エクスポージャー管理とは何か、なぜエクスポージャー管理は重要か

毎週月曜日、Tenable のサイバーエクスポージャー管理アカデミーは、脆弱性管理からサイバーエクスポージャー管理への移行に必要な、実用的で現実的なガイダンスを提供しています。 この新シリーズの最初のブログでは、両者の違いについて概説し、サイバーエクスポージャー管理が組織 にとってどのような利益となるかを説明します。 

従来の脆弱性管理は、出現してからできるだけ早いうちに脆弱性を特定して修正することと捉えられてきました。それでも、実際は、(たとえ妥当なサービスレベルアグリーメント (SLA) があったとしても、) IT 部門が通常そのリスクを軽減する必要があり、その作業が常に IT 部門の優先任務リストの最上位にあるとは限らないため、攻撃者が足がかりに悪用する可能性のあるセキュリティギャップが残されています。 CVE が増加 (2021 年には 20,161 件だった新規の CVE が、2024 年には 40,077 件とほぼ倍増) したことで、担当部門は脆弱性を追いかけるのに手いっぱいですが、CVE は氷山の一角に過ぎません。 

米国 CSISA (サイバーセキュリティインフラストラクチャセキュリティ庁) は、重要インフラへの初期アクセスの 90% が、フィッシング、パスワードの侵害、アイデンティティシステムのリスク、設定ミスなどのアイデンティティ関連の侵害に起因していることを明らかにしています。 さらに憂慮すべきことに、2024 年 Tenable クラウドリスクレポートによると、74% の組織が、機密データを含むストレージ資産を一般公開しています。 また同調査では、84% の組織が、深刻度が「Critical (重大または緊急)」もしくは「High (高)」の過剰な権限を持つ未使用または長期間存在するアクセスキーを保有していることが分かりました。これは、重大なセキュリティギャップを生じさせるものです。

上記のような課題に直面しているにもかかわらず、多くのセキュリティ責任者はリスクの全社的で包括的な把握をしていません。 新しいテクノロジーが定期的に導入されるたびに新たな脅威も生じますが、 その対応策として、大半のセキュリティ部門は、新たなアタックサーフェスを防御するために、サイロ化された新しいセキュリティツールやチームを追加することしかしません。 その結果、セキュリティが繋がりのないものになっています。また、脆弱性管理はサイバーセキュリティにとって極めて重要な要素ではあるものの、予防可能なリスクの一部のみを対象にしています。最終的には、ギャップによる可視性の断片化が起こり、組織が脆弱な状態になります。 

このような状況で有効なのが、サイバーエクスポージャー管理です。 すべてのシステム、アプリケーション、デバイス、リソース、アイデンティティにわたるデジタル資産の、アクセス可能性、悪用可能性、重要性を継続的に評価するために必要なプロセスとテクノロジーが利用できるようになり、その結果、セキュリティ責任者は、組織のエクスポージャーリスクに関する質問に積極的に答えられるようになります。 

サイバーセキュリティにおけるサイバーエクスポージャー管理とは何か

リスクベースのサイバーエクスポージャー管理と脆弱性管理を比較検討すると、前者はより包括的でプログラム的なアプローチによって、費用対効果の高い意思決定を行えるよう進化していることが分かります。 サイバーエクスポージャー管理は、サイロ化構造を解消し、攻撃の可能性、アイデンティティの権限、攻撃経路悪用の可能性、ビジネス上の重要性などを調査した結果を考慮します。 これによって、セキュリティ部門は、真のエクスポージャーを優先し、最も影響の大きいリスクにまず集中して対応できるようになります。 つまり、取締役会から質問があっても、より容易に対応できるようになるということです。 

セキュリティコンティニュアムの説明

継続的なサイバーエクスポージャー管理の重要性が、サイバーセキュリティプログラム全体の文脈の中でどこに位置づけられるかを理解するために、セキュリティのコンティニュアム (連続体) を詳しく見ていきます。 

出典:Tenable、2025 年 3 月

侵害ラインは中央にあります。 その右側にあるものは、すべて事後対応型セキュリティの世界です。 この場合、攻撃や侵害はすでに進行中です。 侵害ラインの左側は、事前対策型セキュリティの世界です。 

事後対応型セキュリティとは、実行中の脅威やインシデントに対処することで、 目標は、重大な影響が生じる可能性を最小限に抑えることです。 そのため、近年は事後対応型セキュリティへの投資の割合が大きくなっています。 

しかし、米国 証券取引委員会 (SEC) のような多くの監督機関が情報漏洩の開示を要求するようになり、責任範囲も変わりつつあります。 

規制当局からの圧力に加え、侵害には多くの場合、収益への影響や、ブランド、顧客ロイヤルティ、投資家の関心に対する計り知れない損害が伴います。 こうしたことから、サイバーエクスポージャー管理などの事前対策型セキュリティのより効果的なアプローチの必要性が強調されています。

結果として、サイバーエクスポージャー管理は、多国籍通信会社から公共機関まで、さまざまな組織で採用されるようになっています。

• アタックサーフェスの可視性のサイロ化: アタックサーフェスは進化し、IT、クラウド、アイデンティティ、OT/IoT、アプリなど、特定のテクノロジー領域に特化した無数のツールが多くのベンダーによって開発されています。 多くの場合、これらのツールは、それぞれ、脆弱性、設定ミス、権限など、潜在的なリスクの一部を扱っていて、そのサイロ化されたアプローチでアタックサーフェスが管理されると、攻撃者が悪用できる可視性のギャップが残されてしまいます。
• 分脈が少なすぎる: また、データが断片化されていると、攻撃者の視点を理解できません。つまり重要資産へとつながる実行可能な攻撃経路を形成する資産、アイデンティティ、リスクの関係性が把握できないのです。 複数のツールの寄せ集めを使うだけでは不十分で、セキュリティ責任者はエクスポージャーによる収益やビジネスプロセス、ミッションクリティカルなデータへの影響を十分に理解することができません。
• リソースを動員できない: 個々のセキュリティツールが提供する修正ガイダンスやワークフローは、断片的な寄せ集めであり、進捗を測定して伝達する方法も限られています。 その結果、最適な修正方法を考案するだけでなく、リソースの動員の場所と方法、修正状況の追跡方法を見極めることも、セキュリティ部門にとって大きな課題となっています。

サイバーエクスポージャー管理はどのように役立つか

サイバーエクスポージャー管理は、アタックサーフェスを完全に可視化し、真のビジネスエクスポージャーに優先順位を付けるために必要となる重要な文脈を提供します。 つまり、セキュリティチームの負担が軽減され、事後対応が少なくなると同時に効率が上がります。もう少し掘り下げて、サイバーエクスポージャー管理がセキュリティ態勢の改善にどのように役立つかを 5 つのステップで探ってみましょう。 

ステップ 1: 自社環境のアタックサーフェスを把握する

サイバーエクスポージャー管理プラットフォームは、クラウド、IT、OT、IoT、アイデンティティ、アプリケーションなど、外部および内部のアタックサーフェス全体にわたって資産データを検出して集約することで、アタックサーフェスの全体像を提供します。

ステップ2: 回避可能なリスクをすべて特定する

サイバーエクスポージャー管理は、攻撃者が初期アクセスを取得してラテラルムーブメントを実行するために使用する、脆弱性、設定ミス、過剰な権限という 3 つの予防可能なエクスポージャー形態を検出します。 組織にとって最大のリスクをもたらす資産が迅速に特定できます。 

ステップ 3: ビジネスの文脈と整合させる

資産をタグ付けすることで、セキュリティ担当者は、テクノロジー領域をまたいで論理的に資産をグループ化し、重要なビジネス機能、サービス、プロセスに関連付けることができます。 サイバーエクスポージャースコアは、エクスポージャーをビジネスに即して迅速に可視化し、エクスポージャーの経時的な変化を示します。

ステップ 4: 実際のエクスポージャーを修正する

資産、アイデンティティ、リスクの関係性を詳細にマッピングすることで、組織の重要資産につながる攻撃経路が明らかになり、セキュリティ担当者は攻撃者の視点に立てるようになります。これは、ノイズの多い検出結果と、組織に重大な影響を与える可能性のある真のエクスポージャーを区別するうえで極めて重要です。

ステップ 5: 投資を継続的に最適化する

全体的なサイバーエクスポージャーのスコアを数値化し、同業他社のベンチマークスコアと比較できるため、予算出費の妥当性を合理的に説明できるようになり、セキュリティ責任者は重要な質問「うちのセキュリティは大丈夫だろうか?」に答えられるようになります。

これらの各ステップについては、ホワイトペーパー「Attackers Don't Honor Silos: Five Steps to Prioritize True Business Exposure (攻撃者にとってサイロは無意味: 真のビジネスエクスポージャーを優先順位付けする 5 つのステップ)」で詳しく説明しています。

サイバーエクスポージャー管理は、従来のサイロを越えて人、プロセス、テクノロジーを橋渡しして統合することでコラボレーションと効率を向上させます。また、セキュリティ責任者と IT チームの負担を軽減し、直近の危機ではなく戦略的な取り組みに集中できるようにします。 

サイバーエクスポージャー管理の恩恵を受けられるのは誰か

サイバーエクスポージャー管理がもたらす利益は、改革を呼び込みます。忙しくて手が回らない実務担当者にも、リスクの把握に苦労している管理者にも、すべてを心配している経営幹部にも、サイバーエクスポージャー管理は役立ちます。

• セキュリティ担当者: あらゆるセキュリティ組織の屋台骨である担当者は、重労働をこなしています。 高い自立性で知られる彼らですが、アタックサーフェスの可視性と全資産を一元的に表示する画面という 2 つのものを必要としています。 ここでサイバーエクスポージャー管理プラットフォームが力を発揮し、ソフトウェアの脆弱性、設定ミス、不適切アクセス権限などの修正作業に、より簡単に優先順位を付けられるようになります。 
• セキュリティマネージャー: 少し上の立場にあるセキュリティマネージャーは、チームをまたいでリソースを結集し、最も緊急性の高いセキュリティニーズに対応するために、脅威エクスポージャー、資産、権限に関するインサイトと文脈を必要としています。 サイバーエクスポージャー管理プラットフォームは、チーム間のコラボレーションの改善を促進し、限られたリソースをより有効に活用して修正と対応を行うために必要な可視性とインサイトを共有します。
• セキュリティ幹部: CISO、ビジネス情報セキュリティ責任者 (BISO)、その他のセキュリティ幹部が、セキュリティ投資の意思決定の改善、保険適用可能性についての意思決定、規制やコンプライアンス要件の遵守、組織改善の推進を行うには、正確なリスク態勢の評価が必要です。 サイバーエクスポージャー管理プラットフォームは、セキュリティ責任者がエクスポージャーとサイバーリスクの削減状況を測定、比較、伝達するのに即座に活用できる指標を提供します。指標は、IT 部門やセキュリティ部門の運用チームだけでなく、企業全体の技術者ではない経営幹部や運用チームなどにも有用です。 

キーポイント

セキュリティの世界はノイズが多いため、実際に何を実行するかと同じくらい (あるいはそれ以上に)、何を実行しないかが重要です。

サイバーエクスポージャー管理は進化したアプローチであり、複雑さを取り除き、チームを集中させ、アタックサーフェス全体を理解する方法として、業界や地域を問わず広く受け入れられています。 つまるところ、サイバーエクスポージャー管理は可視性、インサイト、アクションが一体化されたものなのです。 

サイバーエクスポージャー管理では、考え方を変える必要があります。すべてが重要というわけではないこと、すべてのリスクが同等に扱われるべきではないことを認識することが必要なのです。 これは、最初のうちは難しいかもしれません。 でも少し考えてみてください。 すべてを重要視するアプローチは、燃え尽き症候群、非効率化、さらなるエクスポージャーの発生につながります。 サイバーエクスポージャー管理によって、最重要事項、つまり、重要資産や組織に実際に影響を与える可能性があるエクスポージャーを優先した対応が可能になります。

サイバーエクスポージャー管理の取り組みを始めれば、新しい道を切り開くセキュリティ専門家たちが集まる、拡大しつつあるコミュニティの一員になることができます。是非、その仲間に入ってください。

視聴する：サイバーエクスポージャー管理とは?