Zenn
🛡️

ASMとNetskope Security Checkを併用し、外側と内側の両面からセキュリティの穴を検出する

2024/12/05に公開
Security
ASM
脆弱性診断
cybersecurity
netskope
tech

昨今のランサムウェア対策を検討する上では、攻撃者から見た侵入経路を防ぐことがセキュリティ対策の第一歩として広く認識され始めています。
 そして、「攻撃者から見た侵入経路を発見」するために、インターネットに露出している企業の資産を調査する ASM(Attack Surface Management)が注目を集めています。

ASMの注意点

ASMは攻撃者視点の情報を得る点においては優れた情報を提供してくれますが、注意点としては 「あくまで外部から見た調査」 である点です。
例えば外部に公開されているVPN装置や、意図せず公開されているRDPサーバーやSMBサーバーを検出するという、「攻撃者から見た侵入経路を発見する」点においては効果を発揮します。

しかし、ランサムウェア対策のもう一つの側面である 「情報の盗み出しやすさ」 は、外部からの確認では限界があります。「情報の盗み出しやすさ」を点検するためには、実際に社内からインターネットに向けて通信を発生させ、どのようなフィルターがかかっているかをチェックする必要があるからです。
例えば、LAN環境にあるパソコンから機密情報を含んだファイルをインターネットに転送可能な状態になっているかはASMで確認することは出来ません。

そのため、ASMサービスでは非常に高得点であるにも関わらず、ランサムウェアでTBを超える情報が盗み出され大きな被害に遭遇している企業が日本にも実在します。

ASMは有用なサービスではあるものの、あくまで外部から見た視点であり、内部から見た視点は別の視点でのチェックが必要だと理解して使う必要があります。

情報の盗み出しやすさを点検するNetskope Security Check

Netskopeが提供する無料の簡易アセスメントサービスを利用すると、「情報の盗み出しやすさ」を数分でチェック可能することが可能です。

ASMで「攻撃者から見た侵入経路を点検」し、Netskope Security Checkで「情報の盗み出しやすさ」を点検すれば、外側と内側の両面からのチェックが可能になります。

Netskope Security Checkが評価する内容

Netskope Security Checkは以下の3つの観点から「情報の盗み出しやすさ」をチェックします。

・Web & Cloud Categorization

- 主にURLフィルタリングのアセスメントです。
 既知のフィッシングやマルウェアダウンロードサイトや、業務に不要なアダルトサイト等へのアクセスがブロックされているかを確認します。

・Threat Protection

- クリプトマイニングやランサムウェアで悪用される可能性のあるファイルへのアクセス等がブロックされているかを確認します。

・Data Loss Prevention

- 個人情報等を含むファイルのアップロードに制限がかかっているかを確認します。

■Netskope Security Check実行方法

利用方法は簡単です。ブラウザからNetskope Security Checkにアクセスして、テストを実行するだけです。

  1. ブラウザからNetskope Security Checkにアクセスします。
    netskopesecuritycheck.com

  2. テストを実行します。
    ・全テストを実行する場合 : "Run All Tests"をクリックしてください。
    ・個別にテストを指定して実行する場合 : 実施したいテストの"Run Test"をクリックしてください。

  3. 結果を確認する
    画面上部にテスト結果が表示されます。
    PASSED : 合格したテスト数
    FAILED : 不合格だったテスト数
    Web & CLOUD CATEGORIZATION : Web & Cloud Categorizationの各テストの試験結果
    Threat Protection : Threat Protectionの各テストの試験結果
    Data Loss Prevention : Data Loss Preventionの各テストの試験結果

チェックシートによる自己申告の限界

最後になりますが、本記事を書こうと思った動機は「チェックシートによる自己申告の限界」を感じたという点にあります。

ASMサービスを評価する中で、日本国内でランサムウェア被害にあった100社近くの企業を調査していたのですが、多くの企業がプライバシーマークを取得していますし、恐らくは大半の企業がセキュリティシートを用いた自主点検を実施されているものと推測されます。

人間によるチェックの場合には、漏れや勘違い、あるいは「ビジネス上の理由で空白だらけのセキュリティチェックシートでも合格とする」こともビジネスの現場では多々あるのが現実ではないでしょうか。

外部からの視点を提供するASMサービスや、今回紹介したNetskope Security Checkのような「内側からの視点」を 「機械的に判断する」チェックツール を併用することで「客観的な評価」を加えることが可能になります。

今回ご紹介した内容で皆さんのセキュリティ対策向上に少しでも貢献出来れば幸いです。

Discussion