CTEM(継続的脅威エクスポージャー管理)を基礎からわかりやすく解説 ASMとの違いとは
脅威から守るべき対象がSaaSやIoT機器など広範に
CTEMが重要視される背景には、近年のIT環境の急速な変化が挙げられる。これに伴い、サイバー攻撃の対象となる領域である「アタックサーフェス」が拡大し、従来のセキュリティ対策ではIT資産の増加や脅威の変化に追いつかなくなっている。 従来の方法は、脆弱性管理を例にすると、導入を自己申告された資産に対して四半期や年1回など定期的に脆弱性診断を行っていたり、脆弱性公表があれば随時組織内にアナウンスしてパッチ適用を促したりしている。この方法では「セキュリティ部門が未把握のIT資産」が管理から漏れることになる。実際の現場でも「セキュリティ事故発生で初めてその資産の存在に気づいた」というのはよく耳にする話だ。 現在、IT資産もSaaSやIoTなどが普及し、オンプレ時代から変化している。サイバー攻撃の手法も高度化あるいは巧妙化しており、ひとたび被害にあうと、業務停止や情報漏えいなど企業に深刻なダメージを与える事例は多い。IT資産も脅威も変化した現在において、20年前から存在する管理手法に限界がきていることは想像できるだろう。 ガートナーは、このような状況を「サイロ化されたツール(による個別対策)中心のアプローチでは脅威に先手を打てない」と評価し、CTEMの必要性を説いている。変化する脅威環境に合わせて継続的にIT資産を発見してセキュリティを改善していくための有効な手段として、今後さらにCTEMが注目されていくだろう。
CTEMの5つの循環プロセス
ではCTEMは具体的にどのようなプログラムなのか。CTEMは、組織のIT資産をサイバー攻撃や悪用されるリスクから守る取り組みであり、そのプロセスは5つのステップにわけられる。 ・対象範囲の特定/Scoping ・発見/Discover ・優先順位設定/Prioritization ・検証/Validation ・動員/Mobilization CTEMを効果的に運用するためには、各ステップの重要性を理解し、最初は現在実施しているセキュリティ対策と比較してみることが重要である。次に不足している取り組みの拡充を検討していく。すべてを一気に実現しようとせず、CTEMをパズルの枠として、段階的にパーツをはめていくことが重要だ。CTEMの実現度合いに関係なく現時点で実施しているプロセスの有効性を定期的に確認し、継続的にプロセスの改善や調整をするのは必要なことだ。 ここから、それぞれのステップにおける役割を解説する。 ■ 1.対象範囲の特定/Scoping CTEMの最初のステップは、「対象範囲の特定(Scoping)」である。これは、「どのIT資産」に対する「どんな脅威」をCTEMの保護対象とするのかを明確にするプロセスのことだ。 現在、企業や組織のIT資産は多様になっており、CTEMの対象となりうるIT資産の対象は広い。従来の脆弱性管理の範囲であるデバイス、アプリケーションに加えて、ソーシャルメディアアカウント、オンラインコードリポジトリ、SaaSなどの提供を受けているシステムなども考慮に入れる必要がある。 また、脅威も既知の脆弱性に留まらない。未知の脆弱性/ゼロデイ攻撃、設定ミス、サプライチェーンリスク、SaaSなどのクラウド利用に伴うリスク、シャドーIT、内部脅威など多岐に渡る。 とはいえ、いきなりすべてを対象にすると迷走してしまうため、従来から組織が想定している脅威を最初のCTEM検討のスコープとすればよいだろう。 さらにスコープを広げるなら、VPNなどの外部から内部への経路や停止するとビジネスに影響を与える外部公開資産、同じくビジネスに直結しているSaaSなど、組織にとってハイリスクな資産からCTEMの範囲とすると良い。 どんな対象でもCTEMの5つのステップは同じだ。しかし、次のステップ以降は対象ごとに具体的な手法や実施内容を変える必要があることを理解しなければならない。外部公開資産、SaaS、内部脅威、この3つを取り上げてみても、同じ管理手法ですべてカバーできるわけがない。柔軟かつ適切に具体的なアプローチを選択していく必要がある。 本記事ではCTEMの理解のために主に外部公開資産を対象とした場合の例を示す。 ■ 2.発見/Discover 「1.対象範囲の特定(Scoping)」のステップにより対象範囲となるIT資産とリスクを特定したら、次のステップ「発見(Discover)」へと進む。このステップでは、対象範囲に含まれるIT資産の脆弱性やリスクを詳細に特定する。 外部公開資産を対象にした場合は、まず外部公開資産の洗い出しを行い、実際にどのようなハードウェアやソフトウェアを利用しているか、ネットワークなどの経路がどうなっているかなどを調査し、設定ミスやセキュリティパッチの未適用などのリスクの特定を行う。ここでIT資産とリスクを発見できるASMツールを採用すると良い。 このステップでは、スコープ範囲の未把握を無くすことが重要だ。そのために必要なことは、まず(1)「適切なツールや技術を使用する」こと、外部公開資産の場合は、ツールによる資産の特定、脆弱性の発見やリスク評価などをサポートするツールを選択する。次に、(2)「関係部門と連携する」こと、IT部門や経理部門やビジネス部門、サードパーティやサプライチェーンなど様々な組織と連携することで、正確な情報を収集することができる。 ■ 3.優先順位設定/Prioritization 発見のステップで特定されたリスクや脆弱性に対して、次は「優先順位設定(Prioritization)」ステップへと進む。 現実には、企業のリソースは有限であり、洗い出された脆弱性などのリスクすべてに対して、一度に対処することは困難であろう。IT資産の重要度やビジネスへの影響度、緊急性などを考慮し、保護すべき対象の優先順位付けを行い、限られたリソースを効率的に活用することが重要となる。 そのために考慮すべきは、「ビジネスの影響」「リスク許容度」「リソースの制約」になる。ビジネスに大きな影響を与える可能性のある脅威は優先的に対処する必要がある。リスクの発生頻度や組織の戦略や財務状況さらには業界の規制などから許容できないリスクかどうか、限られたリソースで効果的に対処できる脅威かどうかについても考慮し、優先順位を付けるようにしよう。 ■ 4.検証/Validation 脆弱性やリスクに対する優先順位付けを実施した後、実際に攻撃者による攻撃が可能かを検証するステップが「検証(Validation)」である。 脆弱性の脅威に対しては、脆弱性の発見を行うための診断ツールや、擬似的にシステムへの侵入を試みることで安全性を評価するペネトレーションテストなどを用いる。脆弱性以外の脅威であれば、ベストプラクティスへの準拠状況や対応プロセスなどセキュリティ態勢の検証を行う。 セキュリティ対策が有効に機能するかどうか、あるいは脅威がどのように悪用されるかを確認することになるが、このステップにより、「2.発見(Discover)」「3.優先順位設定(Prioritization)」の結果の有効性が評価されることになる。 検証を行う場合、関係者と事前に合意を得ている必要があるが、特定のチームに合意なくレッドチーム演習を行う場合もある。これにより脅威の検証だけでなく、現時点の対応力や復旧力についても評価を行い、対応計画がビジネスを保護するのに十分か速度と実体性を持っているかどうかについて確認することできる。このレッドチーム演習も検証のステップの実施例とされている。 ■ 5.動員/Mobilization CTEMサイクルの最終段階である「動員(Mobilization)」ステップでは、検証結果を踏まえ、組織全体で連携し、迅速かつ効果的に対応を進めていく。具体的には、検出された脆弱性などのリスクへの対処やセキュリティ設定の見直し、対応や承認プロセスの整備、従業員へのセキュリティ教育など、必要な対策を講じる。 優先順位が高い脅威が発見されたらモグラたたきのように対処しているだけでは不十分だ。インシデント対応計画を整備し、いつサイバー攻撃が発生した場合でも、迅速に復旧できる体制を構築することが重要である。さらに、CTEMのプロセスを関係部門で共有し、それぞれの役割を認識した上での運営体制を構築し、戦略の最適化を進めることが必要だ。 CTEMの最後のこのステップがCTEMを成功させるために不可欠であり、効果的にこのフェーズを行うために、特に必要なものは、関係者とのコミュニケーション、役割と責任の明確化、プロセスと手順の文書化、取り組みのモニタリングと評価になる。技術的な対応やモニタリングや可視化は自動化に取り組むと良い。これらの完成により、組織はCTEMプログラムから最大のメリットを得ることができる。
