長期的なセキュリティ最適化を支える継続的な脅威エクスポージャ管理(CTEM)Gartner Insights Pickup(325)

さまざまなサイバー攻撃に対して、企業は対策を自動化したり、セキュリティパッチを導入したりしているが、全ての攻撃を防ぐことはできない。継続的に、ビジネスを大きく脅かす脅威への対処に注力すべきだ。

» 2023年11月10日 05時00分 公開
[Kasey Panetta, Gartner]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

継続的な脅威エクスポージャ管理の必要性が高まっている

 今日のサイバー攻撃者は手を変え品を変え攻撃してくる。そこで企業は、対策の自動化やセキュリティパッチの導入で対処しようと躍起になっている。だが、こうした対処の仕方では、将来脅威にさらされる範囲は縮小しない。必要なのは、ビジネスを最も脅かすあらゆる脅威を表面化し、取り得る対処に優先順位を付け、セキュリティポスチャ(態勢)を継続的に最適化するための、統合的で反復的なアプローチである「継続的な脅威エクスポージャ管理」(CTEM)プログラムだ。組織がこのプログラムを構築するには、以下の5つのステップのサイクルを回す必要がある。新しいビジネスイニシアチブ、組織変革、報道されるレベルの攻撃手法などの外部要因がCTEMのいずれかのステップを開始するきっかけとなる可能性もあるが、必ずしもサイクルの最初のステップから同プログラムが始まるとは限らない。

ステップ1:サイバーセキュリティエクスポージャの範囲設定を行う。まず、外部とSaaSの脅威を把握する

 まず、企業の「外部アタックサーフェス(攻攻撃対象領域)」(脆弱〔ぜいじゃく〕なエントリポイントや資産など)を把握することから始める。これは通常の脆弱性管理プログラムの対象にとどまらない。従来のデバイスやモバイルアプリ、アプリケーションだけでなく、企業のソーシャルメディアアカウント、オンラインコードリポジトリ、統合サプライチェーンシステムなど、見過ごしがちな要素も攻撃対象範囲となる。

 CTEMの最初の取り組みを試験的に実施しようとしている企業は、以下、2つの領域のいずれかを考えるとよい。

  • 外部アタックサーフェス:比較的狭い範囲と拡大しているツールエコシステムの組み合わせとなる
  • SaaSのセキュリティポスチャ(態勢):ますます重要な領域となっている。リモートワーカーの増加により、SaaSでホストされるビジネスデータが増えているからだ
(出所:Gartner)

ステップ2:資産とそのリスクプロファイルを検出するプロセスを開始する

 多くの検出プロセスは、まず範囲調査(ステップ1)で特定されたビジネスの領域に焦点を当てるが、さらに進んで目に見える資産や隠れた資産、脆弱性、構成ミスなどのリスクも特定しなければならない。

 範囲調査と検出の混同は、CTEMプログラムを導入するときの最初の失敗となることが多い。検出された資産や脆弱性が多いことが成功ではない。ビジネスリスクと潜在的な影響に基づいて、正確に範囲を特定することの方がはるかに価値がある。

ステップ3:悪用される可能性の高さに基づいて、脅威に優先順位を付ける

 このステップは、セキュリティ上の問題を全て修正するために行うわけではない。優先順位付けに当たっては、以下を考慮する必要がある。

  • 緊急度
  • 重大度
  • 補完的コントロールの利用可能性
  • リスク選好度
  • 組織が直面しているリスクのレベル

 ビジネスにおいて価値の高い資産を特定し、それらへの脅威に対処する計画に集中的に取り組むことが重要だ。

ステップ4:攻撃がどのように機能し、システムがどのように反応するかを検証する

 まず、攻撃者が実際に脆弱性を悪用することが可能であることを確認し、資産への潜在的な攻撃経路を全て分析し、現在の対応計画で十分迅速かつ効果的にビジネスを保護できるかどうかを見極める。

 また、全てのビジネスステークホルダーを説得し、どんな措置が脅威の修復につながるかについて合意を取り付けることも重要だ。

 2026年までに、CTEMプログラムに基づくセキュリティ投資を優先させる組織は、セキュリティ侵害に遭うリスクが3倍小さくなる見通しだ。

ステップ5:人とプロセスを動員する

 自動修復を約束するソリューションに全面的に依存することはできない(非常に分かりやすく、また影響が小さい問題については、ツールが推奨する完全に自動化された対応で間に合う)。セキュリティチームとビジネスステークホルダーにCTEM計画を伝え、この計画への理解を浸透させる必要がある。

 人とプロセスを「動員する」取り組みは脅威対策の承認や実施プロセス、リスク軽減策の導入における摩擦を軽減することで、CTEMによる検出事項をチームがアクションとして実施できるようにすることを目的としている。特に、チーム横断型な承認ワークフローを文書化することが重要だ。

同僚に伝えるべき3つのこと

  1. 企業におけるサイバーセキュリティ脅威の管理は現在、特定のイベントへの対処に焦点を当てている。だが、これは長期的に見て最適な解決策ではない
  2. 対症療法的なセキュリティアプローチでは、将来脅威にさらされる範囲はなかなか縮小しない
  3. 継続的な脅威エクスポージャ管理(CTEM)では、ビジネスへの重大な影響という観点から、脅威に優先順位を付ける

出典:How to Manage Cybersecurity Threats, Not Episodes(Insights)

筆者 Kasey Panetta

Brand Content Manager at Gartner


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。