さまざまなサイバー攻撃に対して、企業は対策を自動化したり、セキュリティパッチを導入したりしているが、全ての攻撃を防ぐことはできない。継続的に、ビジネスを大きく脅かす脅威への対処に注力すべきだ。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
今日のサイバー攻撃者は手を変え品を変え攻撃してくる。そこで企業は、対策の自動化やセキュリティパッチの導入で対処しようと躍起になっている。だが、こうした対処の仕方では、将来脅威にさらされる範囲は縮小しない。必要なのは、ビジネスを最も脅かすあらゆる脅威を表面化し、取り得る対処に優先順位を付け、セキュリティポスチャ(態勢)を継続的に最適化するための、統合的で反復的なアプローチである「継続的な脅威エクスポージャ管理」(CTEM)プログラムだ。組織がこのプログラムを構築するには、以下の5つのステップのサイクルを回す必要がある。新しいビジネスイニシアチブ、組織変革、報道されるレベルの攻撃手法などの外部要因がCTEMのいずれかのステップを開始するきっかけとなる可能性もあるが、必ずしもサイクルの最初のステップから同プログラムが始まるとは限らない。
まず、企業の「外部アタックサーフェス(攻攻撃対象領域)」(脆弱〔ぜいじゃく〕なエントリポイントや資産など)を把握することから始める。これは通常の脆弱性管理プログラムの対象にとどまらない。従来のデバイスやモバイルアプリ、アプリケーションだけでなく、企業のソーシャルメディアアカウント、オンラインコードリポジトリ、統合サプライチェーンシステムなど、見過ごしがちな要素も攻撃対象範囲となる。
CTEMの最初の取り組みを試験的に実施しようとしている企業は、以下、2つの領域のいずれかを考えるとよい。
多くの検出プロセスは、まず範囲調査(ステップ1)で特定されたビジネスの領域に焦点を当てるが、さらに進んで目に見える資産や隠れた資産、脆弱性、構成ミスなどのリスクも特定しなければならない。
範囲調査と検出の混同は、CTEMプログラムを導入するときの最初の失敗となることが多い。検出された資産や脆弱性が多いことが成功ではない。ビジネスリスクと潜在的な影響に基づいて、正確に範囲を特定することの方がはるかに価値がある。
このステップは、セキュリティ上の問題を全て修正するために行うわけではない。優先順位付けに当たっては、以下を考慮する必要がある。
ビジネスにおいて価値の高い資産を特定し、それらへの脅威に対処する計画に集中的に取り組むことが重要だ。
まず、攻撃者が実際に脆弱性を悪用することが可能であることを確認し、資産への潜在的な攻撃経路を全て分析し、現在の対応計画で十分迅速かつ効果的にビジネスを保護できるかどうかを見極める。
また、全てのビジネスステークホルダーを説得し、どんな措置が脅威の修復につながるかについて合意を取り付けることも重要だ。
2026年までに、CTEMプログラムに基づくセキュリティ投資を優先させる組織は、セキュリティ侵害に遭うリスクが3倍小さくなる見通しだ。
自動修復を約束するソリューションに全面的に依存することはできない(非常に分かりやすく、また影響が小さい問題については、ツールが推奨する完全に自動化された対応で間に合う)。セキュリティチームとビジネスステークホルダーにCTEM計画を伝え、この計画への理解を浸透させる必要がある。
人とプロセスを「動員する」取り組みは脅威対策の承認や実施プロセス、リスク軽減策の導入における摩擦を軽減することで、CTEMによる検出事項をチームがアクションとして実施できるようにすることを目的としている。特に、チーム横断型な承認ワークフローを文書化することが重要だ。
出典:How to Manage Cybersecurity Threats, Not Episodes(Insights)
Brand Content Manager at Gartner
Copyright © ITmedia, Inc. All Rights Reserved.