Implementing an exposure management program

見えないものは守れません。 まずはクラウド、IT、OT、IoT、ハイブリッド、シャドー IT など、すべての資産を特定することから始めましょう。 各資産の役割、その重要度、資産にアクセスするユーザーに関する文脈が必要です。

継続的モニタリングを使用して、環境全体のデバイス、アイデンティティ、ワークロード、アプリをマッピングします。 その際、API、SaaS、従来のアプリ、パブリッククラウドのフットプリントなど、外部に露出しているインフラを含めてください。

こういったベストプラクティスのエクスポージャー管理ツールやテクニック (自動資産検出、設定スキャン、インベントリマッピングなど) により、後のステップでリスクを効果的に特定できるベースラインが作成されます。

Tenable One は、IT、クラウド、OT の環境全体を一元的に可視化します。 資産検出と、設定ミス、アイデンティティエクスポージャー、インターネットに露呈しているリスクに関する文脈を組み合わせることにより、早い段階で盲点を明らかにします。

エクスポージャー管理とは、すべての CVE を見つけ出すことではなく、 適切なリスク、つまり実際にビジネスに影響を与える可能性があるリスクを検出することです。 それには、脆弱性、設定ミス、アイデンティティエクスポージャー、過剰な権限、攻撃経路が含まれます。

これらは、脆弱性を特定して重要資産にマッピングし、悪用される可能性について文脈を踏まえて評価するという、基本的なリスク評価の手順になります。

資産の関係性、脅威インテリジェンス、実際に悪用される可能性を関連付けます。 リスクを単独で扱ってはなりません。 サイバーエクスポージャーはリスクが重なり合う場所で発生します。

Tenable Vulnerability Management を使用すれば、より詳細な脅威インテリジェンスとビジネスリスクの分析結果を把握できます。 その脆弱性優先度格付け (VPR) は、攻撃者が悪用する可能性が最も高いサイバーエクスポージャーを特定して、ノイズを排除するのに役立ちます。

すべてをマッピングして関連付けたら、優先順位付けを行います。

重要なシステムや機密データに直接つながるサイバーエクスポージャーはどれなのか、 攻撃者が今すぐ悪用できるサイバーエクスポージャーはどれなのかを確認します。

それぞれのサイバーエクスポージャーを、アップタイム、コンプライアンスリスク、顧客データ、財務業務などのビジネスへの影響に関連付けます。 

セキュリティ対策と経営陣が重視する項目を連携させます。 これは、サイバーエクスポージャーと修正作業を、ビジネスの継続性、規制コンプライアンス、顧客の信頼に結び付けることを意味します。 セキュリティ対策によって、アップタイム、財務リスク、戦略的イニシアチブに影響があることを明確に示すことができれば、経営陣からの投資、サポート、協力を得られる可能性が高くなります。

Tenable One を使用すると、ビジネス目標に沿ったリスクベースの優先順位付けを行うことができます。 攻撃経路分析により、影響の大きいサイバーエクスポージャーや、ラテラルムーブメントを阻止する修正のチョークポイントを特定できます。

何が重要なのかが判明したので、それをすばやく修正します。 ただし、IT 担当部門に対して、単にパッチが掲載された長いリストを送るのではなく、 リスクに基づいた検証済みのガイダンスを提供します。

修正作業が有効であったことを確認します。 自動化を利用して、ステータスを追跡し、修正を確認して、脆弱性がないか再スキャンします。 信頼を築くために、レポートや監査対応可能な文書を活用します。

Tenable One を使用すると修正の検証を自動化できます。 ガイド付きの修正ワークフロー、サイバーエクスポージャー分析、リスクスコアリングにより、経時的な削減状況を追跡し、セキュリティの ROI を証明できます。

環境は絶えず変化します。 新たな資産が立ち上がり、 権限は変化し、 攻撃者は状況に適応するため、 エクスポージャー管理は動的でなければなりません。

アタックサーフェスを継続的に監視するためのルーチンを構築します。 シミュレーションを実行して、制御を検証し、態勢のベンチマーキングを行います。 結果は、チーム間だけでなく、経営幹部とも共有します。

Tenable One の継続的な脅威エクスポージャー管理 (CTEM) 機能を使用しましょう。 これは、サイバーセキュリティに関する CTEM フレームワークに準拠しています。 そして、実際の脅威や進化するアタックサーフェスに基づいて、自動的なリスクの評価、優先順位付け、軽減を行うための構造化された継続的なプロセスを提供します。 リアルタイムのリスク分析と AI を活用したインサイトにより、露呈している場所と対処が必要な場所を常に認識できます。

エクスポージャー管理を効果的に実施すれば、無駄な作業を減らし、効率的に業務を進められるようになります。 

脆弱性管理からエクスポージャー管理に移行した後、セキュリティ責任者は、脆弱性修正のタイムラインと平均検出/対応時間 (MTTD/MTTR) が短縮され、緊急対応が減ったと一貫して報告しています。 

最も重要な点は、セキュリティリーダーが自信を持ってビジネス側にも理解できる言葉でサイバーリスクを説明できることです。

Tenable One を使用する組織は、セキュリティと IT 間のサイロ化を解消して脆弱性のオーバーロードを軽減し、リスク緩和をビジネス成果向上に活かすことができます。 

こちらのブログでは、実際のセキュリティリーダー達がノイズを排除して重要な作業に注力する際に、Tenable がどのように支援したかについて紹介しています。

Tenable は、サイバーエクスポージャー管理への移行という流れにただ従ったのではなく、その先頭に立って牽引しました。 2017 年にサイバーエクスポージャーエコシステムを導入し、Tenable One プラットフォームを通して継続的にイノベーションを重ねてきた Tenable は、リスクの見直しを検討する組織にとって信頼できるパートナーです。

さらに詳しい情報は、 こちらのブログをご覧ください。サイバーセキュリティ分野でエクスポージャー管理が重要な理由、そして Tenable がどのようにエクスポージャー管理をリードしているのかを紹介しています。

Tenable One サイバーエクスポージャー管理プラットフォームは、DX 時代のアタックサーフェスの複雑さに対応できるように構築されています。 可視化から始めて、 リスクインテリジェンスを蓄積し、 対策を実施します。成果を示しましょう。