英国 NCSC ブログ 能動的サイバー防御2.0:外部攻撃サーフェス管理試験 (trial) からの洞察 (2025.03.06)
こんにちは、丸山満彦です。
NCSCのブログで、外部攻撃サーフェス管理(EASM)試験 (trial) の結果について言及されていますね...
(NCSCのActive Cyber Defence(能動的サイバー防御)は、積極的に守るという話で、攻撃的な要素はありません...)
興味深い報告書です。今年度経済産業省でサイバーセキュリティ産業振興戦略を考える際にセキュリティベンダーの意見も聞いているのですが、サイバーセキュリティ製品の普及が難しい理由に、実績がないと普及しづらいという話がありました。
その際に、政府の導入実績があると助かるという話がありましたが、英国で同じように、政府のお墨付きのようなものがあると助かるという意見があるようですね。その背景には、利用者のサイバーセキュリティへの理解がサービス提供者ほどは高くないことから、どのような製品が自分の会社にあっているのか(機能面、費用面など)見極めが難しいということなのでしょうね...
用語の定義もあいまいな部分もあり、利用者の理解の妨げになっているところはありそうですね...これは重要なポイントかもしれませんね...
日本の場合は英国とことなり、情報処理安全確保支援士の制度があるので、専門家を利用してうまくそこをサポートできればよいように感じます。日本は経済産業省、総務省ががんばっていろいろと制度を充実させてきているので、それをうまく市場で活用できるように普及・啓発に力をいれていけばよいようにも感じます...
● U.K. National Cyber Security Centre: NCSC - blog
・2025.03.06 ACD 2.0: Insights from the external attack surface management trials
| ACD 2.0: Insights from the external attack surface management trials | ACD2.0: 外部攻撃サーフェス管理試験 (trial) からの洞察 |
| We publish the results of our ACD 2.0 external attack surface management (EASM) trials | ACD2.0外部攻撃サーフェス管理(EASM)試験の結果を発表する |
| We updated you in January about the first stage of the NCSC’s ACD2.0 experiments, thanking those who had taken part. | 1月にNCSCのACD2.0実験の第一段階について報告し、参加してくれた人々に感謝した。 |
| We said we would report more fully, and today we publish an account of what we have learned. | より詳細な報告をすると述べたが、本日、私たちが学んだことについて発表する。 |
| This experiment gave the NCSC many insights, including: | この実験によって、NCSCは以下のような多くの洞察を得た: |
| ・Providers were keen to collaborate with us, highlighting the industry's commitment to advancing cyber defence through innovative solutions. | ・プロバイダは我々との協力に意欲的であり、革新的なソリューションを通じてサイバー防衛を推進するという業界のコミットメントを浮き彫りにした。 |
| ・Getting organisations to take part in trials as customers was more challenging, underscoring the need to have a better understanding of the risk to their external attack surface and how EASM products can help manage this. | ・顧客として組織にトライアルに参加してもらうことはより困難であり、外部攻撃表面のリスクとEASM製品がその管理にどのように役立つかをよりよく理解する必要性が浮き彫りになった。 |
| ・Users gain significant cyber security benefits from a range of EASM features, not just from specific risks and issues data. Notably, features providing improved visibility of digital footprint allowed defenders to commission work to protect or decommission assets previously unknown to security teams. | ・ユーザーは、特定のリスクや問題データからだけでなく、EASMのさまざまな機能から大きなサイバーセキュリティ上のメリットを得ている。特筆すべきは、デジタルフットプリントの可視性を向上させる機能によって、防御担当者は、これまでセキュリティチームが知らなかった資産の保護や廃止のための作業を依頼できるようになったことである。 |
| ・Automated discovery provides valuable visibility of an organisation's digital footprint, which is essential for effective cyber defence. | ・自動化されたディスカバリーは、組織のデジタルフットプリントの貴重な可視性を提供し、これは効果的なサイバー防御に不可欠である。 |
| ・Guidance on what constitutes a good EASM product and how organisations should select one is lacking, and would be welcomed by both provider and customer organisations. | ・何が優れたEASM製品を構成し、組織がどのようにEASM製品を選択すべきかについてのガイダンスは不足しており、プロバイダと顧客組織の双方から歓迎されるであろう。 |
| ・The commercial market for EASM is thriving, offering quality services at various price points – and there is no one-size-fits-all solution. | ・EASMの商業市場は繁栄しており、様々な価格帯で質の高いサービスを提供しているが、万能なソリューションは存在しない。 |
| ・A wide variety of loosely defined language is used to describe scanning activities, leading to confusion and concern among customers. | ・スキャン活動を説明するために、多様で緩く定義された言葉が使われており、顧客の混乱と懸念を招いている。 |
| ・Cost remains a crucial factor for organisations when selecting tools and solutions – where budget is limited they need confidence they are choosing the right solution to meet their needs. | ・予算が限られている場合、ニーズを満たす適切なソリューションを選択しているという確信が必要となる。 |
| The insights from our experiments highlight the importance of collaboration, clear communication, and authoritative guidance in the evolving field of attack surface management. | 我々の実験から得られた洞察は、進化する攻撃対象領域管理の分野において、コラボレーション、明確なコミュニケーション、権威あるガイダンスの重要性を浮き彫りにしている。 |
| The NCSC, as the UK’s National Technical Authority for cyber security, will look to address the identified gaps, and support organisations in making informed decisions about their cyber security strategies. | NCSCは、英国のサイバーセキュリティ国家技術機関として、特定されたギャップに対処し、組織がサイバーセキュリティ戦略について十分な情報に基づいた意思決定を行うことを支援する。 |
| By promoting a deeper understanding of EASM and its benefits, the NCSC will help UK organisations to enhance their cyber defences and navigate the complex landscape of digital threats. | EASMとその利点について理解を深めることで、NCSCは英国の組織がサイバー防御を強化し、デジタル脅威の複雑な状況を乗り切るのを支援する。 |
・2025.03.05 [PDF] ACTIVE CYBER DEFENCE 2.0 Attack surface management experiments
目次...
| Introduction | 序文 |
| ACD2.0 | ACD2.0 |
| Experimental approach | 実験的アプローチ |
| Why ASM? | なぜASMなのか? |
| Objective | 目的 |
| Key findings | 主な調査結果 |
| Methodology | 方法論 |
| The trials | 試行 |
| Marketplace understanding | 市場理解 |
| General features | 一般的特徴 |
| Asset discovery | 資産発見 |
| Suppliers and 3rd party risk | サプライヤとサードパーティリスク |
| Hierarchical access control | 階層的アクセス制御 |
| Product tailoring | 製品調整 |
| Risks and issues – identification and prioritisation | リスクと問題-特定と優先順位付け |
| Summary | まとめ |
| Further Analysis | さらなる分析 |
| The NCSC and the commercial market | NCSCと商用市場 |
| Risk understanding and appetite | リスク理解と選好 |
| The future of EASM | EASMの将来 |
序文から方法論まで...
| Introduction | 序文 |
| ACD2.0 | ACD2.0 |
| In August 2024 the NCSC’s CTO Ollie Whitehouse and Director of National Resilience Jonathon Ellison signalled the next stage of the NCSC’s Active Cyber Defence (ACD) services with the announcement of ACD2.0 . The core approach for ACD2.0 is that of partnership; across the NCSC, across the cyber security community in government, and crucially also with industry and academia. The journey started with the first series of experiments exploring attack surface management (ASM). | 2024年8月、NCSCのCTOオリー・ホワイトハウスと国家レジリエンス部長ジョナソン・エリソンは、 NCSCのアクティブ・サイバー・ディフェンス(ACD)の次のステージを宣言した。ACD2.0の中核となるアプローチは、NCSC、政府内のサイバーセキュリティ・コミュニティ、そして産業界や学界とのパートナーシップである。この旅は、攻撃対象領域管理(ASM)を探求する最初の一連の実験から始まった。 |
| Following that announcement, a small time-bounded team was formed to formulate and carry out the ACD2.0 ASM experiments over the following six months. In January, we shared our initial insights and thanked the ASM providers for their involvement in this work . | この発表を受けて、小規模の時間的制約のあるチームが結成され、その後6ヶ月間にわたってACD2.0のASM実験を策定・実施した。1月には、最初の洞察を共有し、ASMプロバイダのこの作業への参加に感謝した。 |
| This report is a deeper dive into what we have learned. The project itself was a set of experiments, but we have focused this report primarily on the Commercial Trials of EASM Products & Services experiment, where we believe there is the most benefit to an external audience. | 本レポートは、我々が学んだことをより深く掘り下げたものである。このプロジェクト自体は一連の実験であったが、本報告書では、外部の聴衆にとって最も有益であると考えられる「EASM製品・サービスの商業的試行」実験に主眼を置いた。 |
| Experimental approach | 実験的アプローチ |
| We have referred throughout this work to running experiments, or taking an experimental approach. This concept was a fundamental value in our approach to this work. We were robust (including with our internal stakeholders!) in defending our position that we would not pre-judge the outcomes of this work until reaching the final conclusions, and that any conclusions and recommendations would be grounded in evidence from our research. | 我々はこの作業を通じて、実験を行うこと、あるいは実験的アプローチをとることに言及してきた。このコンセプトは、この仕事へのアプローチにおける基本的な価値観であった。私たちは、最終的な結論に達するまで、この仕事の結果を事前に判断することはなく、いかなる結論や提言も、私たちの調査から得られた証拠に基づくものであるという立場を守るために、(社内の利害関係者を含めて!)確固たる姿勢を貫いた。 |
| Why ASM? | なぜASMなのか? |
| Attack surface management was chosen as the first of the ACD2.0 experiments for a variety of reasons. This was not least due to the NCSC’s years of experience running ASM or ASM-like services – namely Web Check, Mail Check, and Early Warning. | アタック・サーフェス・マネジメントがACD2.0の最初の実験として選ばれたのには、さまざまな理由がある。これは、NCSCが長年にわたってASMまたはASMに類似したサービス、すなわちウェブチェック、メールチェック、早期警戒を実施してきた経験があったからにほかならない。 |
| The experiments were under the banner of ASM. However, the focus of this report is on our commercial trials specifically of external attack surface management (EASM) products. For the purposes of this experiment, we defined an EASM product as something that: | 実験はASMの旗印の下で行われた。しかし、この報告書の焦点は、特に外部攻撃表面管理(EASM)製品の商業的実験にある。この実験では、EASM製品を次のように定義した: |
| “conducts or uses scanning data to identify assets or services that are publicly reachable online and highlights risks associated with the asset, its configuration, or maintenance” | 「スキャンデータを実施または使用して、オンライン上で一般にアクセス可能な資産またはサービスを特定し、資産、その構成、または保守に関連するリスクを浮き彫りにする」 |
| Objective | 目的 |
| The primary aim of this experiment was to gain better market understanding with a view to understanding the benefits of EASM products, market differentiators, approaches to risks and authorisations, and considering future commercial models. | この実験の主な目的は、EASM製品の利点、市場の差別化要因、リスクと認可に対するアプローチを理解し、将来の商業モデルを検討することを視野に入れて、市場理解を深めることであった。 |
| We sought specifically to understand: | 具体的には以下のことを理解しようとした: |
| > the extent and maturity of the commercial market | > 商用市場の範囲と成熟度 |
| > the cyber security benefits of using EASM products | > EASM製品を使用することによるサイバーセキュリティ上のメリット |
| > the types of solutions and features available | > 利用可能なソリューションの種類と機能 |
| > where the NCSC’s role as the National Technical Authority (NTA) best fits Additionally, as the first of the ACD2.0 experiments, we aimed to: | > 国家技術局(NTA)としてのNCSCの役割が最も適合する場所 さらに、ACD2.0実験の第一弾として、以下を目指した: |
| > understand the best way to carry out these partnership-led experiments | > パートナーシップ主導の実験を実施する最善の方法を理解する。 |
| > challenge internal NCSC ways of working to allow the experiment to maintain independence | > 実験の独立性を維持するために、NCSC内部の作業方法に挑戦すること |
| > make recommendations for how we run the next ACD2.0 experiments | > 次回のACD2.0実験の実施方法について提言を行うこと |
| Key findings | 主な調査結果 |
| Throughout this report, we have highlighted where we have drawn specific conclusions used to inform our recommendations. Some of those are summarised here: | 本報告書全体を通して、提言を行うための具体的な結論を導き出した箇所を強調した。その一部をここに要約する: |
| > There is a clear established and thriving commercial market for EASM, providing quality services at a range of price points (including some free tiers). | > EASMの商用市場は明確に確立され、繁栄しており、さまざまな価格帯(無料のものも含む)で質の高いサービスを提供している。 |
| > There is no concept of a one-size-fits-all EASM product. | > 万能のEASM製品という概念は存在しない。 |
| > Users gain direct and/or indirect cyber security benefit from a range of EASM features. | > ユーザーはさまざまなEASMの機能から、直接的または間接的にサイバーセキュリティ上のメリットを得ている。 |
| > Providers are very keen to work with the NCSC and will act quickly and flexibly to do so. | > プロバイダはNCSCと協力することを強く望んでおり、そのために迅速かつ柔軟に行動する。 |
| > A wide variety of loosely defined language is being used to describe scanning activities. | > スキャン活動の説明には、多様で緩やかな定義が用いられている。 |
| > Customer organisations routinely raise concerns about potential impact of EASM scanning activity. | > 顧客組織は日常的に、EASMのスキャン活動の潜在的影響について懸念を表明している。 |
| Gaps and opportunities: | ギャップと機会 |
| > There is a gap for authoritative leadership in identifying what specific EASM-related risks and issues are most critical for organisations to resolve. | > 組織が解決すべき具体的なEASM関連のリスクや問題のうち、最も重要なものを特定する上で、権威あるリー ダーシップを発揮するためのギャップがある。 |
| > There is a gap for authoritative leadership on what constitutes a good EASM product and how organisations should go about selecting one. | > 何が優れたEASM製品であり、組織はどのようにEASM製品を選択すべきかについて、権威あるリー ダーシップを発揮するためのギャップがある。 |
| > There is a gap for thought leadership regarding responsible monitoring of 3rd parties using EASM and related tools and products. | > EASMや関連ツール・製品を使用した第三者に対する責任ある監視に関して、ソートリーダーシップのギャップがある。 |
| > There is an opportunity to establish a better connection with the industry to share our leadership as an NTA, keep up to date with developments, and build a view of what is happening across sectors to ultimately serve end users better. | > NTAとしてのリーダーシップを共有し、最新の動向を把握し、最終的にエンドユーザーにより良いサービスを提供するために、セクターを超えて何が起きているのかを把握するために、業界とのより良いつながりを確立する機会がある。 |
| We have made internal recommendations for the NCSC to address the key gaps identified. | 我々は、特定された主要なギャップに対処するため、NCSCに対して内部提言を行った。 |
| Subsequent announcements and publications will be made as appropriate. | その後の発表や公表は適宜行う予定である。 |
| Methodology | 方法論 |
| To achieve the primary aim of better market understanding, the experiment involved the following activities: | 市場理解を深めるという第一の目的を達成するため、実験では以下の活動を行った: |
| • asking EASM providers to offer free trials and agree to help with our research | ・EASMプロバイダに無償トライアルを依頼し、研究への協力を承諾してもらう |
| • signing up a selection of customer organisations to the free trials | ・一部の顧客機関を無償トライアルに参加させる |
| • observing the use of the products | ・製品の使用状況を観察する |
| • interviewing providers | ・プロバイダへのインタビュー |
| • surveying and interviewing customer organisation users | ・顧客機関のユーザーへの調査とインタビュー |
| The trials | トライアル |
| In numbers, the commercial trials included: | 数で言えば、商用トライアルには以下のものが含まれる: |
| • 10 EASM products | ・10種類のEASM製品 |
| • 27 customer organisations | ・27の顧客組織 |
| • 35 trials (some organisations trialled multiple products) | ・35のトライアル(複数の製品をトライアルした組織もあった) |
| • Around 900 days’ worth of combined trial time | ・合わせて約900日分のトライアル期間 |
| • Average of 25-30 days per product per organisation | ・1組織あたり1製品あたり平均25~30日 |
| Working with providers | プロバイダとの協力 |
| We published a public call to EASM providers to be involved in the experiment, asking for low- or zero-cost proposals. The response was very encouraging, with 20 companies making offers. Due to limited team bandwidth, a selection process was conducted to limit the trials to 10 products. This review included alignment with our definition of EASM, previous NCSC engagement, flexibility of the offer (noting any caveats), and primarily ensuring technical diversity of EASM solutions within the trial. | EASMプロバイダに対して、この実験に参加するよう公募を行い、低コストまたはゼロコストの提案を求めた。20社から申し出があり、非常に心強い反応だった。チームの帯域幅が限られていたため、選考プロセスを実施し、実験を10製品に絞った。この審査では、EASMの定義に合致していること、NCSCが過去に関与したことがあること、申し出の柔軟性(注意事項があれば指摘すること)、主に試験内のEASMソリューションの技術的多様性を確保することなどが考慮された。 |
| Because this selection was not a rigorous formal commercial process, it must not be considered a reflection on the quality of products or services from the organisations. The NCSC publicly acknowledges and thanks all companies who offered to work with us on this experiment. | この選定は厳密な正式な商業プロセスではないため、各機関の製品やサービスの質を反映したものと考えてはならない。NCSCは、この実験への協力を申し出てくれたすべての企業に対し、公式に謝意を表する。 |
| Throughout the experiment, the support and engagement offered by the EASM providers was excellent. They were keen to help us, made plenty of time available both directly to us and to the onboarded customers, provided insightful feedback in interviews, and were highly responsive to our requests. We felt that providers appreciated the opportunity to shape the NCSC’s direction, and provided valuable input – we recommend this approach be considered for other ACD2.0 experiments and wider. | 実験を通して、EASMプロバイダが提供してくれたサポートと協力は素晴らしかった。プロバイダは私たちを熱心に支援し、私たちに直接、またオンボードされた顧客にも多くの時間を割いてくれ、面談では洞察に満ちたフィードバックを提供してくれた。プロバイダは、NCSC の方向性を形成する機会に感謝し、貴重な意見を提供してくれた。 |
| Conclusion – Providers are very keen to work with the NCSC, and will act quickly and flexibly to do so, even incurring costs to support experiments. | 結論:プロバイダはNCSCと協力することを非常に望んでおり、そのために迅速かつ柔軟に行動し、実験をサポートするために費用を負担することもある。 |
| Working with customer organisations | 顧客組織との協力 |
| We recruited volunteer organisations through various methods to achieve a mix of public and private organisations of various sizes. | 様々な規模の公共・民間組織が混在するよう、様々な方法でボランティア組織を募集した。 |
| We will not publicly name the participating organisations, but would like to take this opportunity to thank all those who gave up their time and resources to support our experiment. | 参加組織の名前は公表しないが、この場を借りて、我々の実験を支援するために時間とリソースを割いてくれたすべての人々に感謝したい。 |
| One observation worth highlighting was that several organisations had concerns over scanning activities carried out by EASM products, with several requiring security sign-off or approval from change boards. This was more common in larger organisations. In contrast to the provider engagement, where we were concerned that asking for free product trials would be a blocker but had a very positive response, we found giving away those free product trials was a much bigger challenge. The time spent discussing concerns and resolving issues impacted our onboarding timelines and limited our experimental data collection. This is not a criticism of the participating organisations, but rather an observation of the challenges in understanding the risks of scanning, something we explore later in this report. | 特筆すべき観察として、いくつかの組織がEASM製品によるスキャン活動に懸念を抱いており、セキュリティのサインオフや変更委員会の承認を必要とする組織がいくつかあった。これは、より大規模な組織でより一般的であった。プロバイダとの取り組みでは、製品の無料トライアルを求めることが障害になるのではないかと懸念したが、非常に前向きな反応が得られたのとは対照的に、製品の無料トライアルを提供することは、はるかに大きな課題であることがわかった。懸念事項を話し合い、問題を解決するために費やされた時間は、オンボーディングのスケジュールに影響を与え、実験データの収集に制限を与えた。これは、参加組織を批判しているのではなく、スキャニングのリスクを理解する上での課題を観察しているのである。 |
| Conclusion – It was easier to get EASM providers to offer free trials to support the NCSC’s experiments, than it was for customer organisations to onboard onto those trials. | 結論 ・NCSCの実験をサポートするために、EASMプロバイダに無料トライアルを提供してもらうのは、顧客組織がトライアルに参加するよりも簡単だった。 |
| Matching providers and customers | プロバイダと顧客のマッチング |
| We made best efforts to match customer organisations to EASM products to achieve the following, often contradictory, principles: | 私たちは、顧客組織とEASM製品のマッチングに最善の努力を払い、以下のような、しばしば矛盾する原則を達成した: |
| • ensuring a mix of organisation types (public/private/charity) on each product | ・各製品において、組織のタイプ(公共/民間/慈善)を確実に混在させる |
| • ensuring a mix of organisation sizes on each product | ・各製品において、組織の規模を確実に混在させる |
| • managing the organisations’ risk appetites | ・組織のリスク選好度をマネジメントする |
| • making sure organisations got cyber security benefit from the work, by picking EASM products best suited to their current challenges | ・各組織の現在の課題に最も適したEASM製品を選択することで、組織が作業からサイバーセキュリティ上の利益を得られるようにする。 |
参考...
● U.K. National Cyber Security Centre: NCSC - blog
・2025.01.23 ACD 2.0 exploration into attack surface management completed
・2024.08.02 Introducing Active Cyber Defence 2.0
まるちゃんの情報セキュリティ気まぐれ日記
・2024.11.27 英国 NCSC「Active Cyber Defence」 のウェブページ
Comments