内閣の情報機関NISCで「データ漏洩」の可能性...自身の「脆弱性」を認識できていないことの恐ろしさ

2023年08月26日（土）14時21分

アタックサーフェス・マネジメントは、脅威インテリジェンスを補完する組織のセキュリティ戦略の一部として組み込まれる。どういうことかと言うと、企業や組織にある潜在的な脆弱性（セキュリティ上の穴）を特定し、サイバー犯罪者に悪用される前にそれらを軽減するための対策を実装するのである。

それを実現するには、まず企業や組織の資産（ネットワークに繋がったシステムやサーバ、データなど）をすべて包括的に評価して、脆弱性だけでなく設定ミスなどの内部のリスク要因を洗い出す。

アタックサーフェス・マネジメントに不可欠なもの

「エクスターナル・アタックサーフェス・マネジメント（外部攻撃対象領域管理）」も必要だ。Webアプリケーション、API、クラウド環境などすべての外部向けシステムと資産の分析である。その後、脆弱性を特定する攻撃対象領域の分析が行われる。

それによって問題を発見すると、ここからは少し専門的になるが、導入しているソフトウェアやシステムなどにある脆弱性へのパッチ（修正プログラム）を適用し、アクセス制御ポリシーを実施（ユーザーからのアクセスをコントロールする）するなど措置を行う。不正アクセスをテストで試行して監視することもある。

このアタックサーフェス・マネジメントのために脅威インテリジェンスは不可欠であり、そのコンビネーションが、サイバー攻撃者たちが不正アクセスなどを成功させるリスクを軽減する。ぜひこのアタックサーフェス（攻撃対象領域）・マネジメント（管理）は覚えていてほしい。

こうした対策が、政府系サイバー攻撃グループやサイバー犯罪者たちの脅威から、企業や組織、ひいては国家や国民の生命財産を守ることにつながるのだ。脅威がかつてなく複雑化・高度化している今、アタックサーフェス・マネジメントが注目されるのは必然だと考えられる。サイバー攻撃への対策も、攻撃者らの進化に伴って、レベルを上げていくことが不可欠だ。

この筆者のコラム

総選挙を前に「日本企業を狙った」サイバー犯罪がさらに活性化...特に「狙われる」業界とは？ 2024.10.19

ファイブ・アイズ情報長官が警告する「中国ハッカーの脅威」に並ぶ、イラン組織の危険度とは？ 2024.09.09

パリ五輪ではイスラエル選手の「個人情報」暴露も...様変わりする「ハクティビスト」攻撃の手段と目的 2024.08.22

ディープフェイクによる「偽情報」に注意を...各国で、選挙の妨害を狙った「サイバー工作」が多発 2024.06.08

企業のサイバーセキュリティに不可欠な「アタックサーフェス」の特定...API、サブドメインなどの脆弱… 2024.05.22

現代の国家の安全を守るカギ...「海洋インフラ」の重要性と、勝利に不可欠な「非キネティック能力」とは 2024.04.27

モスクワ銃撃テロの背景...サイバー空間で復活した「IS（イスラム国）」、脅威インテルで実態に迫る 2024.03.23

記事一覧へ

プロフィール

クマル・リテシュ

Kumar Ritesh　イギリスのMI6（秘密情報部）で、サイバーインテリジェンスと対テロ部門の責任者として、サイバー戦の最前線で勤務。IBM研究所やコンサル会社PwCを経て、世界最大の鉱業会社BHPのサイバーセキュリティ最高責任者（CISO）を歴任。現在は、シンガポールに拠点を置くサイバーセキュリティ会社CYFIRMA（サイファーマ）の創設者兼CEOで、日本（東京都千代田区）、APAC（アジア太平洋）、EMEA（欧州・中東・アフリカ）、アメリカでビジネスを展開している。公共部門と民間部門の両方で深いサイバーセキュリティの専門知識をもち、日本のサイバーセキュリティ環境の強化を目標のひとつに掲げている。
twitter.com/riteshcyber