アタックサーフェス

サイバー攻撃を受ける可能性がある領域を「アタックサーフェス（Attack Surface：attack＝攻撃、surface＝物体などの表面）」と言います。「攻撃対象領域」と呼ばれることもありますが、アタックサーフェスを把握・管理することはセキュリティ対策に欠かせません。

攻撃者を「泥棒」に例えると、狙われた「家」の「正面玄関・裏口・窓・庭の木やテーブル」などがアタックサーフェスに相当し、それぞれの防犯対策が不十分であれば侵入を許してしまいます。企業の情報セキュリティにおいては、クラウドサービスやオープンポート、ルーター、社員のモバイル機器、USBポートなどさまざまなものがアタックサーフェスになり、これらのセキュリティの不備が不正アクセス、データの抜き取り、ランサムウェアといったインシデントの発生につながります。

アタックサーフェスは通常、デジタルとフィジカル（＝物理的なもの）に分類されます。

＜デジタル・アタックサーフェス：インターネットを通じて悪用可能な領域＞

＜フィジカル・アタックサーフェス：インターネットを使わず、物理的手段で悪用可能な領域＞

アタックサーフェスを管理するためには、まず攻撃対象となり得る領域を発見・識別して資産の目録を作成し、優先順位を決定した上で継続的な監視を行う必要があります。実践においては、これらすべての工程に対応した「ASM（Attack Surface Management）」と呼ばれる専用ツールが広く使用されているほか、発見の工程ではOSINTツールが使われることもあります。また、対応の優先順位づけには脅威インテリジェンスの活用も有効です。

なお、アタックサーフェスと似た言葉に「アタックベクター（Attack Vector）」があり、これは「攻撃者が使う手段」を指します。フィッシングなどの攻撃手法・テクニックや、マルウェアなどのツール類がその例です。加えて、防御側が保有する悪用可能な資産（アタックサーフェス）もアタックベクターに含まれるため、アタックサーフェスを「アタックベクターのうち、守る側に属するものすべて」と言い換えることもできます。