4.1 ASMツールに求める機能 #
本節では「本ドキュメントでのケース設定」に対応する形でASMツールに求められる機能を説明します。なお、ASMツールは提供する企業(セキュリティベンダ)によって機能や内容が多岐に渡るため、本節では多くのASMツールに共通するコア機能である「IT資産の発見」機能、「脆弱性情報含むIT資産の付加情報収集」機能、そして「IT資産のリスク評価」機能を説明し、最後にASMツールによって実装有無が異なるその他機能を説明します。
IT資産の発見 #
インターネットに公開されているIT資産を自動的に収集します。
本機能では、組織名を起点としたドメイン特定や、ドメインを起点としたFQDN特定を行います。また、特定したFQDNから紐づくIPアドレスも併せて特定します。本機能により、従来の管理方法では管理から漏れていたIT資産を把握することができ、管理が行き届いていないシャドーITを特定することができます。
ASMツールが発見できるIT資産の一例を以下に示します。
| 資産の種別 | 説明 |
|---|---|
| ドメイン | 組織が保有するドメイン名。ASMツールでは、ドメイン取得代行サービス経由で取得したドメインや、自組織で取得したドメインを特定します。 |
| FQDN | 組織が運用しているWebサーバーやメールサーバー等に割り当てられたホスト名。ASMツールでは、正規サービスに利用されているFQDNの他、キャンペーン等で一時利用され、その後の管理が不十分なFQDNや、本来インターネットに公開すべきではないテスト・ステージング用のFQDN等を特定します。 |
| IPアドレス | 組織が保有するFQDNに紐づくIPアドレス。ASMツールでは、FQDNを特定した後、これに紐づくIPアドレスも特定します。 |
なお、ASMツールによっては、IT資産発見の起点が異なる場合があります。あらかじめ利用者にドメイン名を登録させ、これを起点にFQDNを収集するASMツールもあれば、利用者が登録した組織名を起点にドメイン名を特定し、これを基にFQDNを特定するツールもあります。
このように、事前に登録する情報によってASM運用が変わるため、ASMツールの導入を検討する際は、自組織の運用やリソースと照らし合わせて最適なASMツールを選定する必要があります。
脆弱性情報含むIT資産の付加情報収集 #
IT資産のリスク評価を行うために必要な情報を収集します。
本機能により、IT資産が安全な状態なのか、または攻撃を受ける可能性が高い状態なのか、管理が行き届いていないのか等、IT資産のリスク評価を行うための情報を得ることができます。
以下、ASMツールが収集できるIT資産の付加情報例を示します。
| IT資産の付加情報 | 説明 |
|---|---|
| オープンポート | IT資産で有効になっているサービス(ポート) |
| ソフトウェア名・バージョン情報 | IT資産で稼働しているソフトウェア名やバージョン情報 バナー情報や(IT資産がWebサーバーであれば)URL内のファイル拡張子を基に特定 |
| サーバー証明書 | IT資産で使用されているサーバー証明書 |
| 暗号設定 | IT資産の暗号設定(暗号プロトコル、暗号スイート) |
次に、ASMツールは上記の付加情報を分析し、IT資産のリスク評価を行うための情報を特定します。
| リスク評価のための情報 | 説明 |
|---|---|
| 脆弱性情報 | 特定したソフトウェア名・バージョン情報から、当該ソフトウェアに関連する脆弱性情報(CVE)をNIST NVD(National Vulunerability Database)やCISA Vulnrichment等の脆弱性データベースから収集 |
| 設定不備情報 | 特定したIT資産の付加情報から、攻撃に悪用され得るポートの有無やサーバー証明書の不備(有効期限切れや自己署名証明書等)、暗号設定の不備(HTTPSの未使用や脆弱な暗号アルゴリズムの使用等)、サーバー設定の不備(ディレクトリインデックスの有効化、機微情報が公開状態になっている等)を特定 |
IT資産のリスク評価 #
IT資産のリスク評価を行います。
上記で特定したリスク評価のための情報を基に、IT資産のリスク評価を行います。評価結果の提示方法はASMツールによって異なりますが、例えば「High、Medium、Low」のようにリスク度合いに応じた段階的評価で提示する場合が一般的です。これにより、ASMツールの利用者は一目で自組織のIT資産が攻撃を受け得る危険な状態なのか、または安全な状態なのかを把握することができます。
なお、リスク評価はASMツール独自の基準で行うことがあります。脆弱性情報のみで評価を行うツールもあれば、設定不備情報も加味して評価を行うツールもあります。このため、ASMツールを導入する際は、自組織が求めるリスク評価基準と照らし合わせて最適なASMツールを選定する必要があります。
その他の機能(運用をサポートする機能等) #
これまでは、多くのASMツールに共通するコア機能を説明しました。ここからは、ASMツール毎に異なる特色のある機能を説明していきます。
前章でも述べたように、ASM運用はツールを入れて終わりではありません。ASMツールを適切に運用し、発見されたIT資産や脆弱性に対処することが求められます。しかし、ASMツールを使用すると大量のIT資産や大量の脆弱性が発見されることがあり、これらを適切に処理していくためには多大なコストがかかります。そこで、多くのASMツールでは、ASM運用を円滑に行うためのサポート機能が実装されています。
以下にサポート機能の一例を示します。
| 機能 | 説明 |
|---|---|
| ダッシュボード機能 | 発見したIT資産や付加情報、脆弱性情報等をグラフやマップ等で視覚的に表示します。ASM全体の傾向や特定リスクの分布を一目で把握するのに役立ちます。 |
| 担当者の管理機能 | 発見したIT資産に担当者を紐付けて管理することで、IT資産の担当者(管理者)を明確にします。これにより、脆弱性が発見された際の対応指示先が明確化され、迅速な脆弱性対応が可能となります。 |
| タスク管理機能 | 脆弱性や設定不備の対応は指示を出して終わりではなく、対応状況を追跡し、正しく対処されたか確認する必要があります。対応状況をタスクとして管理することで、誰がどの脆弱性に対応しているか、現在の対応状況、そして対応完了の判断を誰が下したのかを把握することが可能となります。 |
| IT資産の登録機能 | ASMツールは機械的にIT資産の発見を行うため、どうしても発見できないIT資産も存在し得ます。そこで、利用者が保持しているIT資産リストのインポートや手動登録する機能を提供することで、ASMツール上で管理できるIT資産のカバレッジを向上させることができます。 |
| コミュニケーション機能 | 発見されたIT資産や脆弱性、また脆弱性対応に関する情報を関係者と効率的に共有します。これにより、脆弱性の対応担当者や管理者間で迅速な情報伝達が可能となり、ASM運用を効率よく行うことが可能となります。 |
| レポート機能 | リスク評価レポートや発見したIT資産の一覧を生成・出力します。これにより、ASMのステークホルダー(社内メンバー、上司、顧客など)への報告やセキュリティ対策の計画が円滑に進みます。 |
| 通知機能 | 新たなIT資産や脆弱性が発見された際、IT資産の担当者や管理者に通知を送信します。これにより、重要な情報を迅速に共有することが可能です。通知は、Eメールやチャットシステムを通じて行われる場合があります。 |
| 外部連携機能 | ASMの結果を他のセキュリティツールや情報システム等と連携します。これにより、ASMツールが収集した結果を基に他ツールで分析やモニタリングを行うことで、より深い洞察を得ることができます。また、本機能があることで、ASMツール導入前から使用していたツールとの連携がスムーズになり、ASMツールを導入しやすくなるメリットもあります。 |
| 監査機能 | ASMツールの利用者による操作ログを収集・保存します。ASMツールには自組織のIT資産や脆弱性情報といった重要なデータが保管されているため、操作ログを記録することで操作履歴の追跡や監査が可能となります。 |
このように、ASMツールにはASM運用を円滑に行うためのサポート機能が備わっています。これらの機能を有効利用することで、ASM運用の課題解決や負荷を低減させることができます。