいただくか、定期的な報告会が必要で即応性に欠けるため、ほぼ毎日更新されるASM製品のスピードには追い付いていません。ASMプラットフォームを構築することでラックとお客様の距離をより縮め、ナレッジをより手軽に利用いただける状態を目指しています。

おわりに

ASM製品は、ラックでもお問い合わせが増えている製品群です。背景には、サイバーセキュリティの最新トレンドとして「サイバーレジリエンス」という概念の登場等が考えられます。

サイバーレジリエンスとは、「IT資産に対する攻撃や侵害を予測し、耐え、被害から復旧する能力」とされています。サイバーレジリエンスが求められる理由には、近年のサイバー攻撃による被害規模や復旧コストの増加、さらにはサイバー攻撃自体の拡大が挙げられます。

サイバーレジリエンスを実現する方法の1つに、NISTが提唱するサイバーセキュリティフレームワークの実現が挙げられています。このフレームワークの第一歩はリスクの特定です。組織内の資産を把握し、どのような被害リスクや攻撃を受ける可能性があるかを把握し、攻撃に対する対策方針を決定しておくことが必要とされています。このリスク把握と、攻撃を受ける可能性を低減するソリューションとして、ASM製品は有効であると考えています。

ラックとしても、ASM製品をより効果的かつ効率的に運用するためのサービスを今後も検討していきますので、導入を検討される際や運用に課題がありましたらお気軽にご相談ください。最後に、一連のLAC WATCHとASMプラットフォームについて、下記のアンケートからご意見をいただけますと幸いです。