3% ルール: 97% のクラウドアラートを取り除いてセキュリティを強化する方法

最初に何を修正するかを判断することが本当に重要な理由

クラウドがビジネスにもたらす利点は、基本的にスピードとスケール。 にもかかわらず、その規模そのものが、セキュリティ担当者にとって最大の敵となっています。 このクラウドセキュリティのパラドックスの中で現在私たちは活動しているのです。かつてないほど多くのスキャンツールが導入されているのに、実際のリスク態勢がこれほど不明確なこともかつてなかったことです。

成功の指標として高い数値結果を示すことが従来の業界の標準でした。何件の問題が検出されたかパッチの適用は何件だったか、など。 しかし、最新のクラウド環境では、量は指標ではなく、耐えられない重荷になっています。セキュリティ部門が、理論的な深刻度に基づく何千もの「重大」なアラートに溢れてしまうような状態では、ひたすら目前のアラートに反応していくことが強いられます。脆弱性を担当するスタッフがいやというほど経験しているシナリオです。 

データをよく見てみると、驚くばかりの非効率性が明らかになります。レガシーツールでは 60% 近くの脆弱性が「高」または「重大」と判定されますが、Tenable リサーチによると、実際に悪用される可能性のあるビジネスリスクは 1.6% から 3% 程度に過ぎません。 したがって、リスクよりもノイズを追うことに大半の時間を費やさざるを得ない状況が生じます。

クラウドセキュリティ対策を成熟させるには、表面的な深刻度による優先順位付けをやめ、悪用される可能性に基づいた優先順位付けを始める必要があります。脆弱性管理からサイバーエクスポージャー管理に移行する時が来ています。

理論リスクの運用コスト

共通脆弱性スコアリングシステム（CVSS）は、長年、優先順位付けの標準でした。しかし、CVSS にはすべてのドメイン、特にクラウドで効果を発揮するために必要なビジネスコンテキストが欠けています。CVSSは、ソフトウェアのバグの深刻度を、資産や環境から孤立したものとして測定します。 バグのある資産の文脈、 たとえば外部公開されているのかどうか、 特権が付与されているのか、機密データにアクセスしているのか、などを考慮しません。

もしも CVSS に依存して分類された脆弱性のリストから作業しているのであれば、本物の攻撃経路は未解決のまま放置され、その間、理論上の欠陥のために貴重な作業時間を浪費していることになります。 ゴールはより多くの問題を解決することではなく、重要な問題を解決することです。 英語の言い回し、「すべてが重要であれば、何も重要でなくなる」に匹敵する状況です。

危険な組み合わせ: 真のリスクの定義

現代のセキュリティ環境では、基本的にすべての侵害はアイデンティティ侵害であると言えます。 設定ミスや脆弱性は侵害の最初の足がかりかもしれませんが、セキュリティインシデントを「悪い」ものから「もっと悪い」ものにするのは、アイデンティティ、特にその権限と特権です。

侵害が他の要因から孤立して起こることはめったにありません。 サイバーエクスポージャー、脆弱性、特権のあるアイデンティティが交差した接点で発生します。 収束点、すなわち危険な組み合わせは、攻撃をしかける者にとって完璧な条件を提供します。

しかし、これらの要因を関連付けるのは、脆弱性データはあるツールに、IAM データは別のツールに、サイバーエクスポージャーは別のツールにといった具合に、データがサイロ化されている場合、非常に難しくなります。今日、セキュリティ部門に求められているのは、こうしたギャップを埋め、生データを文脈に、明確なインサイトに、アクションに変えることです。

真のリスクとは、攻撃者が手ぐすね引くような、以下の3つの要素が組み合わさったときにに成立します。

• 外部公開: 資産はインターネットからアクセス可能
• 重大な脆弱性: ソフトウェアには、悪用される可能性のある既知の欠陥がある
• 高い特権や権限: 関連するアイデンティティには、広範な権限（管理者やルートなど）が付与されている

危険な組み合わせでは、未対処の脆弱性が侵入の糸口になることも多いのですが、高特権が最も重要なデータや資産へのアクセスを提供します。Tenable クラウドセキュリティリスクレポート 2025 によると、このような危険性があるにもかかわらず、現在、29％ 近くの組織が、少なくとも 1 つのワークロードをこのような設定で運用しています。

危険な組み合わせは、データ流出、ランサムウェア、その他の意図的な障害への直接的な道筋を提供するため、攻撃者が真っ先に狙うターゲットになっています。 ですから、一般的な CVE のリストに専念するのではなく、このような要素が重なって存在している場所を追求して修正していくことが、単に「多量の仕事をこなしている」ことと、「サイバーエクスポージャーに対処して実際にリスクを削減している」ことの違いです。 

ジェンガ®エフェクト: AI とアイデンティティの継承リスク

Tenable クラウドリサーチが「ジェンガエフェクト」と呼ぶ、AI の急速な導入とクラウドサービスの層状化によって、優先順位付けの課題がさらに複雑になっています。

AI ワークロードをデプロイすると、プロバイダーのデフォルト設定を継承することになり、その設定が高いリスクをもたらすことがあります。例えば、Tenable クラウド AI リスクレポート 2025 によると、Amazon SageMaker を設定している組織の 90.5% が、少なくとも 1 つのノートブックインスタンスでルートアクセスをデフォルトで有効にしているようです。 スタックの基礎となるブロックが安全でなければ、ワークロード全体が危険にさらされるのは目に見えています。

そのうえ、昨今、アイデンティティが攻撃者の主要な標的であり目標になっています。 環境内のすべてのソフトウェアにパッチを当てることはできます。それでも、攻撃者が過剰特権のあるアイデンティティを乗っ取った場合、特別な悪用の手口は不要 - 単にログインすれば侵害は成功します。 Tenable クラウドリサーチレポート2024の調査結果によると、84% の組織が重大な権限のある未使用または過去に設定されたままの有効なアクセスキーを保有しています。アイデンティティセキュリティのポスチャ―管理がオプション項目だった時代はもはや過ぎ去っています。

成熟度の高いサイバーエクスポージャー管理戦略は、アイデンティティのリスクや AI の設定ミスを、ソフトウェアの脆弱性と同等のレベルで緊急に扱う必要があります。

サイバーエクスポージャー管理の運用

クラウドの効率性のギャップを埋めるには、可視性を統合し、文脈に基づいて優先順位付けを強制するクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）を採用する必要があります。

運用モデルをどのように変換したらよいか、その方法を以下にご紹介します。

1.勢いを維持する（5 分間の監査）

作業量に圧倒されて麻痺状態に陥るのは最悪です。 山のようなアラートに直面するセキュリティチームはしばしばフリーズしてしまいますが、Tenable Cloud Security を使えば、「5 分あれば」解決できるウィジェットでこの麻痺状態から脱却できます。 このウィジェットは、深いフォレンジック分析が目的ではなく、セキュリティハイジーンとその場で効果を出すことが目的です。 公開されている S3 バケットや非アクティブなキーなど、すぐに修正できる明らかな「クイックウィン」を特定するので、 さまざまな仕事に追われている忙しい日でも、何かを修正するのと何もしないのとの違いを確実に提供します。 調査の必要な作業の準備をしている間に、「ハイジーン負債」が積み上がらないようにします。セキュリティ業務を始めたばかりの従業員に対応してもらうのにも最適です。

2. 危険な組み合わせを駆逐する

クイックウィンを処理したら、戦略的リスクに焦点を移して 危険な組み合わせを標的に合わせます。こここそが最高のリソースを投入する場所です。 アイデンティティ、ネットワーク、脆弱性データを関連付けることで、壊滅的なデータ漏洩に繋がる可能性のある 3% のアラートを特定します。 このようなサイバーエクスポージャーを修正すれば、組織のリスクを大幅に、測定可能なレベルで低下させ、取締役会に報告することができます。

3. 修正作業をソースで行うようシフトする

クラウドコンソールで手動で設定を修正する 「ClickOps」は、非効率的で一時的なものに過ぎません。 次のデプロイメントで、その修正が上書きされることが多いからです。

成熟度の高い組織は、セキュリティを開発ライフサイクルに統合しています。 Tenable Cloud Security は、ランタイムの問題を発生させた特定のインフラのコード化（IaC）まで遡って検出して、 必要なコード変更を加えたプルリクエストを自動的に生成します。

これはアイデンティティ管理にも同様に当てはまります。 プラットフォームは、アクセス許可を推定する代わりに、実際の使用行動を分析し、使用されていないアクセスを自動的に取り除く最小権限ポリシーを生成します。

まとめ: 価値に基づいたセキュリティ

クラウドセキュリティプログラムにおける成功の指標は、もはや「クローズしたアラートの数」ではありません。 真の指標となるものは、「エクスポージャーの測定可能な低減」です。

クラウドの成長に合わせてチームを拡大することは現実的ではありませんが、インテリジェンスを拡大することは可能です。 ビジネスリスクを引き起こす 3％ のエクスポージャーを特定するためにコンテキストを活用することで、組織はノイズに反応する受け身の姿勢から、エクスポージャーの優先順位付けと修正を先制的に行う攻めの姿勢へと移行することができます。

実際の動作を見る

以下の短いデモでは、実際のクラウド AI 環境を例に、Tenable のツールがどのようにワークロードを特定し、隠れたリスクを可視化し、真に対処すべき重要な課題を浮き彫りにするのか、そのプロセスをご覧いただけます。

サイバーエクスポージャー管理プラットフォームの外観と、実際の使用感をぜひご確認ください。

本当に重要な要因に基づいてクラウドリスクに正しく優先順位を付ける方法について、もっと詳しく

(ジェンガ®は Pokonobe Associates が所有する登録商標です。)