【意訳】継続的脅威エクスポージャー管理(CTEM)の変革力 (御伽話か現実か) / The Transformative Power of Continuous Threat Exposure Management (Myth or Reality?)
※英語記事の意訳です。日本語訳の正確性は保証しませんので閲覧してくれている方は、自己責任で活用下さい。
サイバーリスクの増大により、組織は情報セキュリティへのアプローチをリアクティブからプロアクティブに転換する必要に迫られている。Gartner社はこうした変化への対応のため、継続的脅威エクスポージャー管理(CTEM)と呼ばれる新しい概念を導入した。
2022年にGartner社は初めて”CTEM”という言葉を使いました。CTEMは特定の製品やソリューションではなく、リスクを最小限に抑え、情報セキュリティ・インシデントの件数を大幅に削減することを目指していくための組織の基盤となるよう設計されたプログラム、コンセプト、戦略的アプローチであることを強調した。
2023年には、Gartner社はCTEMをサイバーセキュリティのトレンドの上位にランク付けし、今日の組織は膨大な数の潜在的な脆弱性やリスクに直面しており、それらに対処するためには多大な労力とリソースが必要であることを指摘した。脆弱性の評価方法を洗練させ、脅威に対する実際の防御レベルを正確に測定することはCISOの課題である。
Gartner社によると、2026年までにCTEMに基づいたセキュリティ投資の優先順位づけを行う組織に対するサイバー攻撃による侵害可能性は、CTEMを活用しない組織と比べ3倍リスクが少なくなることを予測している。
※ソース:https://www.gartner.com/en/articles/how-to-manage-cybersecurity-threats-not-episodes
CTEMとは何か?Gartner社が主張するほど革新的なコンセプトであるのか?
CTEMは、根本的なリスクを特定し分析するためのプロアクティブで反復的なアプローチを提供するサイバーリスク管理のためのパラダイム(基礎となる枠組み)である。攻撃対象面(アタックサーフェス)の特定、脆弱性の検出、優先順位付け、調査結果の検証、インシデント対応計画の作成といった具体的なステップを継続的に繰り返すことで、情報セキュリティ上の脅威を低減することを目的としている。
ここには「深い分析」と「周期性」という2つの基本的なポイントがある。言い換えれば、脅威の探索と対応策の準備に関連する終わりのないプロセスについて話しているのだ。
CISOは攻撃者の目線で組織を見るべきである。私たちは防衛者側の立場から自組織のインフラを見ることには慣れているが、攻撃者(ハッカー)が自組織のシステムに対して何を見ていて、どのようなアクションを実行し、どのようなリソースにアクセスできるかを想像することに苦労することが多い。既存の脆弱性データだけに頼るのではなく、レッドチームによるアセスメントや、自動ペネトレーションテストサービスプラットフォーム(PTaaS)による攻撃のシミュレーションを行うなど、あらゆる手段を用いて企業の防御力を継続的に評価することをGartner社は推奨している。
※hacker will see in our system:https://cloudsecurityalliance.org/blog/2023/03/06/when-being-attractive-gets-risky-how-does-your-attack-surface-look-to-an-attacker
※Red Teaming:https://builtin.com/articles/what-is-red-teaming
※PTaaS:https://www.getastra.com/blog/security-audit/penetration-testing-as-a-service/
Gartner社によると、リスク評価において技術的な脆弱性とビジネス上の優先事項のバランスをとることが重要であり、この分析結果は脆弱性の改善スケジュールの決定における基礎的な考え方であることを示す。つまり脆弱性への対処の優先順位は技術部門と事業部門の双方の利害関係社によって共同で決定されるべきものである。
前述のように、CTEMは5つのステップで構成されている。それぞれのステップを詳しくみていく。
1.Scope(スコープ/範囲設定)
CTEMの最初のステップは、どの資産をサイクルに含めるかを決定することである。どのような組織であっても、営業、製造、経理、人事など複数の事業部門から構成されているため、全社的に同時にCTEMを導入しても成功する可能性は低い。小規模な組織であれば、営業部や財務部のような部門別、もしくはオンプレミスやクラウドシステムといったインフラの種類別で導入ポイントを決めることができる。大きな組織であれば、クレジットパイプライン、フィールドセールス、契約管理など、より詳細な役割区分によって導入ポイントを定義していく必要があるかもしれない。
こうした導入ポイント(スコープ)を定義することは、一種の境界を作り、それによって変数の数を減らすことができるため、重要である。さらに、特定されたデジタル資産と物理的資産を、現在のサイクルに関連するものと関連しないものに分類するプロセスが大幅に簡素化される。適切な導入ポイントの線引き/定義によって、現在のサイクルに間接的な関連に止まる資産であっても、攻撃が成功した場合に重大なリスクをもたらす資産を特定することができる。
この「Scope」のステップでは、技術的な資産とビジネスプロセスとの関連性を見出す必要があるため、技術部門と事業部門の双方からの参加が必要となる。事業部門は、サイクルの境界を確立するためのビジネスコンテキストを定義し、技術部門は、このコンテキストの機能的な構成要素となるはずのシステムやプラットフォームを特定する。
Gartner社は、一般的な脆弱性管理の焦点を超えて、従来までのようなデバイスやアプリケーションだけを対象とするのではなく、組織のソーシャルメディアアカウント、統合サプライチェーンシステム、オンラインコードリポジトリなど、あまり目立たない要素もカバーすることを推奨している。
※ソース:https://cloudsecurityalliance.org/blog/2023/07/28/cloud-vulnerability-management-program
2.Discover(発見/検出)
CTEMの2つ目のステップでは、進行中のCTEMサイクルの中で、技術システムと資産、及びそれらのリスクプロファイルを深く理解する必要がある。情報セキュリティ部門は、以下のアクションを使用して攻撃対象面(アタックサーフェス)とそのリスクを検出する。
技術資産やシステムを特定
これらのシステムとビジネスプロセスのつながりの構築
脆弱性のスキャン
システムと制御ルールの設定ミスの特定
確立されたベースラインと安全基準からの逸脱を監視
こうした資産やリスクの特定や評価は、あらゆるセキュリティチームにとって継続的に行われるプロセスであるべきである。これは脆弱性の定期的な評価や異常調査と同様に新たなシステムやプラットフォームに対する定常的な監視も含まれる。
3.Prioritization(優先順位付)
CTEMの3つ目のステップでは、特定の脆弱性に対処する緊急性と重要性を評価する。この決定は、システムのトポロジー、構成や設定、および重要なビジネス・プロセスとの関連性に関する情報に基づいて行われる。
脆弱性の優先順位付けは、統計的な指標だけでなく、脆弱性そのものの深刻度、どこまで広く悪用されているのか、防御策や管理策の有効性、これらの脆弱性がビジネスにもたらす潜在的なデータセキュリティリスクなど、さまざまな要因を考慮する必要があります。
※Vulnerability prioritization:https://cloudsecurityalliance.org/blog/2023/05/12/the-art-of-prioritizing-vulnerabilities-maximizing-your-defense
※data security:https://www.venturedive.com/blog/data-security-protection-threats/
特定の脆弱性が悪用される可能性を評価することは非常に重要です。特に、複数のビジネスプロセスの運用をサポートする共有リソースについて話している場合は、他のビジネスコンテキストからの要因が現在のコンテキストに影響を与える可能性があるためです。この評価の結果、優先順位をつけた改善スケジュールは、主に影響の大きい高リスクへの対処に重点を置くべきである。
4.Validation(検証)
CTEMの4つ目のステップでは、攻撃が成功する確率を評価し、潜在的な損害可能性を分析し、現在のサイクルにおける攻撃者の行動に対する情報セキュリティチームの対応をチェックする。
一般的に、組織のセキュリティレベルを決定するために、一連の技術的な調査を実施する必要がある。これらの調査には、侵入テスト(ペンテスト)、攻撃シミュレーション、脅威モデリング、レッドチーム、攻撃軌跡分析などが含まれる。その後に情報セキュリティチームは、結果をビジネスリスクに結びつける必要がある。情報セキュリティチームは、ビジネスの代表者とともに、そのリスクが許容できるかどうかを評価しなければならない。
CTEMプログラムのコンテキストにおいてこの”検証”のフェーズは、安全性を効果的に確保し、組織の方針/見通しに合致させるために必要なアクションプランを作成し、洗練させるように設計されている。
5.Mobilization(動員/修復対応)
CTEMの最後のステップでは、”検証”フェーズで策定した脆弱性改善計画を実施するためのタスクが割り当てられ、リソースが配分される。このフェーズには、承認プロセスの合理化や、組織のセキュリティ対策を支援する緩和戦略の実施も含まれる。
これは、IT、情報セキュリティ、ビジネスの各チームが協力することによって達成される。IT チームとセキュリティチームは、復旧戦略の可能性を特定し、インフラへの影響を評価する。一方、 ビジネスチームはこれらの情報をレビューし、これらの提案の実現可能性とビジネス目標との整合性についてフィードバックを提供する。これをスムーズに実現するために、チーム間の明確なコミュニケーション手段と正式な承認プロセスが必要である。
したがって、以下のステップが効率的かつ完全に実行されることで、CTEMプログラムは効果的であるとみなすことができる。
※Attack Surface:https://cloudsecurityalliance.org/blog/2023/06/02/anatomy-of-a-modern-attack-surface
各ビジネスユニットおよび/またはビジネスプロセスの攻撃対象領域を明確に定義
各脆弱性を悪用する可能性の明確化
修復/改善可能性の特定
脆弱性悪用のリスクがビジネスに与える潜在的な影響の評価
脆弱性への対応がビジネスに与える潜在的な影響の予測
最後に:大きな変革か、はたまたマーケティング先行か?
ここまでの説明でお気づきのように、CTEMのコンセプトは組織の課題を診断(スコープ、脅威の特定、脆弱性の優先順位付け)し、それを解決するための具体的なアクションの実行(検証と修復)を含んでいる。
同様のアプローチをこれまでにも見たことがあるはずだ。一般的に必要とされる型にハマったセキュリティ対策の枠を超えた組織は、同様の取り組みを行ってきた。しかし、その大半は個々の課題を診断する傾向があり、多くの場合、これらの問題をより広範なビジネスプロセスと関連付けることができなかった。さらに、これらの診断は一貫性と広範なカバレッジを確保するために不可欠な自動化ツールなしで単発での実施ことが多かった。その結果、次のアクションとしてどのセグメント/レイヤーを検査するのかが定かでない、つぎはぎ的なアプローチになっていた。
Gartner社は、自動ペンテスト、侵害と攻撃のシミュレーション(BAS)、外部攻撃サーフェス管理(ASM/EASM)、脆弱性管理など、以前は別個のものと考えられていた様々なプロセスとソリューションをCTEMフレームワークに統合した。ツールキットが成熟し、追加的な情報レイヤーを提供できるレベルになるまでには時間がかかりました。これにより、担当者が情報量に圧倒され、過度のストレスを受けることなく脆弱性に優先順位をつけ、リストを管理可能な数に絞り込むことができる。今日では、アラートの広範な「赤いキャンバス」(莫大な量のアラートの山)から特定の攻撃ベクトルを抽出し、リスクを特定することは十分に可能である。
※Breach and Attack Simulation:https://www.ibm.com/blog/breach-attack-simulation/
※External Attack Surface Management:https://attaxion.com/external-attack-surface-management/
しかし、すでに示している通り、CTEMに関する特別な知識がなくても、多くの組織が同様のアプローチを採用している。例えば自動ペンテストによって脆弱性の優先順位付を行う。スキャナーからのデータは追加情報で強化され、IT部門は情報セキュリティチームから基本的な報告書以上のものを受け取る。その代わりに、自動ペンテスト中にどの緊急脆弱性が悪用され、それがどのような結果をもたらしたかを示す詳細な報告を得ることができる。
CTEMステップ1、2、3の診断を統合することなく、前述のツールだけで自動チェックを実施しても、Gartner社が予測した結果(3年間でインシデント件数を3分の2に削減)を達成できる可能性は低い。しかし、BASや自動ペンテストなどの市場のソリューションは、「ブラックボックス」を開き、これまで隠されていたものを明らかにすることを可能にする。