攻撃経路分析は、攻撃者がオンプレミス環境とクラウド環境を移動するために使用し得る経路を分かりやすく視覚化する方法です。攻撃者はこうしたさまざまな「経路」を利用して機密情報にアクセスし、脆弱な構成やリソースを悪用しようとします。大企業の規模になると、考えられる攻撃経路の数も膨大になります。
このデータを攻撃グラフ形式で調査することで、リスクをリアルタイムで理解し、侵害されたリソース間の関係と、それらがより広域なネットワークにどのように影響するかを特定することが容易になります。 この目的のために、多くのセキュリティチームが、攻撃経路の迅速な発見と修正に注力していると思います。 エクスポージャーのうち、推定75%は、攻撃者が悪用できないことがわかっています。
チョークポイントとは、潜在的な攻撃経路が集まる場所を指し、機密データや資産への主要なゲートウェイになりうる場所です。 チョークポイントが重要なのは、異常なアクティビティを特定し、何を調査すべきなのかが明確になる場所であることに由来します。 チョークポイントにおいてログを一元化し、ベースライン動作を設定しておけば、そこを通過するものが正常か正常でないかを知ることができます。
「攻撃経路」と似ており、定義や機能の点でも重複する用語は多数あります。そのような類似する用語をいくつか取り上げ、主な違いをご紹介します。
攻撃経路は、攻撃者が機密データにアクセスしたり、システムへのアクセスを利用して脆弱性を悪用するためにたどる具体的な経路をビジュアルで表現したものです。通常はグラフで表され、クラウドセキュリティソリューションがアカウントや関連サービスからすでに収集・分析しているデータからアクセスできます。その後、各攻撃経路のソース、ターゲットと重大度を伝達できるソリューションを選ぶのが望ましいでしょう。
攻撃ベクトルは、基本的に、攻撃者がシステムに侵入した箇所にあります。 そこから、攻撃者は目的の情報またはリソースへの攻撃パスをたどります。 たとえば、マルウェアには、トロイの木馬、ウイルス、ワームの3つの主要なベクトルタイプがあり、電子メールなどの一般的な通信を利用します。その他の典型的なベクトルには、認証情報の侵害、 ランサムウェア、フィッシング、クラウドの構成ミスの悪用などがあります。
攻撃可能領域とは、ネットワーク全体(オンプレミスとクラウド)で用いられる、脆弱性を突く攻撃ベクトル(侵入経路や手段)の総称です。攻撃ベクトルの一つひとつは小さくとも、こうしたエントリーポイントが数多く作られた結果、脆弱性が高まり、一般的なネットワークが攻撃可能領域として拡大する可能性が出てきます。攻撃可能領域には、攻撃者が機密性の高いアセットやデータにたどり着くまでの経路として使用する攻撃ベクトルも含まれます。
攻撃経路分析は、セキュリティチームがクラウド環境全体のリスクをリアルタイムで視覚化することに役立ちます。元々はネットワーク内で有用となるよう設計されたものの、–エントリーポイントとなる箇所が増え、被害が拡大する可能性を明らかにする中で、現在のネットワークにおける全体的な健全性も把握できるようになります。現状で組織とそのビジネスが比較的高いリスクにさらされているのか、実際には比較的安全な状態なのかが見えてきます。
攻撃経路の管理と分析の仕組みの例として、IDおよびアクセス管理(IAM)の概念を考えてみましょう。セキュリティチームが攻撃者の存在を事前に把握できない場合、攻撃者が無防備に移動できる環境では、実際にアカウント乗っ取りの危険はあるでしょうか。
ログイン認証情報が取得され、顧客情報や知的財産にさらにアクセスするために悪用されるリスクがあります。IAMシステムが侵害されて認証情報が盗まれた場合、攻撃者はあらゆるものにアクセスできるでしょう。その手順は以下のようになります。
こうした攻撃者の動きをいち早く察知したり、攻撃を開始する前に阻止するためには、以下が重要です。
攻撃経路分析は、ますます巧妙化する攻撃者の手法に先手を打つために重要なツールです。特定の局面では有益な構成や接続であっても、悪用されうる大きな脆弱性が存在する可能性があることをセキュリティ組織が把握する上で役立ちます。
攻撃経路分析は、攻撃経路のマッピングと識別のスピードを重視した総合的なクラウドセキュリティソリューションの一部として組み込むべきツールであり、順調な事業運営を進めつつネットワークを保護する最善の方法を可視化し、理解を深める上でも役立ちます。
分析のもつこうした性質からリスクの優先順位付けが可能となり、分析担当者の労力をどこに注ぐべきかを常に把握し、新たな脅威に対して積極的に行動を起こせるようになります。
セキュリティチームにとっての最大の利点は、攻撃経路分析によって可視化、脅威に対する対応の迅速化、リスクの優先順位付けが可能となることで、これまで以上に攻撃者の視点から考えられるようになることです。攻撃を見抜かれるリスクが高い場合、脅威アクターは素早く犯行に及ぶことを好みます。そのため、攻撃が仕掛けられる前に、攻撃経路内で考えられるある一定の手順を事前に判定しておく必要があります。
セキュリティ組織が考えられる経路を特定し、攻撃者が機密情報にアクセスするまでの過程で行う可能性のある水平展開について事前対応的に考え始めると、自社のネットワークの独自性、さらに脅威からそのネットワークを保護する最善の方法を真に理解できるようになります。
セキュリティチームや、技術的な知識が少なく、そうしたチームにセキュリティを任せるステークホルダーに対し、攻撃経路分析の具体的な使用例と分析を活用する機会の見極め方法について説明しておくことをお勧めします。