継続的脅威エクスポージャー管理（CTEM）

CTEMの5つの段階

フロントからバック、エンドツーエンドに至るまで、脅威へのエクスポージャーを継続的に管理するプロセスにはいくつかのステップがあります。脆弱性や潜在的な脅威が見落とされて再び組織を悩ませることがないように、こうしたステップを順番に実行することが重要となります。

• スコープ決定：重要業績評価指標（KPI）とビジネス目標に従ってアタックサーフェスのリスク態勢を評価することは、セキュリティチームが明確な行動計画を立て、合意するのに役立ちます。
• 課題発見：スコープ決定が完了すると、CTEMプログラム内の検出ツールは、実在する脆弱性やアタックサーフェスのギャップを未加工の状態で（優先順位付けが始まる前に）特定し始めることができます。
• 優先順位付け：CTEMプログラムは、セキュリティおよびビジネス戦略に従って実行された初期スコープに基づき、発見された問題に優先順位を割り当てる自動化プロセスを開始します。
• 検証：Gartnerによると「侵害・攻撃シミュレーション（BAS）や自動侵入テストツールなどのテクノロジーやサービス機能を使用した自動検証は次のことを行います。
  • 攻撃者が以前に発見され、優先順位付けされたエクスポージャーを実際に悪用できることを確認することで、可能性の高い「攻撃の成功」を評価します。
  • 初期段階から方向転換し、重要なビジネス資産への潜在的な攻撃経路をすべて分析して、「最大の潜在的な影響」を見積もります。
  • 特定された問題に対応して修正するプロセスが、ビジネスにとって十分な速度と適切性を備えているかどうかを確認します。」
• 動員：潜在的な脅威ベクトルの検証後に影響を受けるすべてのステークホルダーとの間でコミュニケーションを取り、修正プロジェクトへの賛同を得ることで、プロセスのループを閉じ、スコープ決定の最初の段階に立ち返ります。

CTEMのメリット

ネットワークのアタックサーフェスの問題の監視、発見、修復に関し、常時稼働のアプローチには明らかな利点があります。CTEMプログラムがセキュリティ組織の特定のニーズに従って適切に実装されていることを前提とすれば、企業は次のような利点を期待できます。

影響範囲と衝撃の減少

IAMとネットワークアクセス制御（NAC）の認証とセグメンテーションのベストプラクティスを活用することで脅威アクターのネットワークへのアクセスはより困難になりますが、不可能ではありません。しかし、これらの接線的なネットワーク防御機能を1つの継続的な監視プログラムに組み込むことで、攻撃者が実際に侵害に成功した場合の潜在的な侵害の影響を大幅に軽減することが可能になります。

セキュリティ態勢の強化

CTEMプログラムを成功させることで十分なリスク軽減が可能になる可能性があるため、セキュリティ組織はより積極的な脅威軽減策を採用し、最終的にはクラウド環境全体でより強力なクラウドセキュリティ態勢管理を実現できるようになります。その結果、アタックサーフェスが減少し、強さと回復力のある立場で企業を保護することができます。

コストの削減

これはすべてのステークホルダーが望むメリットです。情報漏えい、特に大規模な漏えいによる被害は、ランサムウェアによる身代金支払いの可能性、現在のデータを考慮しないバックアップの開始、評判の低下による顧客の喪失など、多岐にわたります。リスクの軽減、セキュリティ態勢の改善、自動化の活用、侵害の影響軽減に効果的に役立つCTEMプログラムは、長期的に計り知れないほどの費用と頭痛の種を低減できます。

CTEMプログラム実装のベストプラクティス

CTEMプログラムは、セキュリティプログラムの既存の側面を取り込み、いわば1つの屋根の下で機能を強化・自動化する存在となります。企業のアタックサーフェスに関しては常に脅威が存在しており、以前はリスクとならなかったはずのリスクが表面化する状況にあります。

プロバイダーが急増する中、どのベンダーの製品が自社組織に最適かだけでなく、プログラムの実施に具体的に何が関係するのかを把握することは難しい場合があります。サイバーレジリエンスの達成という目標に向けて進歩するために、CTEMプログラムが統合的に利用する可能性のあるさまざまなスタンドアロン機能を見てみましょう。

外部からの脅威への対応

組織のアタックサーフェスに存在するギャップや脆弱性は、直ちに外部の攻撃者がネットワークを侵害する脅威ベクトルとなり、間もなく多大な損害を与えるものとなる可能性があることを考慮すべきです。

外部アタックサーフェスマネージメント（EASM）機能をCTEMプログラムに統合することでポストペリメーターのアタックサーフェスに沿った防御を強化でき、チームは漏洩した認証情報、クラウドの誤設定、外部の商用運用などに対処できます。

可能な限り早い段階でコミュニケーションを取り、成果を調整

CTEMプログラムは、さまざまなツールをまとめてエクスポージャーを継続的に監視・特定することで企業のアタックサーフェスを保護します。CTEMの目的を実現するには多くのステークホルダーの意見を考慮する必要があるため、改めて説明が必要となります。

したがって、成果について合意し、CTEMの目的のあり方について調整しておくことで、セキュリティ担当者は、日常的にさまざまなCTEMツールが必然的にもたらす不可避の診断ノイズをふるいにかけやすくなります。この膨大な数のアラートの優先順位付けを自動化するには、システムを上述の成果に応じて適切に調整しておく必要があります。

明確かつ最新のリスクビューを獲得

CTEMがリスクを特定し、チームの修正を支援してくれるのであれば、デジタルリスク保護（DRP）機能を組み込むことで、ネットワークシステムに脆弱性やリスクが含まれている可能性の全体像を把握でき、チームの問題解決に役立てられます。

インターネットに接続され、任意の数の内部システムに関連付けられた1つのパブリックアプリケーションのリスクレベルは、数年間大きなトラフィックが発生していない古い企業のウェブページよりもはるかに高くなる可能性があります。

そうしたリスクレベルの高いアプリケーションには、現時点で大きなリスクが含まれていなくとも、更新は古いウェブページよりもはるかに頻繁に行われています。更新の頻度が高いほど不注意によるエクスポージャーの可能性が高くなり、リスクレベルが高まります。