近年、サイバー攻撃は巧妙化が進み、企業や組織にとって重大な問題となっています。最近では攻撃者が高度な手法を使って企業の内部への侵入を試みたり生成AIを悪用したりするなど、攻撃の手口が多岐に渡り、防御側の対応を困難にしています。このように急速に変化する脅威には、もはや従来のセキュリティ対策だけでは対応しきれない状況となっており、サイバー攻撃に対して新たな対応が求められています。本記事では、CTEM（Continuous Threat Exposure Management）導入のメリットや選定ポイントなどを解説します。

現代社会は、あらゆるものがインターネットに接続されるIoT時代へと突入しました。カメラ、センサー、スマートフォン、家電など、私たちの生活を便利にするデバイスがIoT化されています。このIoTデバイスの普及は、サイバー攻撃の攻撃対象（アタックサーフェス）を拡大させています。
IoT化により攻撃者は外部から内部ネットワークに容易に侵入できるようになり、新たな攻撃経路となっています。IoTデバイスの中には、セキュリティ対策が不十分なまま市場に投入されるものもあり、また、簡単なパスワード設定、脆弱なプロトコルの使用といったデバイス固有の脆弱性が存在するため、攻撃者にとっては格好の標的となっています。特に、OT（Operational Technology）環境で利用されているIoTデバイスは産業制御システムに接続されている場合が多く、攻撃成功時の影響が甚大となる可能性があります。
さらに、攻撃対象の複雑化に拍車をかけていると言えるのがクラウドコンピューティングの普及です。SaaS（Software as a Service）、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）など、さまざまなクラウドサービスが利用されるようになり、企業のIT基盤はクラウド上に移行する傾向にあります。サイバー攻撃の中には、クラウドサービスの設定不備を狙った攻撃も多く、マルチテナント環境の場合はほかのテナントからの横展開による攻撃（ラテラルムーブメント）のリスクも高まります。このように、IT基盤のクラウド移行がサイバー攻撃の新たな経路となっているのです。
このように、IoTデバイスの増加やクラウドコンピューティングの普及は企業や組織の攻撃面を拡大し、攻撃対象を多様化させています。IoTデバイスの脆弱性やクラウド環境特有のリスクなど新たな要素が加わることで、内部資産を含めた企業が保有するさまざまなIT資産に対するサイバー攻撃対策はますます困難になっています。マルウェアの侵入後も、セキュリティ対策が不十分な領域への拡大を防ぐための対策を強化し、組織全体のセキュリティレベルを高めることが求められます。

CTEMとは、米国の調査会社であるガートナー（Gartner, Inc）が2022年に提唱した考え方で、組織で保有するIT資産に対し脅威を継続的に監視し評価することで潜在的なセキュリティリスクを早期に特定し、対応するための包括的なセキュリティ管理フレームワークです。日本語では、「継続的脅威露出管理」や「継続的脅威エクスポージャー管理」と呼ばれています。
従来のセキュリティ対策が既知の脅威に対する事後的な対応に重点を置いていたのに対し、CTEMは未知の脅威も含めた潜在的なリスクを事前に特定し、よりプロアクティブなセキュリティ対策を講じることを可能にしています。
ガートナーはさらに、CTEMを「2024年のサイバーセキュリティのトップ・トレンド」「2024年の戦略的テクノロジのトップ・トレンド」と位置付けています。

CTEMは、組織全体のセキュリティ状態を継続的かつ包括的に監視し、改善するフレームワークです。CTEMは以下の5つのステップで継続的にセキュリティを強化する点に特長があります。

CTEMの対象範囲設定は、その後のプロセス全体に影響を与える非常に重要なステップとなるため、保護する対象となるIT資産の範囲を明確に設定しましょう。対象範囲には組織内のすべてのシステム、ネットワーク、アプリケーションなどが含まれ、機密性や侵害された場合に及ぼす影響などにもとづき対象範囲を設定します。

対象範囲が定義されたら、次のステップでは脅威の評価を実施します。ハードウェア、ソフトウェア、ネットワークなどのIT資産のスキャンを行い、攻撃者が悪用する可能性のある脆弱性や設定ミスを特定します。

リソースを効果的に割り当てるためには、悪用される可能性や影響の重大度、影響を受ける資産の価値などにもとづき、リスクに優先順位を付ける必要があります。さまざまな脅威に対しリスクレベルを判断し、対応の優先順位を決定します。

実施したセキュリティ対策が有効であることを確認するためには、検証を実施する必要があります。ペネトレーションテストや診断ツールを使用し、特定された脅威に対する疑似攻撃を実施し、セキュリティ対策の有効性を検証します。

脆弱性や設定ミスを適切に処理するためには、インシデント対応計画が不可欠です。このステップでは、セキュリティインシデントが発生した場合に講じるべき対応手順の整備や脆弱性の修正、セキュリティ設定の変更、従業員の教育など、セキュリティリスクを軽減するための適切な対策を実施します。

サイバー攻撃のリスクを低減するためには、CTEMを活用し継続的に新しいリスクがないか検証するだけではなく、セキュリティを強化するとともにIT部門やセキュリティ部門、事業部門が連携し、それぞれの役割を認識したうえで協力することが重要です。

CTEMとASM（Attack Surface Management：攻撃対象領域管理）はどちらも堅牢なサイバーセキュリティ戦略の重要な構成要素ですが、それぞれ異なるアプローチを行います。

CTEMは、脆弱性や設定ミスが悪用される前にそれを特定して軽減することに重点を置いたプロアクティブなアプローチです。主なアプローチとしては下記が挙げられます。

一方、ASMは主に組織の外部攻撃対象領域を特定して管理することにフォーカスしています。ASMの主なアプローチとしては下記が挙げられます。

主な違い

CTEMとASMはそれぞれ異なる目的を果たしますが、相互に排他的というわけではありません。実際、CTEMとASMを連携させてサイバーセキュリティへの包括的なアプローチを実現することがよくあります。ASMはインターネットに公開されたIT資産の把握や脆弱性などの検知に役立ちますが、CTEMはASMが特定したIT資産が適切に設定されセキュリティ上問題がない状態になっているかを可視化し、継続的に対処するのに役立ちます。
CTEMとASMはどちらもサイバー脅威から身を守るために不可欠な対策といえますが、この2つの違いを理解することで、より効果的なサイバーセキュリティ戦略を策定できるでしょう。

以下は、CTEMの具体的な活用例です。

従来の定期的スキャンに代わり、CTEMは、脆弱性が悪用される可能性をCVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）スコア^※や脆弱性データベースとの照合により定量的に評価します。これにより、リスクの高い脆弱性を優先的に是正し、限りあるセキュリティリソースの最適化を図ります。また、脆弱性スキャンの結果と脅威インテリジェンス^※を統合することで、ゼロデイ攻撃^※脆弱性や既知の脆弱性の新たな悪用パターンに対する早期検知を可能にします。

CTEMは、ダッシュボードやレポート機能を通じて、組織全体のセキュリティ状況を視覚的に可視化します。これにより、経営層やセキュリティ担当者は、脆弱性状況、インシデント発生件数、セキュリティ対策の実効性などを定量的に把握し、セキュリティ戦略の策定に役立てることができます。

CTEMの導入により、組織のセキュリティを劇的に向上させ、事業の継続性を確保することができます。従来のセキュリティ対策と比較し、CTEMの導入には以下のようなメリットがあります。

脆弱性リスク評価にもとづいた優先順位付けを行い、セキュリティ対策に対する投資の効率化を図ります。

CTEMを導入する際には、慎重な計画と実行が求められます。以下にCTEM導入と製品選定のポイントを詳細に解説します。

CTEMの導入を成功させるためには、事前の綿密な計画が不可欠です。まず、プロジェクト計画書を作成し、導入に関わるすべてのタスクを洗い出し、それぞれの担当者とスケジュールを明確にします。次に、既存のセキュリティシステムとのデータ移行や設定変更、システムテストなど、移行に関する詳細な計画を立案します。導入に伴うさまざまな技術的リスクや人的リスクなどを洗い出し、リスク対応マトリックスを作成することで、万が一の場合の対策を事前に検討します。そして、経営層から現場の従業員まで、関係者全員に対してCTEM導入の目的やメリット、具体的なスケジュールなどを周知徹底し、円滑な導入を進めるためのコミュニケーション計画を策定します。これらの計画をもとに、スムーズな導入と運用開始をめざします。

CTEMの導入は、計画通りに進めるだけでなく、実際の運用環境において最適な状態にするための調整が不可欠です。まず、全社展開の前に、小規模な範囲で導入を行い、システムの挙動や問題点を洗い出し、改善を行います。これにより、本番環境でのトラブルを最小限に抑え、スムーズな移行を実現します。次にシステム全体の性能を最大限に引き出し、誤検知を減らすために、設定のチューニングを行います。これらを経てCTEMを最適化することで、組織のセキュリティレベル向上に貢献します。
小規模な導入ではシステムの安定性、パフォーマンス、ユーザビリティなどを検証し、必要に応じて機能追加や設定変更を行います。

CTEMの導入後も、その効果を最大限に引き出すための継続的な運用と改善が不可欠です。CTEM導入後の有効性を定期的に評価し、5つのステップに従い対象範囲や優先順位付けの見直しおよび調整を行います。

CTEM導入後の有効性を最大限に引き出すためには、定期的な見直しを通じてCTEMの対象範囲をビジネス環境の変化に合わせた調整や新たな脅威に対応するための対策強化が重要です。疑似攻撃の実施やインシデント対応の検証を通じてセキュリティ対策の有効性を確認し、継続的な改善につなげましょう。CTEMの有効活用には、IT部門だけでなく、経営層や各部門の協力が不可欠です。定期的な評価の結果を共有し、組織全体でセキュリティ意識を高めることで、より強固なセキュリティ体制を築くことができるでしょう。

CTEMを選ぶ際は、いくつかの重要なポイントを考慮する必要があります。まず、脆弱性管理、脅威インテリジェンス、インシデント対応など、組織のセキュリティニーズを満たすための機能が網羅されているかを確認しましょう。また、組織の成長や新たな脅威の出現に対応できるよう、拡張性も重要な要素です。さらに、既存のセキュリティシステムとの連携も考慮し、スムーズな導入と運用が可能な製品を選びましょう。最後に、ベンダーの技術サポート体制やトレーニングプログラム、コミュニティサポートなども重要な評価基準となります。
複数のベンダーから最適な製品を選択するためには、慎重な評価が必要です。まず、各ベンダーの製品を実際に導入し、その性能や機能を検証するPoC（Proof of Concept：概念実証）を実施します。検証項目としては、製品の機能性、パフォーマンス、価格、サポート体制、セキュリティ体制などが挙げられます。特に、ベンダーのセキュリティ体制は製品のセキュリティレベルを左右するため、セキュリティ認証の有無や、情報セキュリティに関する取り組みなどを詳細に評価する必要があります。これらの評価を通じて、自社の要件に最も適合したベンダーを決定します。
CTEM製品の選定は、組織のセキュリティ対策の成否を左右する重要なプロセスです。機能性、拡張性、統合性、ベンダーサポートといった多角的な視点から製品を評価し、自社のセキュリティ戦略に最適な製品を選びましょう。
これらの点を踏まえ、自社に最適なCTEMを導入し、セキュリティ対策を強化していくことが重要です。

サイバー攻撃は絶えず進化・高度化しており、その被害はサプライチェーン全体を壊滅させるほどの影響があるかもしれません。このような状況において、規模や業種を問わず企業はサイバー攻撃に対して弱点がない堅牢な組織を作る必要があります。CTEMの導入により、脅威を継続的に監視しセキュリティリスクを軽減することで、サイバー攻撃を受けても事業継続性を確保できる組織を実現することができるでしょう。
本記事を参考に、CTEMの導入を検討してみてはいかがでしょうか。