サイバー攻撃から組織を守る!CTEMの重要性

サイバー攻撃から組織を守る!CTEMの重要性

近年、サイバー攻撃は巧妙化が進み、企業や組織にとって重大な問題となっています。最近では攻撃者が高度な手法を使って企業の内部への侵入を試みたり生成AIを悪用したりするなど、攻撃の手口が多岐に渡り、防御側の対応を困難にしています。このように急速に変化する脅威には、もはや従来のセキュリティ対策だけでは対応しきれない状況となっており、サイバー攻撃に対して新たな対応が求められています。本記事では、CTEM(Continuous Threat Exposure Management)導入のメリットや選定ポイントなどを解説します。

1.なぜ今、CTEMが注目されているのか

現代社会は、あらゆるものがインターネットに接続されるIoT時代へと突入しました。カメラ、センサー、スマートフォン、家電など、私たちの生活を便利にするデバイスがIoT化されています。このIoTデバイスの普及は、サイバー攻撃の攻撃対象(アタックサーフェス)を拡大させています。
IoT化により攻撃者は外部から内部ネットワークに容易に侵入できるようになり、新たな攻撃経路となっています。IoTデバイスの中には、セキュリティ対策が不十分なまま市場に投入されるものもあり、また、簡単なパスワード設定、脆弱なプロトコルの使用といったデバイス固有の脆弱性が存在するため、攻撃者にとっては格好の標的となっています。特に、OT(Operational Technology)環境で利用されているIoTデバイスは産業制御システムに接続されている場合が多く、攻撃成功時の影響が甚大となる可能性があります。
さらに、攻撃対象の複雑化に拍車をかけていると言えるのがクラウドコンピューティングの普及です。SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)など、さまざまなクラウドサービスが利用されるようになり、企業のIT基盤はクラウド上に移行する傾向にあります。サイバー攻撃の中には、クラウドサービスの設定不備を狙った攻撃も多く、マルチテナント環境の場合はほかのテナントからの横展開による攻撃(ラテラルムーブメント)のリスクも高まります。このように、IT基盤のクラウド移行がサイバー攻撃の新たな経路となっているのです。
このように、IoTデバイスの増加やクラウドコンピューティングの普及は企業や組織の攻撃面を拡大し、攻撃対象を多様化させています。IoTデバイスの脆弱性やクラウド環境特有のリスクなど新たな要素が加わることで、内部資産を含めた企業が保有するさまざまなIT資産に対するサイバー攻撃対策はますます困難になっています。マルウェアの侵入後も、セキュリティ対策が不十分な領域への拡大を防ぐための対策を強化し、組織全体のセキュリティレベルを高めることが求められます。

2.CTEMとは

CTEMとは、米国の調査会社であるガートナー(Gartner, Inc)が2022年に提唱した考え方で、組織で保有するIT資産に対し脅威を継続的に監視し評価することで潜在的なセキュリティリスクを早期に特定し、対応するための包括的なセキュリティ管理フレームワークです。日本語では、「継続的脅威露出管理」や「継続的脅威エクスポージャー管理」と呼ばれています。
従来のセキュリティ対策が既知の脅威に対する事後的な対応に重点を置いていたのに対し、CTEMは未知の脅威も含めた潜在的なリスクを事前に特定し、よりプロアクティブなセキュリティ対策を講じることを可能にしています。
ガートナーはさらに、CTEMを「2024年のサイバーセキュリティのトップ・トレンド」「2024年の戦略的テクノロジのトップ・トレンド」と位置付けています。

3.CTEMの特長

CTEMは、組織全体のセキュリティ状態を継続的かつ包括的に監視し、改善するフレームワークです。CTEMは以下の5つのステップで継続的にセキュリティを強化する点に特長があります。

1.対象範囲の設定(Scoping)

CTEMの対象範囲設定は、その後のプロセス全体に影響を与える非常に重要なステップとなるため、保護する対象となるIT資産の範囲を明確に設定しましょう。対象範囲には組織内のすべてのシステム、ネットワーク、アプリケーションなどが含まれ、機密性や侵害された場合に及ぼす影響などにもとづき対象範囲を設定します。

2.発見(Discovery)

対象範囲が定義されたら、次のステップでは脅威の評価を実施します。ハードウェア、ソフトウェア、ネットワークなどのIT資産のスキャンを行い、攻撃者が悪用する可能性のある脆弱性や設定ミスを特定します。

3.優先順位付け(Prioritization)

リソースを効果的に割り当てるためには、悪用される可能性や影響の重大度、影響を受ける資産の価値などにもとづき、リスクに優先順位を付ける必要があります。さまざまな脅威に対しリスクレベルを判断し、対応の優先順位を決定します。

4.検証(Validation)

実施したセキュリティ対策が有効であることを確認するためには、検証を実施する必要があります。ペネトレーションテストや診断ツールを使用し、特定された脅威に対する疑似攻撃を実施し、セキュリティ対策の有効性を検証します。

5.動員(Mobilization)

脆弱性や設定ミスを適切に処理するためには、インシデント対応計画が不可欠です。このステップでは、セキュリティインシデントが発生した場合に講じるべき対応手順の整備や脆弱性の修正、セキュリティ設定の変更、従業員の教育など、セキュリティリスクを軽減するための適切な対策を実施します。

サイバー攻撃のリスクを低減するためには、CTEMを活用し継続的に新しいリスクがないか検証するだけではなく、セキュリティを強化するとともにIT部門やセキュリティ部門、事業部門が連携し、それぞれの役割を認識したうえで協力することが重要です。

4.CTEMとASMの違い

CTEMとASM(Attack Surface Management:攻撃対象領域管理)はどちらも堅牢なサイバーセキュリティ戦略の重要な構成要素ですが、それぞれ異なるアプローチを行います。

CTEM:脅威の発見と継続的な是正

CTEMは、脆弱性や設定ミスが悪用される前にそれを特定して軽減することに重点を置いたプロアクティブなアプローチです。主なアプローチとしては下記が挙げられます。

  • 継続的な監視:システム、ネットワーク、ログ、その他の関連データを追跡し、異常や潜在的な攻撃の兆候を継続的に検出します。
  • サイバー攻撃への準備態勢強化:新たな脅威や脆弱性に関する情報を収集して分析し、情報を入手してサイバー攻撃に対する準備態勢を整えます。
  • 対策の優先順位の決定:さまざまな脅威の可能性と潜在的な影響からリスク評価を行い、対策の優先順位を決定します。
  • インシデント対応計画の支援:セキュリティインシデントが発生した際に効果的に対応する戦略を策定します。また、CTEMの活用は継続的にインシデント対応計画を見直し改善を行うのに役立ちます。

ASM:組織の外部攻撃対象領域(アタックサーフェス)を管理

一方、ASMは主に組織の外部攻撃対象領域を特定して管理することにフォーカスしています。ASMの主なアプローチとしては下記が挙げられます。

  • 外部公開資産の洗い出し:インターネットからアクセス可能な、クラウド環境を含むすべてのシステム、ソフトウェア、アプリケーション、デバイスなどを特定します。
  • 既知の脆弱性特定:攻撃者が悪用する可能性のある既知の脆弱性を洗い出します。
  • 未知の脆弱性の監視:外部公開されているIT資産をリアルタイムに監視し、管理者が気づかない未知の脆弱性を特定することが可能です。

主な違い

CTEM ASM
対象とする脅威 内部および外部の脅威 外部の脅威
保護範囲 組織内およびインターネットからアクセス可能なIT資産 インターネットからアクセス可能なIT資産
目的 脆弱性が悪用される前に対策する 攻撃される可能性がある外部攻撃対象領域を減らす

CTEMとASMはそれぞれ異なる目的を果たしますが、相互に排他的というわけではありません。実際、CTEMとASMを連携させてサイバーセキュリティへの包括的なアプローチを実現することがよくあります。ASMはインターネットに公開されたIT資産の把握や脆弱性などの検知に役立ちますが、CTEMはASMが特定したIT資産が適切に設定されセキュリティ上問題がない状態になっているかを可視化し、継続的に対処するのに役立ちます。
CTEMとASMはどちらもサイバー脅威から身を守るために不可欠な対策といえますが、この2つの違いを理解することで、より効果的なサイバーセキュリティ戦略を策定できるでしょう。

5.CTEMの具体的な活用例

以下は、CTEMの具体的な活用例です。

脆弱性管理の高度化

従来の定期的スキャンに代わり、CTEMは、脆弱性が悪用される可能性をCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)スコアや脆弱性データベースとの照合により定量的に評価します。これにより、リスクの高い脆弱性を優先的に是正し、限りあるセキュリティリソースの最適化を図ります。また、脆弱性スキャンの結果と脅威インテリジェンスを統合することで、ゼロデイ攻撃脆弱性や既知の脆弱性の新たな悪用パターンに対する早期検知を可能にします。

※CVSSスコア:情報システムの脆弱性の深刻度を評価するための国際的な標準指標で、0から10.0までの数値で脆弱性の重大さを表します。
※脅威インテリジェンス:潜在的な脅威について収集されたデータ、またはそのデータを収集、処理、分析するプロセスを指します。
※ゼロデイ攻撃:ソフトウェアやシステムの未知の脆弱性を悪用して行われるサイバー攻撃

セキュリティ戦略の策定支援

CTEMは、ダッシュボードやレポート機能を通じて、組織全体のセキュリティ状況を視覚的に可視化します。これにより、経営層やセキュリティ担当者は、脆弱性状況、インシデント発生件数、セキュリティ対策の実効性などを定量的に把握し、セキュリティ戦略の策定に役立てることができます。

6.CTEM導入のメリット

CTEMの導入により、組織のセキュリティを劇的に向上させ、事業の継続性を確保することができます。従来のセキュリティ対策と比較し、CTEMの導入には以下のようなメリットがあります。

高度な脅威検知と対応

  • ゼロデイ攻撃への対応:定期的な脆弱性スキャンに加え、未知の脆弱性を早期に発見し、攻撃される前に対策を講じることが可能です。
  • 標的型攻撃へのプロアクティブな対応:脅威インテリジェンスをもとに攻撃パターンを特定し、標的型攻撃を未然に防ぎます。

セキュリティ投資の効率化

脆弱性リスク評価にもとづいた優先順位付けを行い、セキュリティ対策に対する投資の効率化を図ります。

事業継続性とブランド価値の向上

  • 対象範囲の設定(Scoping)の見直し:脆弱性の早期発見と対策により、システムの停止時間を最小限に抑え、事業継続性を確保します。
  • ブランド価値の向上:サイバー攻撃に対する適切な姿勢を示すことで、顧客からの信頼を獲得し、ブランド価値を向上させます。
  • 競争優位性の獲得:強固なセキュリティ体制は、競合他社との差別化につながり、市場における競争優位性を確立します。

7.CTEMの導入と選び方

CTEMを導入する際には、慎重な計画と実行が求められます。以下にCTEM導入と製品選定のポイントを詳細に解説します。

導入計画の策定

CTEMの導入を成功させるためには、事前の綿密な計画が不可欠です。まず、プロジェクト計画書を作成し、導入に関わるすべてのタスクを洗い出し、それぞれの担当者とスケジュールを明確にします。次に、既存のセキュリティシステムとのデータ移行や設定変更、システムテストなど、移行に関する詳細な計画を立案します。導入に伴うさまざまな技術的リスクや人的リスクなどを洗い出し、リスク対応マトリックスを作成することで、万が一の場合の対策を事前に検討します。そして、経営層から現場の従業員まで、関係者全員に対してCTEM導入の目的やメリット、具体的なスケジュールなどを周知徹底し、円滑な導入を進めるためのコミュニケーション計画を策定します。これらの計画をもとに、スムーズな導入と運用開始をめざします。

導入と設定

CTEMの導入は、計画通りに進めるだけでなく、実際の運用環境において最適な状態にするための調整が不可欠です。まず、全社展開の前に、小規模な範囲で導入を行い、システムの挙動や問題点を洗い出し、改善を行います。これにより、本番環境でのトラブルを最小限に抑え、スムーズな移行を実現します。次にシステム全体の性能を最大限に引き出し、誤検知を減らすために、設定のチューニングを行います。これらを経てCTEMを最適化することで、組織のセキュリティレベル向上に貢献します。
小規模な導入ではシステムの安定性、パフォーマンス、ユーザビリティなどを検証し、必要に応じて機能追加や設定変更を行います。

運用と継続的な改善

CTEMの導入後も、その効果を最大限に引き出すための継続的な運用と改善が不可欠です。CTEM導入後の有効性を定期的に評価し、5つのステップに従い対象範囲や優先順位付けの見直しおよび調整を行います。

  1. 対象範囲の設定(Scoping)の見直し
    ・対象範囲の定期的な見直し:ビジネス環境の変化に合わせ、自社やグループ会社の対象範囲を定期的に見直しましょう。
    ・保護対象の拡大:新たな脅威や攻撃手法の出現に伴い、保護対象範囲を拡大する必要がないか確認します。また、法規制や業界ガイドラインの変更に伴い、対象範囲を調整する必要がないかも確認します。
  2. 発見(Discovery)の見直し
    ・誤検知:脆弱性や設定ミスの誤検知が発生していないか確認します。
    ・新たな脅威の発見:新たな脆弱性や設定ミスがないか、発見ステップを再度実行します。
    ・関連性:CTEMに統合されている脅威インテリジェンスは期待する脅威を発見できているか確認します。
  3. 優先順位付け(Prioritization)の見直し
    ・影響度の再評価と優先順位付け:ビジネスに与える影響度を再評価し、重要度が高い資産への重点的な保護を検討します。また、頻繁に攻撃される可能性のある資産を優先的に保護対象とすべきかなども検討します。
    ・関連性:CTEMに統合されている脅威インテリジェンスの情報も加味し、影響度の再評価と優先順位付けを決定します。
  4. 検証(Validation)の見直し
    ・定期的な検証:疑似攻撃の実施後にセキュリティ対策が不十分となっている箇所がないか、セキュリティ対策の有効性を定期的に検証します。
  5. 動員(Mobilization)の見直し
    ・インシデント対応の有効性確認:インシデント対応が適切に行われていたか、また、根本原因が特定され、再発を防ぐために適切に対処できているかを確認します。
    ・セキュリティ体制の改善:継続的にセキュリティ脅威に対応するための体制が整備されているか、関連する部門が連携できているか、従業員への教育は十分行われているかなど確認します。

CTEM導入後の有効性を最大限に引き出すためには、定期的な見直しを通じてCTEMの対象範囲をビジネス環境の変化に合わせた調整や新たな脅威に対応するための対策強化が重要です。疑似攻撃の実施やインシデント対応の検証を通じてセキュリティ対策の有効性を確認し、継続的な改善につなげましょう。CTEMの有効活用には、IT部門だけでなく、経営層や各部門の協力が不可欠です。定期的な評価の結果を共有し、組織全体でセキュリティ意識を高めることで、より強固なセキュリティ体制を築くことができるでしょう。

CTEM選定のポイント

CTEMを選ぶ際は、いくつかの重要なポイントを考慮する必要があります。まず、脆弱性管理、脅威インテリジェンス、インシデント対応など、組織のセキュリティニーズを満たすための機能が網羅されているかを確認しましょう。また、組織の成長や新たな脅威の出現に対応できるよう、拡張性も重要な要素です。さらに、既存のセキュリティシステムとの連携も考慮し、スムーズな導入と運用が可能な製品を選びましょう。最後に、ベンダーの技術サポート体制やトレーニングプログラム、コミュニティサポートなども重要な評価基準となります。
複数のベンダーから最適な製品を選択するためには、慎重な評価が必要です。まず、各ベンダーの製品を実際に導入し、その性能や機能を検証するPoC(Proof of Concept:概念実証)を実施します。検証項目としては、製品の機能性、パフォーマンス、価格、サポート体制、セキュリティ体制などが挙げられます。特に、ベンダーのセキュリティ体制は製品のセキュリティレベルを左右するため、セキュリティ認証の有無や、情報セキュリティに関する取り組みなどを詳細に評価する必要があります。これらの評価を通じて、自社の要件に最も適合したベンダーを決定します。
CTEM製品の選定は、組織のセキュリティ対策の成否を左右する重要なプロセスです。機能性、拡張性、統合性、ベンダーサポートといった多角的な視点から製品を評価し、自社のセキュリティ戦略に最適な製品を選びましょう。
これらの点を踏まえ、自社に最適なCTEMを導入し、セキュリティ対策を強化していくことが重要です。

8.まとめ

サイバー攻撃は絶えず進化・高度化しており、その被害はサプライチェーン全体を壊滅させるほどの影響があるかもしれません。このような状況において、規模や業種を問わず企業はサイバー攻撃に対して弱点がない堅牢な組織を作る必要があります。CTEMの導入により、脅威を継続的に監視しセキュリティリスクを軽減することで、サイバー攻撃を受けても事業継続性を確保できる組織を実現することができるでしょう。
本記事を参考に、CTEMの導入を検討してみてはいかがでしょうか。

本ページの一部は、生成AIにより生成されたコンテンツを使用しています。

この記事に関連するおすすめ製品

CrowdStrike

継続的に資産の脅威を把握し、重要度に応じて対処する優先順位を決め、セキュリティ態勢を維持します。

おすすめコラム

EASM(External Attack Surface Management)とは?アタックサーフェスの把握と管理の重要性について詳しく解説!

サイバー攻撃による被害が深刻化するなか、攻撃対象となり得る“アタックサーフェス”を把握・管理する、新たなセキュリティ対策の導入が不可欠となっています。本コラムでは、サイバー攻撃によるセキュリティリスクを軽減するとして注目されている「EASM」について、重要性や活用法、導入のポイントを解説しています。

関連コラム

トータルセキュリティソリューション コンテンツ一覧