CTEM 精度向上の鍵: Tenable One の継続的コントロール検証が変革するエクスポージャー管理

Tenable One の継続的なコントロール検証により、アラートノイズを除外し、現在すでに稼働中のサイバー防御策を考慮することで CTEM プログラムを強化する方法をご紹介します。実際に到達・悪用可能な攻撃経路にセキュリティチームが注力できるように支援します。

現在ご利用のセキュリティツールが、環境全体に数千、場合によっては数万から数十万件もの脆弱性が存在すると報告する状況に直面したことはありませんか? これらの脆弱性は、CVSS スコアなどの基準に基づいて優先順位付けされているかもしれません。しかし、どの脆弱性が、クラウドバケットの設定ミスやアイデンティティ管理上の弱点といった、他の予防可能なセキュリティリスクと組み合わさることで、脅威アクターが現実的にたどり得る攻撃経路を形成するのか、どうやって見極めていますか? また、既存のセキュリティ制御がどの脆弱性を緩和しているのか、どのように検証すればよいのでしょうか。理論上のリスクと現実に存在するリスクを見極め、チームが最も優先すべき修正対応に集中するためには、このようなコンテキストを把握することが不可欠です。

フロンティア AI モデルによって脆弱性の発見が加速する中、脆弱性を検証・優先順位付けし、他のセキュリティ上の弱点と併せて修正することで、実際に生じているエクスポージャーを把握する取り組みの重要性は、これまで以上に高まっています。このような環境では、従来のパッチ適用を中心とした防御モデルでは対応しきれません。 さらに、防御側は不正確な意思決定や、優先度の低い脆弱性への無駄な修正作業を許される余裕はありません。今求められているのは、 継続的脅威エクスポージャー管理 (CTEM) プログラムが提供する「コンテキスト」と「検証」です。

これこそが、セキュリティリーダーが脆弱性管理プログラムをエクスポージャー管理プログラムへと進化させている理由です。エクスポージャー管理により、アタックサーフェスを継続的に評価し、リスクに優先順位を付け、セキュリティ弱点の修正をマシン速度で自動化することが可能になります。

さらにエクスポージャー管理は、攻撃経路の到達可能性と悪用可能性を把握することで、攻撃者が実際に到達可能なエクスポージャーを検証します。この検証により、組織は理論上のリスク管理から、実際のエクスポージャーへの対応へとシフトできるのです。

CTEM におけるエクスポージャー検証の定義

「検証」は CTEM ライフサイクルの 5 つのステップの 1 つであり、攻撃の実効性に関する一貫性のある継続的な自動化エビデンスを提供するプロセスです。実際の攻撃条件を想定して防御体制をストレステストし、自社環境の制御設定や構成を用いて、エクスポージャーが実際に到達可能で悪用可能であるかどうかを確認します。

この検証ステップを実施することにより、「すべてにパッチを適用する」という事後対応型のセキュリティから、エビデンスに基づいた先制型のエクスポージャー戦略へと変えることができます。 既存の防御策がすでにブロックしている脆弱性を継続的に把握し、即時対応が必要なものだけを浮上させます。

Tenable One における CTEM 検証機能の拡充

検証自体は Tenable にとって新しい取り組みではありません。私たちは 25 年以上にわたり、Tenable ソリューションにおいて検証手法を採用してきました。約 3,000 のダイレクトチェックプラグインを開発し、ソフトウェアのバージョン検出だけでは高い精度基準を満たせないケースにおいて、脆弱性を能動的に調査し、その悪用可能性を実証しています。これらのプラグインは実際の攻撃手法を模倣し、ターゲットの応答を監視することで脆弱性の存在を確認します。

Tenable One で新たに追加されたのは、プラットフォーム上での継続的コントロール検証機能です。有効なセキュリティコントロールを考慮に入れることで、Tenable One は、理論上は露出しているものの、実際にはセキュリティコントロールによって悪用が防止されている資産に関する不要なノイズを排除します。セキュリティチームは、有効な予防・検出コントロールを潜在的な攻撃経路に直接マッピングして可視化し、既存のコントロールによってすでにリスクが軽減されている脆弱性を自動的に優先順位付けできます。また、アナリストは、セキュリティコントロールの適用状況や攻撃チェーンの阻止可否に基づいて、優先度の高い攻撃経路をフィルタリングできるため、トリアージや調査を迅速化できます。

一般的なコントロール検証の例としては、以下が挙げられます。

• 認証情報の取得に使用される Local Security Authority Subsystem Service (LSASS) メモリダンプツールをブロックするエンドポイント検出・対応 (EDR) ツール
• パスワード推測、パスワードスプレー、クレデンシャルスタッフィングによる不正アクセスを防止する多要素認証 (MFA)多要素認証
• データのステージングを検出し、外部送信ルールを適用することでデータ漏えいを防止するファイアウォールや DLP (データ損失防止) ツール

Tenable One における継続的コントロール検証の仕組みをぜひご覧ください。

ペネトレーションテストデータの Tenable One への統合

ダイレクトチェックプラグインや継続的なコントロール検証に加え、セキュリティチームはペネトレーションテストの結果を Tenable One に統合することで、現実の攻撃手法を想定したサイバー防御の有効性を検証できます。これにより、実際に悪用される可能性のあるエクスポージャーを特定し、広範なアタックサーフェスの中でどのような位置付けにあるのかを把握できます。

Tenable One Open Connector を活用すれば、最新のペネトレーションテスト結果を簡単に取り込み、リアルタイムのエクスポージャーインサイトと組み合わせることができます。ペネトレーションテストデータをエクスポージャー管理プログラムに統合することで、リスクの有害な組み合わせを明らかにし、ビジネス上重要な資産を脅かす重大な脆弱性への理解を深めるための重要なコンテキストを得られます。

エクスポージャー管理におけるコンテキストの重要性

AI 時代において、セキュリティチームには、優先度の低い問題への対応に貴重な時間を費やす余裕はありません。エクスポージャー管理では、組織にとって最も重大なリスクを的確に特定するためにコンテキストが不可欠です。セキュリティコントロールの検証結果に加え、資産の重要度、脅威アクティビティ、権限・特権、攻撃経路といった情報を組み合わせることで、セキュリティチームは脅威アクターに先手を取るために必要な優位性を得ることができます。

現代のアタックサーフェスに対応するエクスポージャー管理プラットフォーム、Tenable One の詳細をご覧ください。