CTEM（Continuous Threat Exposure Management）とは？

定義

CTEM（Continuous Threat Exposure Management）という概念はGartnerが提唱したもので、以下のように定義されています。

‍

「Continuous Threat Exposure Managementプログラムはエンタープライズが自社のデジタルアセットおよび物理アセットのアクセシビリティ、脅威エクスポージャ、エクスプロイト可能性を継続的かつ一貫性のある方法で評価することができる一連のプロセスと機能です。」

CTEMプログラムは、攻撃を目論む脅威アクター（単独、組織、あるいはスポンサーのいる個人など） を企業や組織が監視、制御できるようにするものです。CTEMでの監視の成否は複数の要因に左右されます。例えば、企業や組織の全アセット（以下、物理アセットやデジタルアセット、デジタル資産をまとめて「アセット」という）と、そのアセットに潜在する脆弱性の危険度と拡散範囲、そしてそれらを取り巻くファイアウォールやIPS、WAFなどのセキュリティコントロール対策の管理、企業や組織が晒されている脅威の状況について、適切な内容にフォーカスした情報の把握にかかっています。こうした複数の要因を正しく把握することでサイバーセキュリティ部門はビジネス上重要なリスクを把握し、脅威エクスポージャを軽減するために、どの脆弱性を優先して修復すればよいのかを判断できます。

TEM（Threat Exposure Management）のケース

サイバーセキュリティ部門が抱えている一般的な脆弱性の修復要求は増える一方で、その修復を行うITオペレーションチームとのコンセンサスも得られないまま、脆弱性が常に拡大している状況です。新たなアドバーサリが毎日リリースされる中、脅威リスクを常に把握することができず、潜在的な脅威に対するセキュリティコントロールの効果も正しく評価できていません。サイバーセキュリティ市場にはこうした問題の一部を回避できるツールがありますが、統合されていないポイントソリューションでは、一貫性のないデータ入力からの出力結果は、無意味な出力結果が得られるだけです。総合的でビジネス中心のソリューションが必要です。CTEMはこうした理想を実現するための枠組みです。

範囲設定

CTEMは複数プロジェクトで反復する5段階のプログラムになります。これらのプロジェクトの開始は新たなビジネスイニシアチブ、監査、セキュリティコントロールの変更、あるいは潜在的リスクの再調整がトリガーになります。各プロジェクトは範囲設定（Scoping）段階から開始します。範囲設定によってディスカバリ、テスト、強化が必要なビジネスクリティカルなアセットを特定します。セキュリティからITオペレーション、GRC（ガバナンス-Governance、リスク-Risks、コンプライアンス-Compliance）、アセットオーナーに至るまで、すべての関係者がモビライゼーション（Mobilization）段階でアクションに結び付くリスク軽減の必要性を理解しているのが理想的です。ディスカバリ（Discovery）段階では企業がビジネス上重要なアセット、関連する脆弱性、セキュリティコントロール設定ミスの情報、その他関連する脆弱性について把握します。

ディスカバリ

ディスカバリツールでプロジェクト範囲外の情報が発見され、未知のアセット、脆弱性、設定ミスなどのリスクが検出されることがよくあります。サイバーセキュリティ部門が分析に時間が取られてしまい、作業が止まってしまうのはこのような状況のためです。脆弱性や設定ミスによっては関係ないものもあり、重要性が等しいわけでもありません。すべての脆弱性を即座に修復することは不可能なので優先順位を付ける必要があります。 

優先順位付け

正しく優先順位を判定するには、ビジネスへの影響と脅威エクスポージャの明確な理解、それをサポートするテクノロジーが不可欠です。CVEに定義済みのCVSSスコアも深刻度の理解には役立ちますが、それだけでは不十分です。企業はアセットに対して重大度を割り当て、継続的な脅威インテリジェンスによる該当脆弱性の悪用状況とこれらの情報の近接度を特定して、全てを含めて、該当アセットに対して総合的に重大度を考慮する必要があります。被害を軽減するためのセキュリティコントロールやその他の回避策を文書化することで、実践的な修復方法を把握しておく必要もあります。

Gartnerは次のように述べています。

「脅威エクスポージャへの対処は、緊急性、重大度、セキュリティコントロール対策の可用性（回避策の有無とその有効性）、潜在的なリスク、リスクレベルに基づき優先度を判断する必要があります。」

アセット数が数十台で脆弱性の数が数百個程度のエンタープライズでも、こうした計算を全ての脆弱性に対して行うことは不可能なことです。そのためテクノロジーによる助けが不可欠になります。

検証

検証（Validation）段階では、企業や組織は「実際の攻撃方法と対処方法」について検討します。悪用が確認されている脅威など、近接している脅威の証拠資料の次に必要になるのは、攻撃のシミュレーション・エミュレーションによるセキュリティコントロールと脆弱性修復の優先順位を判断する能力です。  

Gartnerでは検証（Validation）について以下のように述べています。

「検証には様々な技術的アセスメント（ペネトレーションテスト、レッドチーム、侵害と攻撃のシミュレーション、攻撃経路の分析など）を組み合わせる必要がありますが、組織内での同意も必要になります。」

この段階ではサイバーセキュリティ部門はシミュレーションを優先順位の判断のための「エビデンス」として使用し、ITオペレーションやビジネス関係者に対してビジネスインパクトを考慮した修復の必要性を示すことができます。優先順位付けは克服しなければならないハードルですが、克服不可能なことではありません。事実、最も困難な段階はモビライゼーション（Mobilization）です。

モビライゼーション

一般的な脆弱性が対処できないまま、その数が増大してしまう理由は、サイバーセキュリティ部門が承認と実装プロセスにおいて官僚主義的な摩擦に直面しているからです。これまでは、手元にエビデンスや提示する修復方法の選択肢が少ないため 、ITオペレーションとアセットオーナーによるチーム間の承認に遅れが生じます。ビジネスインパクトに注目して、的を絞った脅威重視の優先順位判定とそのエビデンスで裏付けられた攻撃シミュレーションを組み合わせれば、脆弱性修復に異議を唱える余地がなくなるでしょう。それでもセキュリティに関わることが滅多にないチームの間では、引き続き理解不足に起因する異論と、それによる作業の停滞を招くでしょう。そのため範囲設定（Scoping）段階では、すべての関係者に参加してもらい、この時点までのあらゆる情報を伝えるといった取り組みが必要です。そのためにテクノロジーを活用し、関係者による情報やアラートの発信、更新の確認を証明できるようにしておきます。モビライゼーション（Mobilization）の結果、エグゼクティブリーダーシップは最終的にセキュリティ体制と脅威環境を公平に理解することができます。

主な利点

Gartnerは次のように予測しています。

「2026年までに、継続的な脅威エクスポージャ管理に基づいたセキュリティ投資の優先度を決定する企業や組織は、侵害による被害の可能性が3分の1になるでしょう。」  

CTEMに準拠する企業は問題が発生してから対処するようなリアクティブなアプローチではなく、公開情報や観測結果などの各方面からの情報を元にした予測に基づくプロアクティブなアプローチで脅威に対処します。企業や組織は誤検知や過検知などの脆弱性のノイズも減少させながら、リスクの最小化、部署間のコラボレーション強化を行うことができます。ただし企業や組織が利用しているセキュリティコントロールやそれに関連するツールがサイロ化されている、またはインテグレーションが不完全な場合、CTEMは実現できません。CTEMにおけるULTRA REDのメリットはここにあります。

ULTRARED

ULTRA RED:Threat Exposure Managementプラットフォームは脆弱性と脅威エクスポージャ管理における主要なポイントや弱点に対処するために開発しました。その効果を高めるためには、豊富なエビデンス、複数の機能や能力を相関分析するコラボレーション、強力な分析や解析に基づく脆弱性と脅威エクスポージャ管理が必要だと考えています。CTEMの原則に従い、弊社は完全に統合されたオール イン ワン プラットフォームを開発しました。このプラットフォームによって、脆弱性および脅威エクスポージャ管理のあらゆる関係者は相談、連携することで、すぐに対応が必要なリスクや脅威エクスポージャの修復が可能になります。以下は弊社のプラットフォームを詳しく理解していただけるように、プラットフォームの機能とCTEMの各段階を関連付けたものです。

範囲設定とASM（Attack Surface Management：攻撃サーフェス管理）  

攻撃サーフェスの防御は可視化から始まります。攻撃サーフェスを把握していなければ、それを保護することもできないからです。しかしインターネットに接続されたアセットやサービス、アプリケーションのアセットレジストリを手作業で管理するのは非効率で、多くの企業にとっては不可能なことです。アセット監査には膨大なリソースと時間が必要で、得られる結果はある時点でのスナップショットに過ぎず、作成するとすぐに不完全で古い情報になってしまいます。

シャドーITや部門ごとに導入されるクラウド、企業合併や買収によって生じるブラインドスポットは、サイバーセキュリティ部門の知らないところで、自社の持つ膨大なアセットプールを作り上げます。こうした未知のアセットは攻撃サーフェスの弱点になりやすく、通常であれば特定、修復が行える脆弱性も検出できないままになります。こうした情報を把握することで、アドバーサリ エミュレーション（敵対者を模倣する）演習が可能となり、レッドチームをサポートできます。またブルーチームによる防御強化、IT管理チームによる重要アセット環境の監視、GRCチームからCISOや役員などのサイバーセキュリティ管理者へ、脅威とリスクの正確で迅速な伝達も可能になります。

ULTRA REDではたった3クリックで自組織のホスト、ドメイン、IPアドレスなどのアセットを自動的に検出することができます。これにはシャドーITや部門ごとに導入された管理外のクラウドによって作成されたアセットも含まれます。再帰的な反復手法と独自のテクノロジーを使用して有効性を何度も繰り返し検査することでULTRA REDは誤検出率が驚くほど低いアセットレジストリを作成します。ULTRA REDのアセットディスカバリは継続的なプロセスで、新たなアセットの発生と同時に、その新たなアセットやサービスを検出します。これにより攻撃サーフェスの最新状態を常に把握することができます。

範囲設定/ディスカバリとDRPS（Digital Risk Protection Services：デジタルリスク防御サービス）

DRPSはサーフェスウェブ、ソーシャルメディア、ダークウェブ、ディープウェブなどの情報源で公開されているすべてのアイデンティティとクレデンシャルに焦点を当てることで、自組織が攻撃される可能性は？という質問に答えています。また潜在的な脅威アクター、攻撃を開始するために使用する技術と戦術、プロセス（TPP）も提供します。DRPSはサイバー攻撃者がすぐに利用可能な状態で提供されているあらゆるアセットを瞬時に提示します。

検証とCTI（Cyber Threat Intelligence：継続的な脅威インテリジェンス）

強化されたCTIによって、レッドチームは潜在的なサイバー攻撃者によるハッキングに対する武装を自動化するために十分な量の情報が得られます。侵害と攻撃のシミュレーション（Breach and Attack Simulation）はこの目的をサポートするもので、レッドチームが攻撃の画期的な手法を突き止めるために必要となる認識空間や時間を減らすことができます。

ULTRA REDはAsset Inventory内のアセットを継続的にスキャニングして、新たな脆弱性と弱点を検出します。公開されている既知の脆弱性の識別だけでなく、多種多様な独自のスキャニング結果や文書化されたダークネットでの情報との相互参照も可能です。検出したすべての弱点はスキャン対象システム、セキュリティ インフラストラクチャやセキュリティコントロールに影響を及ぼすことなく検証することができるのため、稼働中の本番システムを継続的に運用できます。サイバーセキュリティ部門は検出した各ベクターに関連するすべての情報を参照できます。これにはインパクト、外部参照、アクションに結び付く修復方法のリスト、必要な手順、弱点を活用したPoCが含まれます。

CTEMとVM（Vulnerability Management：脆弱性管理）

平均的な攻撃サーフェス管理ソリューションには深刻度の異なる脆弱性が存在する各種アセットが含まれており、すべてに対処するのは現実的ではありません。例えばゼロデイ脆弱性には対処する必要がありますが、ほとんどの侵害は既知の脆弱性を悪用したエクスプロイトによるもので、本来であれば企業が修復可能であったものです。事実、悪意のある脅威アクターは最近発表された脆弱性に重点を置き、インターネット上でエクスプロイト可能な脆弱なシステムをスキャニングします。

社内での作業、あるいはバグ バウンティプログラムのいずれであっても、手作業にはリソースが多く必要で、深刻度が低および中の脆弱性に偏った作業になりがちです。しかし本当に必要なのは、企業にとってより重大なリスクとなる脆弱性を識別し、重点的に対処することです。最適な方法は、完全なアセットレジストリに基づく自動化です。こうした情報を把握することでアドバーサリ エミュレーション演習においてレッドチームをサポートできます。またブルーチームによる防御強化、IT管理チームによるパッチ対象・場所・理由の把握、GRCチームからCISOや役員などのサイバーセキュリティ管理者への脅威とリスクの正確な伝達も可能になります。

各攻撃サーフェスは異なるので、CVSSスコアや他の外部インジケータを基に脆弱性の優先順位付けをしても限界があります。リスクの高い脆弱性の中には回避策を講じているものもあれば、エクスプロイト成功のための前提条件を満たしていないものもあります。

ULTRA REDはAsset Inventory内のアセットを継続的にスキャニングして新たな脆弱性と弱点を検出します。公開されている既知の脆弱性の識別だけでなく、多種多様な独自のスキャニング結果や弊社データレイクに保存されたダークネットの情報との相互参照も可能です。検出したすべての脆弱性や弱点はスキャン対象システム、セキュリティインフラストラクチャやセキュリティコントロールに影響を及ぼすことなく検証することができるため、稼働中の本番システムを継続的に運用できます。ULTRA REDのベクタースコアはCVSSの深刻度とエクスプロイト可能性との組み合わせに基づいています。例えば、CVSSの深刻度が高いCVEでも、エクスプロイトを阻止する回避策がある場合にはベクターと見なさない場合があります。CVSSスコアの高いベクターであっても弱点が前提条件を満たしておらずエクスプロイトできない場合は、ULTRA REDスコアが低くなる場合があります。いずれの場合も継続的に監視し、状況が変化した場合はステータスと優先順位が更新されます。アセットリスクはVPN、開発環境、管理および機密情報などの論理グループなどに分類されます。これによりサイバーセキュリティ部門はアセットへの潜在的な影響を理解し、優先順位付けに役立てることができます。

期待できるROI

ULTRA RED:Threat Exposure Managementプラットフォームによって以下のようなメリットが期待できます。

❖      具体的でアクションに結び付く、的を絞ったインテリジェンスをすべての関係者に提供することで、セキュリティ機能を強化。

❖      豊富なインテリジェンスに基づき、優先順位と修復方法を提案することで、脆弱性や弱点の修復をスピードアップ。

❖      脆弱性や弱点の迅速な修復と、必要なセキュリティコントロールの強化によって攻撃サーフェスを削減。

❖      プラットフォーム内での自動化とソーシング・実装・保守・運用にかかるコストの削減により、総所有コスト（TCO）を削減してコスト最適化を実現。

❖       ルールセットのテストと強化によってリスクを最小化することで、セキュリティコントロールを最大化。

‍