コラム

企業のサイバーセキュリティに不可欠な「アタックサーフェス」の特定...API、サブドメインなどの脆弱性評価を

2024年05月22日(水)18時50分

現代のサイバーセキュリティでは次のようなプロセスが必要になることを覚えておくべきだろう。

・発見:自組織の包括的なIT資産の発見と分類
・評価:アタックサーフェス(攻撃の対象となる脆弱性)の評価
・分析:ビジネスへの影響とリスクに基づいて脆弱性に優先順位をつける
・修復:脆弱性を修復し、結果を検証する

「偵察」でアタックサーフェスを特定し、脆弱性を評価する

サイバーセキュリティにおける重要な要素には、「偵察」の役割がある。偵察によって、標的となりかねないシステムやネットワークにある潜在的なアタックサーフェスを特定することができる。企業などのシステムの、アクセス可能なデータの調査、オープン・ポートやサービスのチェック、社内のスタッフや運用手順の学習など、さまざまな方法による情報収集が含まれる。

偵察と合わせて重要になるのが、脆弱性評価だ。企業にある脆弱性を評価することで、アタックサーフェスを評価し、優先順位を付けて効果的に修復する。このプロセスによって、潜在的なリスクを軽減するためにリソースを効率的に割り当てることができる。

そしてドメインから広がるサブドメインも攻撃対象になりやすいので、きちんと特定して管理することが大事だ。企業や組織のドメインから派生するサブドメイン(個別のURL群)までを特定してリスト化して、そこにアタックサーフェスがないかを調べる必要がある。

包括的な資産の発見と継続的な脆弱性評価を行えば、私たちは常に進化しているアタックサーフェスを常に認識できる。私たちの資産と脆弱性を完全に理解し、脆弱性を分析して、対応の優先順位を決める。そうすることでサイバー攻撃対応におけるリソースを効果的に配分し、最も重要な脆弱性から対処することができ、全体的なサイバーリスクを低減できるわけだ。

脆弱性に迅速に対処し、パッチ(修正)を適用することで、脆弱性が悪用されることでビジネスが中断する可能性を最小限に抑えることが可能になる。

言うまでもなく、現在、多くの企業や組織は、デジタル化が進んだシステムに依存しており、その流れはこれからも続くことになるが、そのシステムを守れるかどうかはビジネスの根幹を左右することになる。本気で対応することが、ビジネスを守ることに直結する。

まとめると、脆弱性管理は継続的なプロセスであり、継続的な注意と献身が必要である。脆弱性管理の基本をマスターすることで、潜在的な弱点を積極的に特定し対処することができ、最終的にサイバーリスク軽減の取り組みを強化し、攻撃対象領域を保護することができるのだ。

サイバーセキュリティの導入は現在、どんな組織にとっても不可欠になっているが、いまだに日本ではサイバーセキュリティにかける予算が少ないと感じている。企業関係者などはこうした監視・対象ソリューションの導入も真剣に検討すべきだろう。さもないと、内部の脆弱性に気が付かないまま脅威にさらされることになるからだ。

20250408issue_cover150.png
※画像をクリックすると
アマゾンに飛びます

2025年4月8日号(4月1日発売)は「引きこもるアメリカ」特集。トランプ外交で見捨てられた欧州。プーチンの全面攻撃リスクにさらされるヨーロッパは日本にとって他人事なのか?

※バックナンバーが読み放題となる定期購読はこちら


プロフィール

クマル・リテシュ

Kumar Ritesh イギリスのMI6(秘密情報部)で、サイバーインテリジェンスと対テロ部門の責任者として、サイバー戦の最前線で勤務。IBM研究所やコンサル会社PwCを経て、世界最大の鉱業会社BHPのサイバーセキュリティ最高責任者(CISO)を歴任。現在は、シンガポールに拠点を置くサイバーセキュリティ会社CYFIRMA(サイファーマ)の創設者兼CEOで、日本(東京都千代田区)、APAC(アジア太平洋)、EMEA(欧州・中東・アフリカ)、アメリカでビジネスを展開している。公共部門と民間部門の両方で深いサイバーセキュリティの専門知識をもち、日本のサイバーセキュリティ環境の強化を目標のひとつに掲げている。
twitter.com/riteshcyber

あわせて読みたい
ニュース速報

ワールド

原油先物は横ばい、米国の相互関税発表控え

ワールド

中国国有の東風汽車と長安汽車が経営統合協議=NYT

ワールド

米政権、「行政ミス」で移民送還 保護資格持つエルサ

ビジネス

AI導入企業、当初の混乱乗り切れば長期的な成功可能
あわせて読みたい
MAGAZINE
特集:引きこもるアメリカ
特集:引きこもるアメリカ
2025年4月 8日号(4/ 1発売)

トランプ外交で見捨てられ、ロシアの攻撃リスクにさらされるヨーロッパは日本にとって他人事なのか?

メールマガジンのご登録はこちらから。
人気ランキング
  • 1
    自らの醜悪さを晒すだけ...ジブリ風AIイラストに「大はしゃぎ」する人に共通する点とは?
  • 2
    8日の予定が286日間に...「長すぎた宇宙旅行」から2人無事帰還
  • 3
    中居正広は何をしたのか? 真相を知るためにできる唯一の方法
  • 4
    【クイズ】世界で最も「レアアースの埋蔵量」が多い…
  • 5
    ロシア空軍基地へのドローン攻撃で、ウクライナが「…
  • 6
    磯遊びでは「注意が必要」...6歳の少年が「思わぬ生…
  • 7
    「隠れたブラックホール」を見つける新手法、天文学…
  • 8
    【クイズ】アメリカの若者が「人生に求めるもの」ラ…
  • 9
    【クイズ】2025年に最も多くのお金を失った「億万長…
  • 10
    トランプが再定義するアメリカの役割...米中ロ「三極…
  • 1
    【クイズ】世界で最も「レアアースの埋蔵量」が多い国はどこ?
  • 2
    ロシア空軍基地へのドローン攻撃で、ウクライナが「最大の戦果」...巡航ミサイル96発を破壊
  • 3
    800年前のペルーのミイラに刻まれた精緻すぎるタトゥーが解明される...「現代技術では不可能」
  • 4
    ガムから有害物質が体内に取り込まれている...研究者…
  • 5
    中居正広は何をしたのか? 真相を知るためにできる…
  • 6
    テスラの没落が止まらない...株価は暴落、業績も行き…
  • 7
    自らの醜悪さを晒すだけ...ジブリ風AIイラストに「大…
  • 8
    一体なぜ、子供の遺骨に「肉を削がれた痕」が?...中…
  • 9
    「この巨大な線は何の影?」飛行機の窓から撮影され…
  • 10
    現地人は下層労働者、給料も7分の1以下...友好国ニジ…
  • 1
    中国戦闘機が「ほぼ垂直に墜落」する衝撃の瞬間...大爆発する機体の「背後」に映っていたのは?
  • 2
    「テスラ時代」の崩壊...欧州でシェア壊滅、アジアでも販売不振の納得理由
  • 3
    「さようなら、テスラ...」オーナーが次々に「売り飛ばす」理由とは?
  • 4
    「一夜にして死の川に」 ザンビアで、中国所有の鉱山…
  • 5
    テスラ失墜...再販価値暴落、下取り拒否...もはやス…
  • 6
    「今まで食べた中で1番おいしいステーキ...」ドジャ…
  • 7
    市販薬が一部の「がんの転移」を防ぐ可能性【最新研…
  • 8
    テスラ販売急減の衝撃...国別に見た「最も苦戦してい…
  • 9
    テスラの没落が止まらない...株価は暴落、業績も行き…
  • 10
    【クイズ】世界で最も「レアアースの埋蔵量」が多い…
トランプ2.0記事まとめ
日本再発見 シーズン2
CHALLENGING INNOVATOR
Wonderful Story