CTEM(継続的脅威エクスポージャー管理)を基礎からわかりやすく解説 ASMとの違いとは
対象の資産や脅威によりCTEMの中身が変わる
「1.対象範囲の特定(Scoping)」の解説で触れたが、5つのステップはそのままに、対象によっては実施内容やツールを変える必要がある。対象によって発見や検証の手法などすべてが異なるからだ。以下に、外部公開資産を対象にした場合と、SaaSを対象にした場合の実施内容を例示しておく。 このように、CTEMはさまざまな対象を管理することができるフレームワークだ。どのような資産や脅威のセキュリティを管理する場合でもCTEMの5ステップにあてはめることが求められる。あてはめた上で各ステップでの実施内容を組織や企業に合わせて構成してほしい。「2.発見」においてのツール選びがポイントとなるが、ツールを買っただけで終わりにならないように、最後まで一気通貫した取り組みが求められるのだ。
CTEM導入における注意点
CTEMを導入し、効果的に運用していくためには、いくつかの注意点がある。 まず、組織のビジネスとIT資産について知ることだ。「どのビジネスがどのIT資産を利用しているか」、「IT資産停止の影響はどれだけビジネスに影響するのか」、「業界の規制にはどのようなものがあるか」、「DX化やクラウドなど戦略・ITの利用形態」など様々について知らなければならない。これは特に「1.対象範囲の特定/Scoping」と「3.優先順位設定」において重要なインプットとなる。 次に「2.発見/ Discover」において未把握を無くすことも重要なポイントだ。いくらコストをかけても、未把握の資産やリスクがあり、結果的にそこから被害に遭うことになればCTEMに取り組んでも報われない。 もちろん、CTEMを実現させるためには、目的や予算に応じたツール(製品やソリューション)を選択することや、対応のために適切な人的リソースを割り当てることも重要である。特に、CTEMを効果的に運用するためには、組織全体の協力体制が不可欠である。セキュリティ担当者だけでなく、経営層や関係する各部門の従業員まで、CTEMの重要性を理解し、積極的に取り組むことが大切だ。 また、CTEMは一度実施すれば終わりとなるものではない。CTEMは継続的なプロセスであり、定期的に見直し、改善を繰り返していく必要がある。脅威やIT環境の変化に合わせて、スコープや優先順位付けの基準などを調整し、常に最適な状態を維持することが重要だ。 サイバー攻撃の対象となる領域が拡大する昨今、CTEM(継続的な脅威エクスポージャー)は変化する脅威環境に合わせて継続的にセキュリティ対策を見直し、改善するために有効な手段の1つとして注目すべき取り組みだ。
監修:マクニカ 中西 基裕(CISSP、CISA、情報処理安全確保支援士)
