継続的な脅威エクスポージャー管理(CTEM)とは - プロアクティブなセキュリティ フレームワーク

既知の脆弱性を狙った侵害が急増した2022年、Gartnerは「継続的な脅威エクスポージャー管理(CTEM)」という新たな概念を提唱しました(出典：Gartner、Implement a Continuous Threat Exposure Management (CTEM) Program、2023年10月)。CTEMの5つのステップに従うことで、構造化された反復的なアプローチによりエクスポージャーを低減し、セキュリティ態勢を強化できます。

この概念が紹介されてから、世界中のセキュリティ リーダーがCTEM採用のプロジェクトに着手してきました。取り組みを進める企業では、脆弱性管理からエクスポージャー管理プログラムへと活発な進化が起こっています。その結果、より包括的な脆弱性管理のアプローチが重視され、単に共通脆弱性識別子(CVE)を特定することから、ビジネス リスクをより広く理解することに焦点が移行しつつあります。

CTEMの詳細については、このブログのほか、近日開催予定のCTEMリリース イベントやCTEMのeBookでもご確認いただけます。イベントに参加し、eBookをダウンロード、共有して、組織のリスク態勢の改善にお役立てください。

脆弱性管理プログラムでは不十分な理由

従来の脆弱性管理プログラムでは、動的で複雑な脅威の現状に適切に対処できなくなってきています。大多数のプログラムは、具体的なビジネス要件を組み込むことができておらず、リスク軽減策も考慮されていません。また、リスクの優先順位付けも的外れで、リスク計算の透明性やカスタマイズ性に欠けています。

従来のアプローチでは不十分になっている背景には、以下のような要因があります。

1.テクノロジーのスプロール化：SaaSソリューション、サードパーティーのサービス、多様なクラウド インフラにより、修正が推奨される項目が増加し、脆弱性管理の複雑化につながっています。

2.狭い定義：より包括的なアプローチを取るには、脆弱性の定義を拡大して設定ミスやコードの欠陥も考慮することが重要です。

3.ツールセットのサイロ化：リスクを理解するためには、資産やユーザー、行動、多様なシステムに関するデータが必要ですが、こうしたデータ セットは分断された複数のツールに存在しています。

CTEMの基盤

CTEMは、脆弱性管理プログラムを進化させるためのアプローチを提供します。Gartnerによると、「2026年までに、CTEMプログラムに基づいてセキュリティ投資の優先順位付けを行う組織は、侵害を受ける可能性が3分の1になると予測されています」(Gartner、同上)。

CTEMのプロセス

CTEMは、範囲設定、発見、優先順位付け、検証、実践の5つのステップで構成される循環的なプロセスです。ビジネス環境や脅威の状況の変化に合わせて調整を加えながら反復することで、セキュリティ部門やインフラ部門は、リスクを効果的に軽減するための実用的な結果を得られます。

1.範囲設定：CTEMプログラムでカバーする資産の範囲についてビジネス上の決定を下します。大規模な組織では、多くの場合、従来の脆弱性管理プログラムがカバーする範囲よりもはるかに大きな攻撃対象領域が存在しています。範囲を決定するには、金銭的損害や修復作業、消費者の信頼喪失、ビジネス パートナーへの損害など、潜在的なビジネスへの影響を慎重に検討する必要があります。

2.発見：CVEのみにとどまらず、資産やセキュリティ制御の設定ミス、偽の資産などの弱点も対象となります。さらに、ユーザーの行動を含める場合もあります。フィッシング攻撃に弱い個人を把握することも非常に重要なためです。ただし、単により多くの資産と脆弱性を発見するよりも、ビジネス リスクと潜在的な影響に基づいて正確に範囲を決定する方が有益である点に注意が必要です。

3.優先順位付け：CTEMプログラムを効果的なものにするうえで最も重要な側面であり、どの脆弱性がビジネスにとって最大のリスクをもたらすかを把握することに焦点を当てます。共通脆弱性スコアリング システム(CVSS)は、リスクに基づく脆弱性評価を目指した初の試みとして考案されたものですが、これには限界があります。効果的な優先順位付けを行うには、さまざまなソースのデータを総合し、組織固有のリスク要因とリスク軽減策を考慮する必要があります。

4.検証：露出した脆弱性がどのように悪用され得るかを理解するために、攻撃手法のシミュレーションまたはエミュレーションを行います。このステップでは、実際の攻撃が成功する可能性を評価し、潜在的な損害を推定して、現在の対応と修復プロセスの有効性を評価します。

5.実践：ここまでのステップで得られた調査結果に対応し、修復と報告に焦点を当てます。自動化で効率を高めることは可能であるものの、多くの場合、効果的な修復には人間の介入が必要です。リスク軽減プロセスにおける摩擦を減らすには、人間どうしのコミュニケーションとツールを組み合わせることが欠かせません。

CTEMのeBookでは、以上の5つの各ステップにおける課題と注意点について、より詳細に解説しています。

Zscalerによる効果的なCTEMプログラムの構築

リスクの状況の包括的な評価は、関連付けられた多数のデータ ソースから情報を得ることで実行可能です。ただし、人の手でその規模の分析を行うには、世界中のスプレッドシートを使っても足りません。

この課題に対処するために、Zscalerは、効果的なCTEMを実現するデータ ファブリックのアプリケーションを開発しました。Zscaler Data Fabric for Securityは、150以上のセキュリティ ツールとビジネス システムで得られたデータの集約と関連付けを可能にします。これによって、組織はリスクに関する理解を深め、管理を改善できます。Data Fabric for Securityは、セキュリティ データとビジネス コンテキストの膨大な数のデータ ポイントを対象に調整、重複排除、関連付け、強化を行い、複数のZscalerソリューションに提供します。

Asset Exposure Managementソリューション(来月リリース)とUnified Vulnerability Management (UVM)ソリューションは、資産とエクスポージャーのリスクを評価し、優先順位付けを行います。

Zscalerが新たにリリースするAsset Exposure Managementソリューションは、以下のような機能を提供します。

• 完全かつ正確な資産インベントリー：多数のソース システムにわたる資産情報を統合し、包括的で正確なインベントリーを作成します。
• 管理範囲のギャップの特定と解決：資産の詳細を関連付けて、設定ミスや不足している制御を特定することで、コンプライアンスを確保します。
• リスクの軽減：リスク軽減ポリシーを有効にし、ワークフローを割り当てて追跡しながら、CMDBを自動で更新します。

ZscalerのUVMソリューションは、以下のような機能を提供します。

• エクスポージャーの優先順位付け：実施されているリスク軽減策や最新の脅威インテリジェンスなど、環境固有のコンテキストを考慮して、組織にとって最もリスクの高いエクスポージャーを把握します。
• 動的なカスタム レポートの作成：動的なダッシュボードとレポートでリスクの状況を把握できます。直感的なウィジェットベースのウィザードを使用して、あらゆるデータ ポイントを表現し、独自のものを作成することが可能です。データは常に最新の状態に維持されるため、常に正確なレポートを利用できます。
• 修復ワークフローの自動化：チケットの割り当てと追跡を自動化し、各部門の作業の方法に合わせてカスタマイズすることで、修復を合理化できます。簡単に調整可能なグループ化のロジックに従って作業項目をクラスター化し、必要に応じて自動的にチケットを終了および再開することで、修復状況を常に正確に把握できます。

Zero Trust ExchangeによるCTEMの強化

Zscalerのお客様は、AIを活用した世界最大のインライン セキュリティ クラウドであるZscaler Zero Trust Exchangeから得られるインテリジェンスを活用して、CTEMソリューションの機能を強化できます。この統合を通じてリスクの優先順位付けを改善するとともに、取得した情報をポリシーの推奨に活用し、インテリジェントなフィードバック ループを構築することで、継続的にリスクを低減できるよう組織を支援します。

まとめ

CTEMは脆弱性管理を大きく進化させ、個々の脆弱性ではなく包括的なリスク管理を重視するものです。ZscalerのCTEMソリューションとZero Trust Exchangeを活用することで、進化する脅威やビジネスの変化に適応する堅牢なCTEMプログラムを構築し、結果的にビジネスの未来を守ることができます。

近日リリース予定の資産エクスポージャー管理tソリューションについては、バーチャル リリース イベントに参加してご確認ください。UVMソリューションの機能は、解説動画または個別のデモでご確認いただけます。CTEMとZscalerのソリューションの詳細については、CTEMのeBookをご覧ください。