サイバーエクスポージャー管理: DX 時代のアタックサーフェスを保護するための Tenable のビジョン

今日の複雑で動的な IT 環境のセキュリティを確保するには、脆弱性管理、ウェブアプリケーションセキュリティ、クラウドセキュリティ、アイデンティティセキュリティ、攻撃経路分析、外部アタックサーフェス管理を統合して、エクスポージャーを幅広く詳細に把握できるようにする必要があります。

Tenable のCTO の役職にある者として、私は世界中のサイバーセキュリティ専門家がサイバーリスクを削減し、サイバーセキュリティ態勢を強化すべく取り組む際に直面する難題の数々を間近で見てきました。 お客様の経験から得られる知見は、Tenable におけるテクノロジーに関するすべての意思決定に反映され、さらに、私たちがサイバーエクスポージャー管理と呼んでいる、脆弱性管理とその他の予防型サイバーセキュリティツールが統合された新たなパラダイムの未来を描くためのインスピレーションを与えてくれます。

DX 時代のアタックサーフェスのセキュリティ確保には、今日の複雑で動的な環境において重要なあらゆる状況の把握が不可欠です。 サイバーエクスポージャー管理対策を行うことで、脆弱性管理、ウェブアプリケーションセキュリティ、クラウドセキュリティ、アイデンティティセキュリティ、攻撃経路分析、外部アタックサーフェス管理などのテクノロジーが統合され、企業はエクスポージャーを幅広く詳細に把握し、修正とインシデント対応のワークフローに従った削減措置を実行できるようになります。

なぜサイバーエクスポージャー管理がそれほど重要なのでしょうか。 その理由は、サイバー犯罪者は、組織がを分断したサイロ単位でアタックサーフェスを見ていないからです。攻撃者は、目的の達成に必要なアクセス権限を得られる脆弱性、設定ミス、アイデンティティの組み合わせを探しています。

次の質問に答えてみてください。 アタックサーフェスが分断化されたサイロの集まりではないのなら、なぜセキュリティ対策は分断化されているのでしょうか。 1 つには、セキュリティ業界全体が、サイバーセキュリティの各側面に個別に対処するポイントソリューションの開発に力を入れてきたということがあります。 その結果、寄せ集めのテクノロジーがそれぞれ独自の機能を提供している状況が生じ、企業はサイバーリスクの全容を把握できません。

効果的なサイバーエクスポージャー管理対策を講じるには、サイロを取り壊す必要があります。 今月の初旬に提供を開始した Tenable One サイバーエクスポージャー管理プラットフォームは、アタックサーフェス全体を可視化するように設計されているので、攻撃者から何が見えているのかを知ることができます。 このブログでは、Tenable One の現在の機能の紹介に加え、サイバーエクスポージャー管理に対するプラットフォームベースのアプローチが予防型サイバーセキュリティの実践方法を変えることができる、その確信とビジョンについて説明します。

Tenable One: DX 時代のアタックサーフェスのためのサイバーエクスポージャー管理

従来、サイバーセキュリティ環境で使用される種類の違うテクノロジーをすべて結び付けようとする製品が作られてきました。 XDR (Extended Detection and Response) はその一例です。これは、発生中の攻撃を検出するため、ポイント製品からデータを取り出します。 このアプローチはアクティビティ駆動型のセキュリティにおいては有用です。しかし、サイバーセキュリティを予防的に実践する場合は向いていません。 また、アクティビティデータだけに着目しても、セキュリティ態勢の全体像を捉えることはできません。

今日、セキュリティオペレーションセンター (SOC) チームがアクティビティ駆動型のデータだけにどのように対応しているかを測定して、リスクの定量化を試みている企業を多く見かけます。 しかし、エクスポージャーの全体像を把握するには、予防型プログラムの有効性を評価するための方法も必要です。これは、本質的には XDR の逆になります。

予防型セキュリティツールによって生成されたデータが、エクスポージャーの測定において圧倒的に優れたデータであることは間違いありません。 ここで常に問題となるのは、予防型セキュリティツールが評価中の分断されたデータ内の不正なものをすべて警告するため、提供される情報が膨大になるということです。 情報が多すぎて、企業が対処しきれないのです。 こうしたさまざまなツールによって非常に大量のデータが生成されるため、通常はスプレッドシートにデータを吐き出して「Excel こそ世界で最も広く使用されているセキュリティツールである」という古いジョークを検証する以外に、選択肢がほとんどない状況です。

近年では、安全性をさらに高めるために注力すべき作業に優先順位を付けることを目的として、データを集約するツールが発売されています。こうしたツールの中に、企業によるリスク削減への積極的な取り組みを効果的に支援しているものはあるでしょうか。 あまりないと思います。 繰り返しになりますが、その理由は、これらのツールは限られた範囲の問題を対象としているに過ぎないからです。 たとえば、こうしたツールはさまざまなツールから、文脈情報を伴うことなくソフトウェアの脆弱性データを集約し、そこから解決策を導き出して、最初にパッチを適用すべきソフトウェアを示しているだけに過ぎない場合があります。 ソフトウェアの脆弱性を特定してパッチを適用することは、優れたサイバー衛生を得るには極めて重要です。しかし、リスクを測定して修正する方法はそれだけではないはずです。

セキュリティ態勢の効果的な測定は、他の情報と無関係に実施できるものではありません。 当社やベンダーが、限られた範囲の情報でもサイバーエクスポージャー管理対策を講じることができると提案したとすれば、それは不誠実な主張でしょう。サイバーエクスポージャー管理対策では、必要とされる詳細度で企業環境を幅広く分析できるように、さまざまなツールから得られるデータを収集する必要があります。

実際のところ、 ソフトウェアの脆弱性だけに注目していては、サイバーリスクの全体像を把握することはできません。 他の情報と無関係にアタックサーフェスを確認できないのと同じように、他の情報と無関係に脆弱性や設定ミスなどを確認することはできません。 文脈が重要なのです。 アタックサーフェス全体を総合的に見る能力が求められます。 ソフトウェアの脆弱性、設定ミス、どのユーザーがどのシステムを使っているのか、ユーザーがどのレベルのアクセス権限を持っているのかなどをすべて関連付けて、それがノート PC、コンテナ、アプリケーション、プログラマブルロジックコントローラー (PLC) のどこで発生していようと、すべて確認する必要があります。

たとえば、世界最悪と考えられる脆弱性が存在する 2 台のノートパソコンを企業が所有していると仮定します。 サイロ化されたツールで確認した場合、どちらのデバイスにも同程度の問題があり、同程度に企業をリスクにさらす可能性があるため、2 台とも早急に修正すべきであると考えることでしょう。

この例では、企業が本当にリスクにさらされているのかどうか、また、どちらのノートパソコンを先に修正すべきかをどうしたら把握できるようになるのでしょうか。 もし、これらのノートパソコンのうちの 1 台を営業チームの管理者が使用しており、多要素認証 (MFA) を使用していないということが分かったとしたらどうでしょう。 一方、もう 1 台のノートパソコンを使用している従業員は受付で個人認証の確認業務を行っていますが、その他には何もアクセスできないということも分かったとします。 このような文脈が加わったとたんに、何を優先すべきかについて、情報に基づいた意思決定を行うことができるようになるのです。

これは、サイバーエクスポージャー管理と脆弱性管理の違いを示す非常に基本的な例です。企業が予防的なセキュリティツールから得たデータを集約、関連付け、測定、優先順位付けできるようになった場合に達成できることを良く表しています。

サイバーエクスポージャー管理はセキュリティへのアプローチ方法におけるパラダイムシフト

大規模かつ複雑なアタックサーフェスを考慮すると、(毎日膨大な量の問題やアラートの発生に見舞われ、絶えず優先順位付けの意思決定が求められることを考慮するとさらに、) 最大限のパフォーマンス能力を実現するのに必要なのは、簡潔かつ有用で影響力のあるアウトプットであることが分かります。 アタックサーフェスを幅広く見ることができ、分析を詳細に確認できるデータが必要です。

アタックサーフェスを幅広く理解するには、以下を可視化してインサイトを得る必要があります。

• オペレーショナルテクノロジー (OT) を含む、IT インフラの枠を越えて存在する従来の資産 
• クラウドリソースの設定方法とセキュリティ確保の方法
• インターネットに接続しているシステムとウェブサイトの状況 

アタックサーフェスを詳細に理解するには、以下を可視化してインサイトを得る必要があります。

• ユーザーとそのアクセス権限
• 企業全体における悪用対象となる攻撃経路

上記すべては、Tenable がこれまで行ってきた買収の根拠を支える考え方で考慮されています。そして、最終的に、そのような考え方が、あらゆる規模の企業によるサイバーセキュリティへのアプローチを変えると当社では確信しています。 しかしながら、アタックサーフェスへのはこれだけでは十分ではなく、サイバーエクスポージャー管理を効果的に行うには、他のセキュリティソリューションからもデータを取り込めるようにする必要があります。 当社はその認識から、このビジョンの実現に向けて、他のベンダー様との協業を歓迎いたします。

Tenable One サイバーエクスポージャー管理プラットフォームは、Tenable のビジョンの自然な進化を象徴しています。Tenable One は、サイバーセキュリティに対する戦略的かつ長期的なアプローチであり、世界中の企業のリスク管理を変革する決め手となるソリューションです。

もっと詳しく

• ホワイトペーパーをダウンロード: サイバーセキュリティ企業が直面している 3 つの課題 サイバーエクスポージャー管理プラットフォームがどのように役立つか
• こちらのブログもご覧ください。サイバーエクスポージャー管理: DX 時代のアタックサーフェスのリスクを削減
• ウェビナーを見る: アナリスト・ラウンドテーブル - サイバーエクスポージャー管理の効用: 可視性の獲得、リスクの伝達、適切な判断が達成できるしくみ