かつて、セキュリティ境界という概念は単純なものでした。つまり、社内ネットワークの「壁」を守れば安全だ、というものでした。しかし、そのような境界はもはや存在しません。クラウドサービスの利用、リモートワークの推進、外部ベンダーへの依存度の高まりなど、現代の企業の働き方の変化により、境界線を明確に定義し、管理することがはるかに困難になっています。
その結果、外部攻撃対象領域はサイバーセキュリティにおける新たな最前線となっています。これには、攻撃者が発見し悪用し得るあらゆる公開資産が含まれ、それが自社組織のものか、サプライチェーン内のサードパーティベンダーのものかを問いません。
サイバー境界のこの変化は、組織にとって差し迫った課題をもたらしています。それは、直接管理していないものの、依然として責任を負わなければならない対象を、いかにして保護すべきか、という問題です。
外部攻撃対象領域とは何か?
外部攻撃対象領域とは、攻撃者がネットワークの外部から確認、スキャン、標的とすることができるすべてのものを指します。内部システムとは異なり、これらの資産は(多くの場合意図せず)外部に公開されており、脅威アクターにとって最初の接点となります。
ファイアウォールからフットプリントへ――境界線の変遷
かつて、セキュリティチームはオンプレミスサーバー、ユーザー端末、社内ファイアウォールといった明確な境界線を引くことができた。しかし、クラウド移行、ハイブリッドワーク、そしてSaaSプラットフォームの台頭により、そうした境界線は曖昧になってきている。
主な変更点は以下の通りです:
- クラウドインフラストラクチャ:AWS、Azure、GCPなどのサービスは、動的な資産をもたらしますが、その多くは設定ミスが発生しやすいものです。
- リモートワーク:ホームネットワークや個人用デバイスの普及により、外部からのアクセスポイントが増加しています。
- サードパーティとの連携:ベンダーは、自社のインフラストラクチャに伴うリスクを貴社のエコシステムに持ち込むことになります。
今日、攻撃者が目にしてアクセスできる範囲は、企業の内部境界をはるかに超えています。
現代の外部攻撃対象領域の構成要素
順を追って見ていきましょう。現代の組織の対外的な存在感を構成する主な要素は以下の通りです:
| コンポーネント | 説明 |
| ドメインとサブドメイン | 一般公開されているWeb資産は、しばしば見落とされたり、放置されたりしがちです |
| クラウドストレージとバケット | 設定ミスのあるクラウド環境(例:公開されたS3バケット) |
| WebアプリケーションとAPI | 脆弱性を含む可能性がある公開インターフェース |
| IPアドレスとポート | 開いているポート、パッチが適用されていないサーバー、およびスキャンに対して脆弱な未使用のサービス |
| 証明書とDNSレコード | 攻撃者が悪用しうる、有効期限が切れた証明書や古いDNSエントリ |
| ベンダーのインフラストラクチャ | 第三者 所有であるが、 貴社の事業運営に関連する資産 |
| シャドーIT | IT部門の監督なしに作成された、承認されていないSaaSやデバイス |
これらの各要素は、特に管理が行き届いていない場合、設定ミスがある場合、あるいは単に放置されている場合、攻撃対象領域を拡大させてしまいます。
多くの場合、組織はこうした資産が攻撃者に丸見えになっていることに気づいてさえいない。それこそが、これらを非常に危険なものにしている理由だ。
なぜ従来の内部統制だけでは不十分なのか
セキュリティツールは長い間、ネットワーク内部の保護に重点を置いてきました。具体的には、エンドポイント検知、メールフィルタリング、ファイアウォール、アクセス制御などです。しかし、攻撃者はまず内部への侵入を試みるのではなく、外部からすでに確認できる情報をスキャンしているのです。
外部資産を監視範囲から除外してしまうと、従来の内部統制では検知も防御もできない死角が生じてしまいます。
境界中心型セキュリティモデルの盲点
現代の脅威環境において、境界防御型のセキュリティが不十分である理由は以下の通りです:
- 外部資産は必ずしもすべて把握されているわけではありません。多くの組織では、公開されているドメイン、クラウドサービス、IPアドレスの完全なリストを保有していません。
- ベンダーのインフラは自社の管理外にある――サードパーティがリスクをもたらす場合でも、多くの企業はその資産を監視することができない。
- 内部統制では表面的な脆弱性は検出できない――開放されたポートや有効期限が切れた証明書といった設定ミスは、内部ツールでは決して検出されない可能性がある。
- 脅威インテリジェンスは既知のシグネチャに限定されている――ほとんどの社内システムは既知の脅威のみを検知し、新たに発生している外部からのリスクは検知できない。
つまり、存在すら知らないものを守ることはできないのです。
攻撃者が、あなたの目に見えない部分をどう悪用するか
攻撃者は、ペネトレーションテスターと同じツールを使用しますが、その意図ははるかに悪質です。彼らが外部への脆弱性をどのように悪用するか、以下に説明します:
- Shodan、Censys、Masscan などの自動化ツールを使用して、開いているポートや脆弱性のあるサービスをスキャンする
- 有効期限が切れたSSL証明書、サブドメインの乗っ取り、および忘れられたDNSレコードへの対策
- サードパーティベンダーを経由して、下流のデータやシステムにアクセスする
- 侵害された外部システムから認証情報を収集し、それをクレデンシャルスタッフィング攻撃に利用する
Slingが外部攻撃対象領域をどのように保護するか
多くの組織が失敗するのは、サイバーセキュリティのリスクを認識していないからではなく、可視性が欠如しているからです。特に、自社が所有していないものの、依存している資産、例えばサードパーティによって管理されている資産に関しては、その傾向が顕著です。
Slingは、この課題を解決するために特別に開発されました。攻撃者が何を見ることができるかを継続的に監視し、悪用される前に、自社およびベンダーの脆弱なインフラストラクチャに関する具体的な対策を講じられる情報を組織に提供します。
1. ベンダー所有資産の自動検出
Slingは、お客様のインフラストラクチャだけでなく、ベンダーの対外向け資産(忘れ去られたサブドメイン、開放されたポート、外部に公開されたクラウドサービスなど)もマッピングします。これにはベンダーの内部システムへのアクセスは不要です。これにより、攻撃者の目に触れる可能性のある要素を見逃すことはありません。
2. 継続的な外部モニタリング
Slingは継続的にスキャンを行い、新しいドメイン、再アクティブ化されたIPアドレス、有効期限が切れたSSL証明書などの変化を、発生した直後に検知します。これにより、攻撃者よりも先手を打って対応することが可能になります。
3. サイバー脅威インテリジェンス(CTI)
Slingは、各リスクに実世界の脅威の状況を反映させています:
- 攻撃者はこの資産をスキャンしているのでしょうか?
- ダークネットでは話題になっているのか?
- この脆弱性は最近悪用されたことはありますか?
5. 攻撃者の行動に基づく優先順位付け
Slingは、開いているポート、漏洩した認証情報、初期アクセスなど、悪用される可能性の高さに基づいて問題をランク付けします。
6. エコシステム全体におけるリスクの透明性
自社のデジタルフットプリントだけでなく、取引先の外部リスクについても可視化できるため、取引先からの開示や更新を待つことなく、リスクの検知、調査、対応を行うことが可能になります。
サイバーセキュリティチームが取り組むべき具体的な次の一手
外部からの攻撃対象領域を保護するには、特にサードパーティの資産が関与している場合、予防的かつ継続的、そしてリスクベースのアプローチを採用する必要があります。その始め方をご紹介します:
1. 外部の関与範囲を把握する(ベンダーを含む)
公開されているすべての資産について、包括的な目録を作成する:
- ドメイン、サブドメイン、およびクラウドサービス
- IPアドレスと開いているポート
- 貴社と連携するベンダー所有のインフラ
Slingのような自動化ツールは、攻撃者がすでに把握している資産を特定することで、死角をなくします。
2. 継続的に監視する
外部環境は急速に変化します。以下の事項を検知するために、継続的な監視体制を構築してください:
- 新たに明らかになった資産、または再稼働したインフラ
- 証明書の有効期限切れ、開放されたポート、または設定ミス
- 取引先のデジタルプレゼンスの変化
これにより、攻撃者が新たな脆弱性を悪用する前に、早期の警告システムが機能します。
3. 攻撃者が最も狙いやすい対象に焦点を当てる
すべての脆弱性を修正しようとするのは現実的ではありません。重要なのは、どの脆弱性が悪用される可能性が最も高いかを把握し、それらを優先的に対処することです。
Slingは、技術的な深刻度だけでなく、実際の攻撃者の行動に基づいて外部リスクをランク付けすることで役立ちます。具体的には、次のような点を強調表示します:
- 攻撃者が積極的にスキャンを行っているサービス(例:公開されているRDPやSSHなど)
- 乗っ取られたり悪用されたりする可能性のあるサブドメイン
- 既知の認証情報漏洩に関連するベンダーのインフラストラクチャ
- 脅威アクターの活動やダークウェブの掲載情報に現れる資産
これにより、チームには明確な出発点が示され、影響の小さい問題に時間を浪費することを防ぐことができます。
4. 明確な期待事項を提示してベンダーと連携する
サードパーティによるリスクを自社のリスクの一部として捉える。以下の取り組みにより、ベンダー管理を強化する:
- リスク対応に関する契約上の要件の設定
- 曝露報告書の共有と、速やかな是正措置の徹底
- 経時的なパフォーマンスの追跡
Slingは、このプロセスを具体的な行動に移すために必要な可視性を提供します。
5. 脅威インテリジェンスを活用して適切な対応を講じる
脅威インテリジェンスをセキュリティワークフローに組み込み、緊急度を判断します。例えば:
- この資産は、現在進行中の攻撃キャンペーンに関連するものですか?
- スキャナーによってインデックス登録されたり、ダークウェブのマーケットに掲載されたりしていますか?
Slingは調査結果に実世界の文脈を付加することで、チームが重要な部分に集中できるようにします。
セキュリティチームは往々にしてネットワーク内部の状況に注力しがちですが、今日の攻撃の多くはそこからは始まっていません。攻撃は、外部から見える部分――忘れ去られたサブドメイン、ベンダーのサーバー上の開放されたポート、あるいは使用されていないログインページに関連付けられた漏洩した認証情報――から始まります。これらは些細な隙に過ぎませんが、攻撃者にとってはそれだけで十分なのです。
これは単にスキャン回数を増やすことだけではありません。組織やベンダーが知らず知らずのうちにさらしているリスクを可視化することが重要なのです。外部からの攻撃対象領域をリアルタイムで追跡していないなら、すでに遅れをとっています。Slingは、攻撃者にその隙を突かれる前に、その可視化のギャップを埋めるお手伝いをします。