2026年までに、CTEMプログラムに基づいてセキュリティ投資を優先する組織は、侵害が3分の2減少することを実現すると予測 ー Gartner社 ー
IT分野を中心に調査と情報提供を行うGartner社の提唱により広がった Continuous Threat Exposure Management(継続的な脅威エクスポージャ管理、以降CTEM)がITセキュリティ分野でより重要視されるようになっています。
今回はそのCTEMの概説と、その実施を支援するソリューションをご紹介します。
CTEMとは?
CTEMはGartner社が2022年に提唱した企業組織のITセキュリティ管理のアプローチとして知られています。同社は引き続き、翌年以降も「日本におけるセキュリティ (インフラ、リスク・マネジメント) のハイプ・サイクル:2023年」さらに2024年の「Top Cybersecurity Trends for 2024」といった総括的な情報発信でもCTEMを重要視し続けていることがわかります。
では、CTEMとは何でしょうか。
CTEMは、Continuous Threat Exposure Management、つまり「継続的な脅威エクスポージャ管理」の略語ですが、この概念を理解するため、まずは脅威エクスポージャ管理(TEM)を考えてみましょう。
エクスポージャとは、一般的に「露出」や「露呈」と訳されますが、サイバーセキュリティの文脈では、組織のシステムやネットワークがサイバー攻撃にさらされる潜在的なリスクや脆弱性のことを指します。これには外部からアクセス可能なエンドポイント、アプリケーション、クラウドサービスなど、攻撃者が侵入やデータ詐取を試みることができる、すべてのポイントを含みます。
TEMは、組織のデジタル資産がサイバー攻撃に対していかに「露出」しているか、つまりサイバー攻撃にさらされるリスクや脆弱性の状態を特定、評価し、これらに対処する管理プロセスで、組織のデジタルセキュリティを確保することが目的です。
しかし、TEMのアプローチは主に点検的なものであり、一定期間ごとの評価に依存しているため、急速に進化するサイバー脅威の環境に対応するには限界があります。
新しい脅威や技術の出現、ビジネスプロセスの変更などが既存のセキュリティ対策を迂回し得るため、一回限りの活動や不定期な評価では、組織のデジタル安全を維持することが困難になるからです。
このギャップを埋めるには取り組みを「継続的」にすることが不可欠です。
継続的なTEM、つまりCTEMは、組織が新しい脆弱性、不正アクセスの試み、やその他のセキュリティ脅威をリアルタイムで特定し、迅速に対応できるようにするための体系的なアプローチです。
このアプローチでは、自動化ツールと継続的なモニタリングを組み合わせて、組織のデジタル環境内の変更を追跡し、そのセキュリティ態勢を常に最新の状態に保ち、攻撃者が悪用する前に脆弱性を修正することが可能になり、組織のデジタル上の存在をより効果的に保護することが可能になります。
CTEMの5つのステップ
CTEMは、サイバーセキュリティリスクを継続的に管理するために設計された、5段階の循環プロセスです。このプログラムは組織がサイバー脅威の変化に柔軟かつ効果的に対応するための指針を提供します。
各段階(範囲の特定、発見、優先順位付け、検証、動員)は順に実行され、前の段階の成果を次の段階の出発点とします。サイクルが一度完了すると、新しい脅威や環境の変化に基づき再評価し、セキュリティを継続的に強化します。
Step 1 : Scoping(範囲の特定)
この最初のフェーズでは、セキュリティチームが分析と保護をする必要があるインフラストラクチャの範囲を特定します。このフェーズでは、事業にとって最も重要な内部及び外部向けの資産とリソースを業務と照らし合わせて特定することが求められます。
Step 2 : Discovery(発見)
発見フェーズでは、定義された範囲内のすべての資産と脆弱性に関連するリスク、脆弱性、誤設定、および脅威を詳細に特定します。このフェーズでは、自動化された発見ツールと技術を使用し、環境全体で継続的な脅威と脆弱性の監視を実施することが理想的です。
Step 3 : Prioritization(優先順位付け)
CTEMプロセスのこの段階は、組織が資源を集中させて、最初に修正するべきものを決定するのに役立ちます。多くの場合は対応中の別の課題やタスクも既にあるため、脆弱性の優先順位付けは非常に重要です。
Step 4 : Validation(検証)
検証フェーズでは、現在のセキュリティ設定の有効性を評価するため、シミュレーションとしての攻撃によってテストを行います。このフェーズの目的は、可能性のある攻撃方法を分析し、既に設定されている緩和策や修復計画が、見つかったリスクを迅速かつ全面的に対処できるかどうかを検証することです。
Step 5 : Mobilization(動員)
この最終フェーズでは、セキュリティ部門と業務部門との協力で、検証フェーズを経たセキュリティ上の問題やリスクを修正・解決します。このプロセスには製品オーナー、開発者、その他のIT担当者の積極的な参加が必要になります。具体的には、彼らはソフトウェアのパッチ適用、コード修正、設定の再構成といった、直接的な対策の実施を行います。