Azure Managed Service Column ＜Azure運用コラム＞EASMとは？クラウド利用のセキュリティリスクと、マイクロソフト製品による解決策を解説

企業のIT資産を適切に保護するには？インターネット上の脅威から守る方法を解説

近年、企業でのクラウドサービスの利用が浸透し、これまで企業のネットワークの内側で保護されていた重要情報やシステムなどの IT 資産がインターネット上に置かれるようになってきました。クラウドサービスは誰でも簡単に利用できるため、 IT 部門が把握・管理し切れないことによるセキュリティリスクが課題となっています。

マイクロソフトでは、企業が使用する全ての IT 資産を把握・管理してセキュリティリスクの軽減を支援する Defender EASM というサービスを提供しています。本記事では、クラウド利用に伴うセキュリティリスクと EASM の概要、そして Defender EASM の概要と主な機能について解説します。

1. クラウド利用のセキュリティリスク

クラウドサービスの利用により、業務効率が大幅に向上しましたが、セキュリティリスクも増えています。まず、クラウド利用に伴うセキュリティリスクと EASM の概要について解説します。

クラウド利用に伴うセキュリティリスク

企業のクラウド利用により、従来は企業が管理するネットワークの内部にのみ置かれ、保護されていた業務データなどの IT 資産が、インターネット上に保存されるということが増えています。クラウドサービスは誰でも簡単に利用できるため、管理者が利用状況を把握しきれず、管理できず放置されているシステムも増えています。

管理されないシステムは、セキュリティの脆弱性の把握やパッチ適用などの対処も行われず、外部の脅威に対しても無防備となってしまいます。こうしたクラウド利用におけるセキュリティリスクは企業の大きな課題となっています。

EASMの概要

EASM とは、「 External Attack Surface Management 」の略で、日本語では「外部攻撃面管理」となります。 EASM は外部（インターネット）に公開されている IT 資産の管理を指していますが、単純な資産管理だけでなく、IT 資産に存在する脅威や脆弱性も含めて管理します。

外部攻撃面とは、システムに存在する、外部に存在するセキュリティ上の脅威からの攻撃を受けやすい領域を指しています。例えば、外部に公開されている Web サーバーやメールサーバー、または企業が使用を許可しているクラウドサービスなどに対して、認可されていないユーザーがシステムに侵入するために使用できるアクセスポイントのことを指します。外部攻撃面が多いほど、システムを保護することが難しくなります。

EASM は、こうした脆弱性を持つ外部攻撃面を把握・可視化して、セキュリティリスクを特定するためのサービスです。クラウド利用に伴うセキュリティリスクを軽減し、企業の IT 資産の保護に役立ちます。

2. Defender EASMとは

マイクロソフトでは、 EASM を実現するためのサービス、 Defender EASM を提供しています。ここでは、 Defender EASM の概要と料金体系について解説します。

Defender EASMの概要

Microsoft Defender EASM は、Microsoft Azure 上で提供される外部攻撃面管理のためのソリューションです。インターネット上で公開された IT 資産を検出し、脆弱性や設定ミスをマップとして可視化し、一元管理することができます。 IT 資産を見やすい形で可視化することで、管理者はリスクや脅威を分析し、優先順位を設定して対処を行うことができるようになります。

また、自動スキャンやダッシュボード機能を備えており、定期的な監視・更新も行われます。企業のセキュリティ対策を支援する重要なツールの1つと言えます。

Defender EASMの料金体系

Defender EASMの料金体系は、ホスト、ページ、 IP アドレスなどインターネット上で公開している IT 資産の数に応じて月額課金される従量課金制となっています。

料金体系の詳細についてはMicrosoft Azure公式サイト（ ※1 ）をご参照ください。

3. Defender EASMの主な機能

Defender EASM を導入することで、インターネット上で公開されている IT 資産を外部の脅威から保護することができます。ここでは、 Defender EASM が提要する主要な機能について解説します。

検出とインベントリ

図版出典：Microsoft 公式サイト

検出とインベントリとは、オンプレミス環境と、インターネット上のクラウドに公開されている IT 資産を定期的にスキャンし、 Defender EASM の内部で保持するインベントリとして登録・管理する機能です。

検出された IT 資産は、インデックスを作成して分類され、組織の管理下にある全ての資産の依存関係や接続関係を明確化して管理されます。

また、定期的にスキャンを行うことで、以前は不明で監視されていなかった新しいリスクやポリシー違反が発生した場合、それを素早く特定し、管理対象に組み込むことができます。

Defender EASM では、下記を対象として資産の検出を行います。

• ドメイン
• ホスト名
• Web ページ
• IP ブロック
• IP アドレス
• ASN
• SSL 証明書
• WHOIS 連絡先

この機能により、企業は自社が所有する IT 資産を正確に把握し、セキュリティリスクを特定することができます。また、インベントリの自動収集によって、手動で情報を収集する手間を省くことができます。

ダッシュボード

図版出典：Microsoft 公式サイト

ダッシュボードとは、 Defender EASM で検出し管理された IT 資産と、インベントリから派生した分析情報を可視化して素早く表示するための機能です。

ダッシュボードには、IT資産の脆弱性、設定ミス、未修正の脅威、不正なアクセスなどの情報などが表示されます。これらの情報は、企業が抱えるセキュリティリスクの重要度を示すために使用されます。

また、ダッシュボードには、脆弱性や脅威の重要度に基づいて、リスクの優先順位が示されます。この優先順位は、管理者がセキュリティリスクに対処するための優先順位を設定する際に役立ちます。

Defender EASM では下記 4 つのダッシュボードが用意されています。

• 攻撃面の概要
• セキュリティ体制
• GDPR コンプライアンス
• OWASP トップ10

これらの機能により、企業は外部攻撃面に対するリスクを可視化し、優先順位を設定して対処することができます。また、ダッシュボードの情報は、自動的に更新されるため、企業は常に最新の情報を確認することができます。

資産管理とアクセス許可

ダッシュボードに表示される内容は、インベントリフィルターを通して、関心の高い分析情報のみフィルタリングして表示することができます。インベントリフィルターはカスタマイズ可能なため、ユーザーは特定のユースケースに応じた分析結果を基に、対応の優先順位付けを行うことができます。

また、インベントリに登録されている資産データは、Defender EASMの内部でロール（役割）を定め、アクセス制御を行うことができます。所有者ロールと共同作成者ロールを割り当てられたユーザーは、インベントリ資産の作成・削除・編集が可能ですが、閲覧者ロールのみ割り当てられたユーザーは、資産の閲覧・参照しか行うことができません。

4. まとめ

本記事では、企業のクラウド利用の増加に伴うセキュリティリスクと、対策としてのEASM、そしてマイクロソフトが提供するDefender EASMの概要と機能について解説しました。 Defender EASM を導入することで、企業の IT 資産を保護し、外部の脅威によるセキュリティリスクを軽減することが可能になります。ぜひ専門家の支援を受けながら、 Defender EASM の導入を検討してみてください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： EASM

• 

  収集したデータの可視化・分析機能を提供するAzure Log Analyticsについて解説します！

• 

  IntuneでBYODをどう実現する？BYODのセキュリティ対策も踏まえた実現方法を解説