セキュリティコミュニティ「WEST-SEC」

セキュリティ初心者の方でも参加できる「わかりやすい」セキュリティイベント、8割解けるCTFを開催しています。

セキュリティ診断

1.ポートスキャン

別途記載します。

2.Nessusによる脆弱性診断

スキャンあたりのIPアドレスが最大16ではあるが、無料で診断に利用できる。
https://jp.tenable.com/products/nessus/nessus-essentials
こちらに詳しく記載しています。
https://west-sec.com/entry/vulnerability

3.Webアプリ診断

Webアプリケーションの診断もできるが、見た感じだと、表面的なXSSの診断などしかしていない感じであった。
Nessusはあくまでもプラットフォーム診断であり、きちんとしたWebアプリケーション診断をするのであれば、有料の別のツールを使うか、無料であればOWASP ZAPなどを使うのがいいだろう。
以下、WebのフォームのログインURLや、ログイン情報を設定できる。設定は少し難しい。

4.ASM(Attack Surface Management)

4.1 ASMとは

(1)言葉の定義

・経済産業省の資料をもとに整理します。
https://www.meti.go.jp/press/2023/05/20230529001/20230529001-a.pdf
ASMは、p6より、「組織の外部(インターネット)からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」です。
・外部(External)に公開されているIT資産を調査することを強調する意味で、EASM(External Attack Surface Management)という場合もあります。
・NISTによる「attack surface」の定義は以下

The set of points on the boundary of a system, a system element, or an environment where an attacker can try to enter, cause an effect on, or extract data from, that system, system element, or environment.
【出典】https://csrc.nist.gov/glossary/term/attack_surface
(2)ASMが登場した背景

以下があると思っています。
・境界線防御からゼロトラストセキュリティの時代になっているように、会社の公開情報資産に関しても、クラウドを含めてあちこちに点在している。
 また、各部署が勝手にサーバを建てたり、特にクラウドサービスは用意に準備できるので、情報システム部に連絡することなく勝手に契約していたりする。
・攻撃者は海外のサプライチェーンを含め、セキュリティ対策が弱い所を探し、そこから侵入してくる。自社だけの診断をすればいいというわけではない。
(・ベンダの収益拡大のために開発された新サービス)

(3)脆弱性診断との違い

以下、経産省の資料のp11です。

・ASMのポイントの一つは、未把握の情報資産に関する情報を収集することです。
・また、インターネットから直接アクセスできる把握済みのIT資産に関しては、ASMでも脆弱性診断でも実施します。精度の差はあれ、ASMでもポートスキャンやサーバの情報を収集することで、脆弱性診断をします。つまり、この点は共通部分と言ってもいいかと思います。
・ただ、脆弱性診断は基本はIPアドレスベースで実施するので、情報システム部門などが把握しているサーバになります。自社ドメインで、ある部門が勝手に構築したサーバの診断をしようと思うと、ASMの領域になります。
・診断に関しては、脆弱性診断を実施したほうが有効です。以下、p10より

脆弱性診断では、対象となる IT資産に攻撃を模したパケットを送信し、その応答を評価して脆弱性を特定する。よって、⼀般的には脆弱性診断のほうが脆弱性特定の確度は⾼い。

・ASMの診断は比べて表面的。Nessusなどの脆弱性診断ツールにおいて、ノンクレデンシャルスキャン(エージェントを入れたり、SSHログインしてスキャンをしない、あくまでも外部からの診断)と、診断レベルは同じ?(★要確認)

(4)ASMでできること

❶把握していないIT資産、脆弱性の発見
経産省の資料のp8によると、以下の記載があります。

・情報システムを管理している部⾨が把握していない IT 資産を発⾒できること。
・情報システムを管理している部⾨の想定と異なり、公開状態となっている IT 資産を発⾒できること。

具体的に発見できる例として以下があります。
・管理していないサーバ
・不必要に開けられたポート
・脆弱性が残ったままのSSL-VPN装置
・サブドメインを使った管理していないシステム

❷リスクの可視化
リスクの度合いをスコア表示してわかりやすく可視化します。これはTenableなどの脆弱性診断では出ません。出ても、だからどう?って話ですが…。

以下、Tenable社の資料

(5)ASMの特徴

・ゼロタッチアプローチ
お客様が作業をする必要はなく、ドメインを伝えるだけで調査ができる。また、クラウドなのでサーバを用意する必要もない
・取引先やM&Aなどの買収予定の企業を診断することが可能
取引先のサーバに対して、勝手にツールで診断するのはよくないだろう。

(6)SRS(Security Rating Service)との違い

似たサービスとして、SRS(Security Rating Service)があります。
Bitsight、SecurityScoreCardなどが有名です。
違いを以下に整理します。

項目 ASM (Attack Surface Management) SRS (Security Rating Service)
主な目的 未把握の資産およびその脆弱性の把握 セキュリティ状態の格付けとリスク評価
視点 CISO 経営層や投資家
分析手法 インターネットに公開されている資産とその脆弱性 公開情報(OSINT)や過去のセキュリティインシデント
資産へのスキャン 実施する
(ポートスキャンの実施やHTTPヘッダなどを確認する)
(基本は)実施しない
利用者ケース 攻撃のリスクを軽減 取引先や投資先のセキュリティ体制を評価

以下にもわかりやすい記事があります。
https://gmo-cybersecurity.com/column/security-measures/srs/

4.2ASMの製品と料金

(1)製品

・以下の「The Forrester Wave: Attack Surface Management Solutions, Q3 2024」によると、CrowdStrikeやPaloAltoが上位にいます。少しさがっていますが、Tenableもあります。
https://reprint.forrester.com/reports/the-forrester-wave-attack-surface-management-solutions-q3-2024-fa1ae6b4/index.html
・CrowdStrikeのFalcon Surfaceは、イスラエルのReposifyを買収し、リブランドした製品。
・以下は、Risk Ratings Platformの市場です。ASMとどう違うのかは要確認です。
https://securityscorecard.com/resources/analyst-reports/the-forrester-wave-cybersecurity-risk-ratings-platforms-q2-2024/
・政府(NISC)は実施済ですが、実績はというと、まだまだこれからではないかと思う。

(2)料金

・脆弱性診断であれば、スポット費用での支払いをイメージされる人が多いと思います。ですが、けっこうな費用がかかります。
・Tenableの場合は、資産の数で費用がきます。資産はIPアドレスやホスト名などと考えてください。
・CrowdStrikeの場合は、最初は見つかったオンラインの資産でカウントした。今は社員数(EDRを契約している場合は契約しているセンサー数)です。※未知の資産も把握するからという理由でしょう。
この場合、系列の取引先を調べるなら、取引先の社員数もカウントして料金になるだろう。(ただ、申告ベースの様子)

4.3 仕組み

(1)企業側が提供すべき情報

ASMのサービスの事業者に対して、企業側は、最低限、企業名を提示します。Whois情報や公開情報があるので、企業名だけでもドメイン名やDNSサーバ等からIPアドレス情報なども収集できてしまうのです。
加えて、ドメイン名、IPアドレス情報等も提示すれば、あまり公にしていないドメインによるシステムや、ドメインにくくりつけられていないIPアドレスベースで行っているサービスも検査することができます。
ASM側では、すでに収集している情報と、提供されたドメイン名やIPアドレスをもとに、インベントリ情報(IPアドレス、サービス、ポート、プロトコル、ソフトウェアのバージョン、CVSSスコアなど)を作成します。

(2)どうやって調査するか ~ASM のプロセス

経産省の資料p7をもとに記載します。
❶攻撃⾯の発⾒

はじめに、企業が保有または管理している外部(インターネット)からアクセス可能な IT 資産を発⾒する。具体的には IP アドレス・ホスト名のリストが本プロセスのアウトプットとなる。⼀般的には以下のような⼿順で⾏われる。
i. 組織名をもとに、当該組織が管理者となっているドメイン名を特定する。これは、例えば社外に公開している Web サイトや WHOISを利⽤して特定する。
ii. i.で特定したドメイン名に対して、DNS による検索や、ツールなどを活⽤して IPアドレス・ホスト名の⼀覧を取得する。

また、合法的に得られる OSINT (Open Source Intelligence) の情報、SNS等の情報、場合によっては、ダークウェブの情報(★要確認)も収集します。

❷攻撃⾯の情報収集

(1)で発⾒した IT 資産の情報を収集する。このプロセスで収集する情報には、攻撃⾯を構成する個々の IT 資産における OS、ソフトウェア、ソフトウェアのバージョン、オープンなポート番号などがある。⼀般的にこのプロセスは、調査対象に影響を及ぼさないよう、Web ページの表⽰など通常のアクセスの範囲で⾏われる。

これに関して、Falcon Surfaceはマッパーという呼ばれているツールによりインターネットに公開されているすべてのポートとIPアドレスの一つ一つにポートノックを行い、そのポートにサービスがあるかどうかをチェックしているようです。1日約1回のポートノッキングによって、トップページやHTTPヘッダの情報、証明書の情報などを取得するようです。つまり、Nmapのようなポートスキャンを行っているのと同じです。
以下は、CrowdStrikeのFalcon Surfaceの場合に収集する情報です。

❸攻撃⾯のリスク評価

(2)で収集した情報をもとに攻撃⾯のリスクを評価する。⼀般的には、公開されている既知の脆弱性情報と、(2)で収集した情報を突合し、脆弱性が存在する可能性を識別する。
(3)これで何がわかるか

・DNSサーバから、未管理の公開Webサーバがないか
・空いているポート
・脆弱性
・SPFやDKIM,DMARCなどの送信ドメイン認証の状況

なので、たとえば、VPNの穴が開いていないかも調査可能。(NMAPでもわかるけど)

(4)結果のレポート

見つかる結果が多すぎます。どれを対処すればいいかわからないことも多いので、運用サポートが用意されています。

4.4 導入事例

・慶應義塾大学湘南藤沢キャンパス
https://static.tenable.com/marketing/case-studies/CaseStudy-Keio_University_Shonan_Fujisawa_Campus_jp.pdf?_gl=1*zukz36*_ga*NTk5MzY2MzQwLjE2ODg5NTQxNzA.*_ga_HSJ1XWV6ND*MTY5NzU
→ただし、普通の脆弱性診断(Tenable)ではなく、ASMならではのところはどこだったのか、この資料からでは判断できなかったです。(理解が乏しくて申し訳ないです)

・NISC(内閣サーバセキュリティセンター)
https://www.nisc.go.jp/pdf/press/20240719NISC_press.pdf

4.5 運用サポート

ラック社は、「ラックではASM製品の運用をサポートするためのサービスを提供しており、初めにパロアルトネットワークス社の「Cortex Xpanse」、続いてCrowdStrike社の「Falcon Surface」に対応しました。」とあります。
https://www.lac.co.jp/lacwatch/service/20240405_003753.html

4.5 FAQ

Q1.ASMはサーバに対して通信および診断を仕掛けない?

A1.言葉の問題だと思います。ASM事業者は、「企業のサーバに通信することはない」「診断はしない」などと言う人もいますが、実際には通信をしています。「ポートスキャンは不正アクセス禁止法には該当しないから攻撃ではない」というのは、アクセス権が設定されていないサーバであれば、法的な面ではその通りですが、利用者企業には正しく説明しておいたほうがいい気がします。
日経クロステックの記事(https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/050800229/)には、ASMサービスを提供するパロアルトネットワークスの調査方法として、「見つかった機器に対してHTTPなど一般的なリクエストを送り、レスポンスから機器の状態を解析していく」とあります。Tenableでも、ASMで検出した対象の資産に対して、スキャンを実行します。
ただ、ASM側は勝手に診断をするので、ASMの管理コンソールで設定によって「する/しない」の調整はできません。診断をするという管理コンソールもありません。

Q2.会社のサーバを勝手に調査しているけど、法的には問題が無いの?

A2.世界各国の法律はわかりませんが、日本の不正アクセス禁止法で処罰されることはありません。「アクセス制御機能」として、ID/パスワード等で制限がかけられているところを突破するような不正アクセスが対象です。

Q3. 診断だから、1回やったらいいのでは?

A3.継続して利用したいモチベーションはどこかということですが、リスクを常に把握することかなと思います。ただ、お客様によっては、費用面も考えて、スポットの1回だけでいいと考える人もいると思います。