攻撃対象領域

ソフトウェア環境の攻撃対象領域（こうげきたいしょうりょういき）またはアタック・サーフェス（英語: attack surface）とは、認証されていないユーザー（攻撃者）がある環境に対して、データを挿入したり抜き出したりすることを試みることができる（「攻撃ベクター（attack vectors）」に対する）異なる攻撃点の集合を表す^[1][2]。攻撃対象領域をできる限り小さくすることは、セキュリティ対策の基本である^[3]。

攻撃ベクターの例

クラッカーが使用できる攻撃ベクターやセキュリティ違反には、100以上の方法がある。 ただし、いくつかの方法は他のものよりも一般的なものである。以下に、最も一般的な攻撃ベクターの例を示す^[4]。

• 資格情報の侵害
• 脆弱なパスワードや盗まれたパスワード
• 悪意のある内部関係者
• 欠陥のある暗号化や不十分な暗号化
• 設定ミス
• ランサムウェア
• フィッシング
• 信頼関係の利用
• ゼロデイ脆弱性
• ブルートフォース攻撃
• 分散型サービス拒否（DDoS）攻撃

攻撃ベクターには、ユーザー入力フィールド、プロトコル、インターフェイス、サービスなどがある。

攻撃可能領域を理解する

各企業が持つ無数の潜在的な脆弱なポイントの増加により、攻撃に成功するために1つの脆弱なポイントを見つけるだけでよいため、攻撃者がより有利になってきている^[1]。

攻撃対象領域を理解して視覚化するためには、3つのステップを取ることができる。

ステップ1：視覚化する。 企業のシステムを視覚化することが最初のステップであり、すべてのデバイス、パス、ネットワークをマッピングすることが含まれる^[1]。

ステップ2：露出の指標を見つける。2番目のステップは、前のステップで視覚化されたマップに、露出の可能性がある脆弱性の各インジケーターを対応させることである。IOEには、「システムとソフトウェアに欠けているセキュリティ制御」が含まれる^[1]。

ステップ3：侵害の指標を見つける。これは、攻撃がすでに成功しているインジケーターを表す^[1]。

攻撃可能領域の削減

情報セキュリティを向上させるための1つのアプローチは、システムまたはソフトウェアの攻撃面を減らすことである。攻撃対象領域の削減の基本的な戦略には、実行するコードの量を減らす、信頼できないユーザーが利用できるエントリポイントを減らす、比較的少数のユーザーしか利用しないサービスを停止する、などの対策がある。無許可のアクターが利用できるコードを減らすことで、欠陥を減らせる傾向があり、不要な機能をオフにすることで、 セキュリティリスクを軽減できる。攻撃対象領域の縮小はセキュリティ障害の防止に役立つが、それだけでは、脆弱性が見つかった場合に攻撃者が与える可能性のある被害を軽減することはできない^[5]。