CTEM（継続的脅威エクスポージャー管理）の解説

継続的脅威エクスポージャー管理とは

CTEM（継続的脅威エクスポージャー管理）は、セキュリティツールの活用に加えて、構造化された組織的なプロセスの構築を重視した繰り返しのアプローチによって、脅威エクスポージャーをプロアクティブに管理および軽減するためのフレームワークです。 

この記事では、CTEMとその主要コンポーネントについて説明し、さらにリスクエクスポージャーの低減、優先順位付けの改善、脆弱性とエクスポージャー管理の強化を実現する、5ステップの実装戦略を紹介します。

継続的脅威エクスポージャー管理について

従来の脆弱性管理では、セキュリティチームは比較的サイロ化された状態で職務を遂行しており、脆弱性評価を通じて明らかになった事態の「理由」と「経緯」にはあまり重点が置かれていません。一方、CTEMは次のように組織を支援するプロアクティブなアプローチです。

• 組織が最も重視するアセットのタイプを詳しく調べます。
• 対象となるアセットと、そのアセットに対するさまざまなタイプのエクスポージャーを特定します。 
• 特定したエクスポージャーが実際に悪用される可能性と組織で事前に定義した対応の有効性を検証します。
• 適切な対応に必要な組織を動員します。 
• モニタリングと繰り返しでプログラムを改良します。 

CTEMは、組織のセキュリティポスチャを継続的に改良する繰り返しアプローチを採用しています。このアプローチに従うことで、経営陣の理解とビジネスユニットの支持が得られ、技術チームがガイドラインとして使用できる実用的なセキュリティ計画を策定できます。

CTEMサイクルの5つのステップ

Gartnerの「How to Manage Cybersecurity Threats, Not Episodes」では、CTEMを実装する5ステップの戦略を提案しています。

ステップ1：初期スコープを特定する

デジタル速度で拡大していくアセット攻撃対象領域に追いつくのは容易ではありません。このステップでは、どのタイプのアセットを最も重視するかを決定する必要があります。CTEMプログラムを開始する場合、初期範囲として次を検討する必要があります。

• 外部攻撃対象領域：例えば、インターネットに公開されているアセットで、侵入の標的にされる可能性のあるものです。 
• SaaS（サービスとしてのソフトウェア）のセキュリティポスチャ：リモートワークの増加により、多くの組織が外部でホストされているサードパーティのAPIやアプリケーションとビジネスデータを送受信しています。

ステップ2：アセットを検出してリスクを評価する

アセットを検出するには、上記のスコープ特定手順で決定したカテゴリ内の個々のアセットを識別し、エクスポージャーについて評価する必要があります。評価するエクスポージャーには、CVE（共通脆弱性識別子）のほかに、設定ミスやその他の脆弱性も含める必要があります。 

当然ながら、正確なビジネスリスクスコープに基づいてアセットを特定する方が、広範囲に検出を実施して多数のアセットと脆弱性を特定するよりもはるかに価値があります。

ステップ3：重要な脅威に優先順位を付ける

優先順位付けでは、特定した問題の重要性を評価します。無数にあるセキュリティ脆弱性から不要なものを排除し、最も重要なリスクに焦点を当てるためには、非常に重要なステップです。CVEの枠を超えて、エクスプロイトの蔓延や組織に固有の要因を検討する必要があります。例えば、利用可能な制御、緩和オプション、ビジネス重要度、リスク選好度などです。

緊急性、悪用可能性、ビジネスへの影響、アクティブな脅威に基づいてエクスポージャーをランク付けできるように優先順位付けプロセスを練り上げていけば、セキュリティチームは理論上のリスクではなく実際のリスクに重点を置いて活動できます。攻撃パスを分析すると、1回の修正で複数の脅威を無効化できるボトルネックを特定できるようになります。また、AIを活用したリスクスコアリングにより、実際の攻撃シナリオに合わせてセキュリティ対策を調整できます。

ステップ4：悪用可能性とセキュリティ対応を検証する

検証ステップでは、攻撃パスのシミュレーションや侵害および攻撃のシミュレーションといった制御下でのシミュレーションを使用して、優先順位付けしたエクスポージャーの悪用可能性とそれが重要なシステムに及ぼす影響を検証します。脆弱性が悪用されるかどうかや、現在の防御計画で脆弱性が緩和されるかどうかを確認します。このプロセスでは、シミュレートした攻撃を実行して、対応計画が正しくトリガーされることを検証します。

検証ステップにはこのほか、対応計画を開始するトリガーとシグナルを定義する必要があります。対応計画に主要なアセットへのアクセスの削除やネットワークのロックダウンといった思い切った措置を含めた場合は、そうした対応がどのようなときに必要になるかを評価することが重要です。 

ステップ5：修復チームを動員する

「動員」という取り組みの目標は、承認、実装プロセス、および緩和策の展開を効率化することにより、チームがCTEMの調査結果に基づいて行動できるようにすることです。修復の責任と結果は、セキュリティ以外のチームにものしかかってきます。問題の修復方法は多々あり、どの修復方法を採用するかによってビジネスへの影響が異なります。修復プロセスを構造化し調整の取れたものにするには、当初からツールの自動化を基盤にすることが重要です。この動員ステップにより、運用ワークフローと実装プロセスの遅延を抑え、迅速な対応時間を確保できます。 

CTEMを実装する利点

CTEMアプローチの導入には、利点がいくつかあります。例えば、次のようなものがあります。

• リスクエクスポージャーの軽減：継続的モニタリングにより、業務に影響を及ぼす前に脅威を特定して、リスクエクスポージャーを軽減します。 
• 優先順位付けの改善：CTEMにより、各脅威の重大度を把握しやすくなるので、どの脅威に緊急の対応とリソースが必要かを判断できるようになります。
• プロアクティブセキュリティポスチャ：CTEMのスコープ設定と検出の手順で特に見られるプロアクティブなアプローチで、新たな脅威にも対処できるよう継続的に機能します。
• インシデント対応の強化：検証ステップで定義した攻撃のシミュレーションと修復ステップの自動化により、対応計画とそのトリガーの有効性を検証して、インシデントに迅速に対応できるようになります。

クラウドストライクによるプロアクティブセキュリティ

CrowdStrike Falcon® Exposure Managementにより、スコープ設定、検出、優先順位付けから検証と動員に至るまで、ライフサイクル全体を通じてCTEMプログラムを運用および効率化できるようになります。

• CrowdStrike Falcon® Exposure ManagementのネイティブなEASM（外部攻撃対象領域管理）機能とCrowdStrike Falcon® Shield SaaSセキュリティを考慮してスコープを設定します。
• Falcon Exposure Managementの比類のないアセット可視化を活かして検出を実施し、脆弱性、設定ミス、リスクのあるブラウザ拡張機能などについてエクスポージャーを漏れなく評価します。
• クラウドストライク独自のExPRT.AI予測スコアリングを使用して優先順位付けします。これは、エクスプロイトインテリジェンスとアセット重要度自動化を基盤としています。
• 検証には攻撃パス分析を使用します。これは、未知の攻撃をマッピングして、特定の環境でエクスポージャーを実際に悪用する行為です。
• 詳細なセキュリティコンテキスト、ネイティブのSOAR（セキュリティのオーケストレーション、自動化と対応 ）統合、迅速な修復アクションとともに動員します。

Falcon Exposure Managementは、比類のないアセットの検出と状況把握、広範なエクスポージャー評価、攻撃パスの分析、攻撃対象領域全体にわたって可視性を実現した強力な脆弱性およびリスク管理ソリューションです。統合された軽量のCrowdStrike Falcon® Agentを使用して、リアルタイムでメンテナンスフリーの脆弱性評価を実現します。また、クラウドストライクの予測的なExPRT.AI優先順位付けモデルにより、限られたチームリソースを戦略的に割り当てて、攻撃者に悪用される可能性が特に高いリスクエクスポージャーに集中できます。