「CTEM(シーテム)」とは、「Continuous Threat Exposure Management:継続的脅威露出管理」の略称で、組織のセキュリティリスクを継続的に評価・管理するアプローチのことです。2022年に米国のIT調査会社のガートナー社が提唱しました。CTEMは、常に変化する脅威に迅速かつ効果的に対応することを目指しています。本稿では、CTEMの特徴や具体的な運用プロセスについて解説します。
CTEMと従来のセキュリティ対策の違い
従来のセキュリティ対策は、年に1回の健康診断のようなものでした。定期的なセキュリティ評価や脆弱性診断により、その時点での問題を発見して対処するアプローチです。この方法は、既知の脅威には有効ですが、急速に変化するサイバー攻撃への対策としては限界がありました。
これに対し、CTEMは毎日の健康管理のようなものです。組織のセキュリティ状態を継続的に監視し、リアルタイムで脅威を特定・評価・対応することで、より効果的なリスク管理を実現します。
つまり、CTEMは従来の“点”としてのセキュリティ対策 ではなく、“線”として継続的に予防・対策していくプロセスであるという点が、従来のセキュリティ対策との大きな違いです。
また、2023年にガートナーが発表した「戦略的テクノロジのトップ・トレンド」にCTEMがランクインしており、2026年までにCTEMに基づいてセキュリティ投資の優先順位を設定している企業は、セキュリティ侵害を3分の2削減できると述べています。
CTEMの5つのプロセス
CTEMは、以下の5つのプロセスを継続的に運用する取り組みです。
-
- スコープ設定(Scoping):
- CTEMで管理すべき、組織にとって重要な資産や情報を特定するプロセスです。ビジネスへの影響度などを考慮して、「何を」「どこまで」守るのかを明確にします。
-
- 発見(Discovery):
- 1で設定した資産や情報の中に、どのようなセキュリティ上のリスクがあるかを調査するプロセスです。例えば、ソフトウェアの脆弱性や設定ミス、保守期限切れなどが挙げられます。
-
- 優先順位付け(Prioritization):
- 2で見つかった問題点や弱点に、組織への影響度や攻撃の可能性などを考慮して、対策の優先順位をつけていくプロセスです。優先順位をつけることで、限られた時間とリソースで、効果的に対策できます。
-
- 検証(Validation):
- 3で優先順位付けした脆弱性や脅威が、実際にどのように悪用される可能性があるかを評価するプロセスです。攻撃者の視点でシミュレーションやテストを行い、リスクの影響度を確認します。
-
- 動員(Mobilization):
- 4での検証結果に基づいて、具体的な対策を実行するプロセスです。ソフトウェアの更新や設定の変更、新しいセキュリティ対策の導入などに加え、組織全体のセキュリティ意識の向上やトレーニングなども含まれます。
これらCTEMのプロセスは、一度きりではなく継続的に繰り返し実行することで、組織のセキュリティレベルを常に高い状態に保つことが可能です。
CTEMを実現するためのソリューション
CTEMの5つのプロセスを実現するための代表的なソリューションに、以下のようなものがあります。
- EASM:
- 「External Attack Surface Management:外部攻撃対象領域管理」の略称で、インターネットに公開されたIT資産を可視化し、脆弱性を特定します。
- BAS:
- 「Breach and Attack Simulation:攻撃・侵害シミュレーション」の略称で、実際の攻撃をシミュレーションし、セキュリティ対策の有効性を検証します。
- CTI:
- 「Cyber Threat Intelligence:サイバー脅威インテリジェンス」の略称で、最新の脅威情報を監視・収集し、攻撃者の動向に基づいてどのような攻撃を受ける可能性があるかを予測します。
近年では、これらの機能を統合したCTEMプラットフォームも登場しており、一元的な管理も可能になっています。効果的なCTEMを実現するには、組織のセキュリティニーズに合った適切なツールの選択と高度なスキルを有する人材の配置、継続的なプロセスの改善が重要です。
