コラムアーカイブ

アタックサーフェスの意識調査に関する記事が公開されています。

https://japan.zdnet.com/article/35189761/

ポイント：
・アタックサーフェスとは、サイバー攻撃を受ける可能性のある攻撃点や経路
・クラウドやリモートワークなどIT環境の拡大と共にアタックサーフェスも拡大
・リスクの見落としや対策漏れを無くすためにアタックサーフェスの認識が重要

セキュリティにはアタックサーフェスという言葉があります。サイバー攻撃を受ける可能性のあるすべての攻撃点や経路のことです。具体的には、IT環境やシステムにおける外部との境界点、外部からの通信やリクエストの出入口やその経路や到達点があげられます。攻撃がやってくる方向や経路の意味でアタックベクターという言葉を使う場合もあります。

記事では、アタックサーフェスは、サイバー攻撃の起点となり、その先への侵入や別のサイバー攻撃の踏み台にされてしまう領域と解説されています。調査では「アタックサーフェスを完全かつ明確に定義している」と答えた回答者は国別統計で日本は34.6%（29か国中28位）と、日本は諸外国よりも低い結果になっています。

まだまだ耳にする機会が少ない言葉かもしれませんが、みんなでアタックサーフェスを理解して、適切にIT環境を守っていきましょう！

攻撃やIT環境が多様化している現在、ネットワーク機器やWebシステムなどサーバー側だけでなく、クライアント側で悪意のあるコンテンツやメールを受け取るブラウザやメーラーもアタックサーフェスと言えます。また、外部犯や内部犯など想定する攻撃者によってもアタックサーフェスは異なります。状況によっては、データセンターに設置したサーバーや離席時のPCなどへの物理的な接触もアタックサーフェスと考えられます。このように多様な発想が必要ですが、アクセスやデータの流れからアタックサーフェスを考えることは、どこへどんな攻撃が可能か攻撃者視点や思考で具体的に考える第一歩になります。

逆に、アタックサーフェスを明確に認識・定義していなければどういう事態が発生するでしょうか？

IT環境を守る側は、攻撃のリスクとその影響を想定して、どこまで対策を実施するか判断しなければなりません。アタックサーフェスを明確に定義できていないことは、そこにどのような攻撃が来るか想定できずにリスクの見落としや対策漏れにつながる可能性があります。また、IT環境・資産の把握漏れがあれば、アタックサーフェスを見逃すことになります。クラウドサービスやリモートワーク環境、スマートフォンやIoT機器の普及など、ここ数年の急激なIT環境の拡大によりアタックサーフェスも拡大していることを理解し、IT環境リストやサービスの利用状況などを常にアップデートしていく必要があります。

IT環境の運用上のセキュリティ対策だけでなく、システムの設計や開発においてもアタックサーフェスを考えることは重要です。2022年6月30日にデジタル庁が公開した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」P.17でもアタックサーフェスについて触れられています。以下は抜粋です。

システム設計において、アクセス制限やプラットフォーム（システムの基盤となる環境）上の不要なサービスの無効化で、アタックサーフェスとなる外部との接点減らしてリスクを回避したり、アタックサーフェスとなる外部インターフェース（外部からの入出力の接点）から入力された値が想定通りか検証することで、リスクを低減したりできます。これはシステムの企画や設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」の発想です。

アタックサーフェスを意識することで、攻撃者がどこにどのようにアプローチできるのか、それによりどのような被害が発生するのかを考え、そこからリスク・影響度をより具体的に考えることができ、適切な対策の実施判断につなげることができます。セキュリティ対策の策定や見直しなどの際に活用してみてください。