サイバーニュース.jp

世界のサイバーなニュースを配信

CTEM(継続的脅威暴露管理)の実践:優先順位付け、検証、そして重要な成果

カテゴリ:

CTEM(継続的脅威暴露管理)とは何か

サイバーセキュリティチームは、脅威と脆弱性を個別に捉える従来のやり方から脱却しようとしています。問題は、何が問題を起こし得るか(脆弱性)や誰が攻撃するか(脅威)だけでなく、それらが実際の環境でどのように交差し、悪用可能な露出を生み出すかという点にあります。

「本当に重要な露出は何か?攻撃者はそれを悪用できるのか?私たちの防御は効果的なのか?」という問いに答えるため、CTEM(継続的脅威露出管理)は、脅威、脆弱性、露出の統合的な管理に向けた有用なアプローチを提供します。

CTEMの基本原則と5つのステップ

Gartnerによって定義されるCTEMは、攻撃対象領域全体にわたる悪用可能な露出を特定し、優先順位を付け、修復する「継続的な」サイクルを重視します。これにより、全体的なセキュリティ態勢が向上します。

CTEMは単なる一度のスキャンやツールによる結果報告ではなく、以下の5つのステップに基づいた運用モデルです。

  • スコープ設定 (Scoping):脅威と脆弱性を評価し、資産、プロセス、攻撃者など、最も重要なものを特定します。
  • 発見 (Discovery):環境全体の露出と攻撃経路をマッピングし、攻撃者の行動を予測します。
  • 優先順位付け (Prioritization):攻撃者が現実的に悪用できるもの、そして修正が必要なものに焦点を当てます。
  • 検証 (Validation):安全で制御された攻撃シミュレーションを用いて、仮定をテストします。
  • 動員 (Mobilization):証拠に基づき、修復とプロセス改善を推進します。

CTEMがもたらす真のメリット

CTEMは、脆弱性評価、脆弱性管理、攻撃対象領域管理、テスト、シミュレーションなど、多くのサブプロセスとツールを統合し、リスクベースの露出管理へと焦点を移します。

CTEMは露出評価と露出検証を統合し、セキュリティチームがサイバーリスク軽減への潜在的な影響を記録・報告できるようにすることを最終目標としています。サイバーセキュリティ分野ではツールが豊富に存在する一方で、それらがサイロ化を生み出している現状があります。CTEMは、このサイロ化を打破し、脅威、脆弱性、攻撃対象領域に関する見解を統一し、真に悪用可能な露出に対して行動を起こし、全体的なサイバーリスクを軽減できるかに挑戦します。

CTEMにおける脅威インテリジェンスの役割

毎年何千もの脆弱性が報告されますが(2024年には40,000件以上)、実際に悪用されるのはその10%未満です。脅威インテリジェンスは、活動中のキャンペーンで観測された攻撃者の戦術、技術、手順(TTPs)と脆弱性を結びつけることで、組織にとって本当に重要な脆弱性を特定するのに役立ちます。

脅威インテリジェンスはもはや「あれば良いもの」ではなく、「必要不可欠なもの」です。これは、環境内で最も重要なコンテキストと脅威ランドスケープである優先インテリジェンス要件(PIRs)を特定するのに役立ちます。優先順位付けされた脅威インテリジェンスは、どの欠陥が、どのターゲットに対して、どのような状況で悪用されているかを伝え、理論的に可能なことではなく、環境内で実際に悪用され得るものに修復の焦点を当てることができます。

脅威インテリジェンスチームに問いかけるべき質問は、「今日収集している脅威データから、その価値を最大限に引き出しているか?」ということです。これが改善の第一歩となります。

検証主導型のリスク軽減

優先順位付けされた脅威インテリジェンスの後は、テストと検証が不可欠です。これにより、最も可能性の高い悪用可能な点や攻撃経路に対してセキュリティコントロールがどのように機能するか、そしてそれが組織にどのような影響を与えるかを評価できます。

ここで重要なのは、セキュリティ検証プログラムが技術だけでなく、プロセスと人をも含める必要があるということです。インシデントワークフローが不明確であったり、プレイブックが古くなっていたり、エスカレーション経路がプレッシャーの下で機能しなかったりする場合、完璧に調整されたEDR、SIEM、WAFも限定的な保護しか提供しません。これが、侵害&攻撃シミュレーション、机上訓練、自動ペネトレーションテストなどが、攻撃的露出検証(AEV)へと収束していく領域です。

バズワードに惑わされずにCTEMを導入する

CTEMは単なる製品ではなく、露出管理のための成果重視のメトリクスを用いた戦略的アプローチです。その導入は、単一のセキュリティチームや機能に任せるものではありません。これは、サイロを打破し、チーム間のセキュリティワークフローを改善するために、トップダウンで推進されるべきです。

効果的なCTEM導入のための問いかけ

露出管理プログラムに何を含め、どこに最初に焦点を当てるかを決定するため、「スコープ設定」の段階から始めましょう。以下の問いかけが、現実的でリスクに合致したCTEMのスコープを定義するのに役立ちます。

  • サイバーセキュリティが直接影響を与えられる、私たちのビジネスにおける最大のサイバーリスクは何か?
  • どの環境(オンプレミス、クラウド、IT/OT、子会社など)および資産タイプ(重要資産、エンドポイント、IDシステム、データストアなど)がスコープ内にあるか?このインベントリを正確に把握しているか?
  • 私たちの業界や技術スタックに最も関連性の高い脅威アクターと攻撃手法は何か?
  • 既存の脅威インテリジェンスとインシデントデータをどのように組み込み、スコープを洗練させるか?
  • 「重大な露出」をどのように定義するか(悪用可能性、ビジネスへの影響、データ機密性、爆発半径などに基づく)?
  • 現在、ツール、人、プロセスを検証できているか?
  • このスコープ内で問題を修復するための初期能力(人員、ツール、SLAなど)はどの程度か?

これは網羅的なリストではありませんが、これらの質問は、広範すぎて管理不能な取り組みではなく、実行可能で測定可能な、現実的でリスクに合致したCTEMのスコープを定義するのに役立ちます。

結論として、CTEMは、「何が私たちを傷つける可能性があるのか?」「それはどのように起こるのか?」「私たちはそれを阻止できるのか?」という重要な問いに、証拠をもって答えるときに機能します。

元記事: https://thehackernews.com/2026/01/ctem-in-practice-prioritization.html

投稿をさらに読み込む