エクスポージャー管理と脆弱性管理はいずれも、組織のセキュリティポスチャを支えるうえで極めて重要な役割を果たしています。しかし、これらがサイバーセキュリティで果たす役割は異なっており、多くの組織ではその区別は曖昧です。自社のアプローチが正しいことを確認するには、これら2つの違いを明確にすることが必要不可欠です。

この記事では、それぞれの概念を確認し、その中心的機能、結果、違い、またなぜ重要なのかを解き明かします。

まず、エクスポージャー管理について詳しく見ていきましょう。

エクスポージャー管理とは？

エクスポージャー管理は、デジタルアセットに関連するセキュリティリスクを特定し、評価し、対処する組織のプロセスです。このプロセスでは、どのアセットが攻撃に対して脆弱なのかを判別することが重要です。エクスポージャー管理には、次のようないくつかの主要プロセスがあります。

• アセットの検出：組織はアセット検出ツールを使用して、外部に公開されているすべてのアセットを特定し、インベントリーを作成します。
• リスク評価：インベントリーを分析して各アセットの露出状況を示し、エクスポージャーがどのように悪用される可能性があるかを包括的に理解できるようにします。
• 優先順位付け：デジタルアセットに関連する潜在的なリスクが特定され、保護対策によって軽減するリスクの優先順位が付けられます。
• 修復：ITチームとセキュリティチームが、優先順位付けされた一連の脆弱なアセットに対する補償コントロールを行います。

エクスポージャー管理の目的は、組織の攻撃対象領域を削減し、デジタルアセットのセキュリティポスチャを強化することで攻撃者の攻撃機会を制限することです。エクスポージャー管理を導入すると、攻撃が開始される前に攻撃者の活動を防止できることから、これは事前対応型のサイバーセキュリティ手法となります。

脆弱性管理とは

脆弱性管理は、今世紀初めからセキュリティチームが共通脆弱性識別子 (CVE) に対処するために使用していたツールです。これは、組織のすべてのエンドポイントについてオペレーティングシステム (OS) とソフトウェアのサイバー脆弱性を特定、評価、管理するプロセスです。

脆弱性管理は、次の4つの主な段階のサイクルで構成されます。

1. アセットの評価：脆弱性を評価するアセットを手動で定義します。
2. 検出結果の整理：共通脆弱性評価システム (CVSS) を使用して、脆弱性に関連するリスクに関する理解を深めます。
3. 行動：各アセットについて、リスクを受け入れるか、（攻撃者による悪用を困難にして）脆弱性を軽減するか、（アセットにパッチを適用するかアップグレードして）脆弱性を修復するかを決定します。
4. 再評価：このプロセスを最初からやり直し（通常は決まったスケジュールで）、環境内の新しい脆弱性を見つけます。

重要な対応ではありますが、脆弱性管理で主に行われるのは、脆弱なOSとソフトウェアに関連するリスクへの対処です。ITチームとセキュリティチームにとって重要な、この脆弱性が悪用される可能性はあるかという疑問が残ります。この脆弱性が悪用された場合に侵害される可能性がある、重大なアセットは他に何があるでしょうか。

20年以上前から有効な機能を果たしているものの、脆弱性管理はあまり進化していません。脆弱性管理では扱われていなかった部分に対応したのがエクスポージャー管理であり、組織がより効果的にリスクを軽減するための新たな地平を切り開きます。

エクスポージャー管理と脆弱性管理の違い

エクスポージャー管理と脆弱性管理はいずれも性質上は事前対応型であり、組織のサイバーセキュリティポスチャにとって重要ですが、対応するユースケースが異なります。

主な目的

エクスポージャー管理の主な目的は、露出され、攻撃者からアクセス可能になっているものを管理することで、組織の攻撃対象領域を削減することです。脆弱性管理の目的は、（外部に公開されているかどうかにかかわらず）システムの脆弱性を見つけて、対応することです。エクスポージャー管理には、より幅広い事前対応型のセキュリティ機能が含まれており、これらを単一のサービスに一元化することを目標にしています。

時間枠

エクスポージャー管理のアクションは、多くの場合、高リスクのエクスポージャーが検出されると直ちに実施されます。セキュリティチームが不要なポートを閉じたり、アクセス制御ポリシーを変更したりするのはこの例です。脆弱性管理はより長期的なプロセスで、脆弱性の詳細な分析とともにシステムのパッチ適用と更新が行われます。

スコープ

エクスポージャー管理では、潜在的な攻撃者が表示およびアクセス可能なあらゆるものが対象となります。脆弱性管理ではそれをさらに掘り下げ、組織のシステム、設定、ソフトウェア内の脆弱性を探します。この点において、脆弱性管理のスコープのほうがはるかに広範です。

方法とツール

エクスポージャー管理は、環境スキャンツール、侵入検知システム (IDS)、SIEM（セキュリティ情報およびイベント管理）ツールを利用して継続的モニタリングを行います。脆弱性管理では通常、脆弱性スキャナーなどのツールを利用して、脆弱性の特定と優先順位付けを行います。

機能は異なりますが、エクスポージャー管理と脆弱性管理は補完的な役割を果たすことで、連携して堅牢なサイバーセキュリティの防御を実現しています。エクスポージャー管理は攻撃対象領域を減少させ、脆弱性管理は組織のシステムコンポーネントのセキュリティを強化します。

まとめ

組織のサイバーセキュリティ戦略におけるエクスポージャー管理と脆弱性管理の重要性は明らかです。脆弱性管理プログラムだけで十分脅威に対応できていたこれまでとは状況が変わり、脆弱性管理をより広範囲のエクスポージャー管理プログラムの一部として利用することで、組織はリスクを見越して効果的に管理できます。

CrowdStrike Falcon^®プラットフォームは、エクスポージャー管理と脆弱性管理の両方を必要とする企業に包括的なソリューションを提供します。リスクを見越して効果的に管理するには、CrowdStrike Falcon^® Exposure Managementをご利用ください。CrowdStrike Falcon® Exposure Managementでは、内部および外部のアセットの完全な可視化、AIネイティブの優先順位付け、緊密に連携された対応アクションを提供します。

詳細については、Falconプラットフォームの無料トライアルに登録するか、今すぐクラウドストライクにお問い合わせください。