CAASM とは?

IT 資産のアタックサーフェス管理 (CAASM) は、サイバーアタックサーフェスの特定、管理、削減を先行的に行うための手法です。 CAASM は、オンプレミス環境、クラウド環境、サードパーティ環境などにある全資産を一元的に可視化します。 

CAASM によって、セキュリティ担当者は複数のソースからのデータをインベントリ化して関連付けし、接続されているすべての資産と関連リスクの理解を深めることができます。

組織が新しいテクノロジーを採用してデジタルフットプリントを拡大するにつれて、組織のアタックサーフェスは指数関数的に拡大し、攻撃者が悪用できるセキュリティギャップや脆弱性が生じます。 

従来の資産管理ツールでは、多様な環境を連携させて表示することができません。 CAASM で資産を一元的に可視化することで、サイバーリスクをより効率的に優先順位付けし、先行的に修正できます。

CAASM ツールの中心的な役割は、資産、リスク、設定に関するすべての既知のデータの一元的なインベントリを提供することです。 

パッシブモニタリングやアクティブモニタリングによってアタックサーフェスを直接スキャンできるツールもありますが、ほとんどの CAASM ツールは API を介して既存のツールと直接統合し、資産情報を集約します。 

一般的なデータソースとしては、IT 資産管理、設定管理データベース (CMDB)、ネットワーク検出、脆弱性評価、外部アタックサーフェス管理 (EASM)、エンドポイント検出対応 (EDR)、拡張検出対応 (XDR)、クラウドセキュリティ、セキュリティ情報およびイベント管理 (SIEM)、オペレーショナルテクノロジー (OT) セキュリティ、ID およびアクセス管理、ソフトウェアコンポジション解析、DevOpsなどが挙げられます。 

CAASM はさまざまなソースから資産情報を収集し、中央データレイクに保存して分析します。 

そして、さまざまなツールから得た資産情報を合理化および正規化し、情報の重複を解消してフォーマットを標準化し、一貫した資産表示画面を作成します。 

また、さまざまなツールで同じデバイスに異なる名前が付けられているような、冗長な、または矛盾するエントリを合理化します。

さまざまなツールから得た文脈で資産情報を強化して、例えば所定の資産に関する既知のすべての資産リスクの詳細 (脆弱性、設定ミス、過剰な権限、資産の所有者と使用状況、コンプライアンス状況、資産の関係性など) について、詳しいインサイトを提供します。 資産の関係性の例としては、資産間の接続性、資産に関連づけられた仮想リソースやワークロード、資産とアイデンティティの関係 (資産の利用者であるなど) があります。 

CAASM ツールは、優先順位付けを可能にするために、アタックサーフェス全体のリスクを評価して正規化します。 

リスクの優先順位付けにおいては、通常、いくつかの重要な変数が考慮されます。優先度や、定性的な尺度を使用して脆弱性の深刻度を評価する CVSS (共通脆弱性評価システム) のような業界標準のスコアリングに基づくリスクの深刻度などです。 

リスクの悪用可能性は、脆弱性に対して利用可能なエクスプロイトコードや、インターネットから資産にアクセスできるかなどの要因を考慮したもので、脆弱性の優先順位付けに影響を与えます。 

資産の重要度は、ビジネス上重要なサービス、プロセス、または機能を停止させる可能性など、ビジネスへの影響や重大な影響をもたらす資産の役割に注目します。 

大半のツールには独自のリスクスコアがあるので、CAASM ツールは多くの場合、一貫したリスクのスコア付けと優先順位付けのために、オプションに基づく独自の基準を提供します。

CAASM ツールは、頻繁に更新され、新しい資産、設定の変更、新たに出現した脆弱性を検出してアタックサーフェスのビューを最新の状態に保ち、インシデントにつながる前にリスクのある変更を特定します。 

単純なクエリや複雑なクエリを実行して、パターンを特定したり、日常的なサイバーハイジーンを実行することもできます。 統合機能は、修正のためのチケットの発行、電子メールでのレポート送信、アラートの送信などのワークフローの合理化に役立ちます。 

CAASM ツールの利用者は、多くの場合、IT チーム、コンプライアンス担当チーム、セキュリティ担当者、経営陣など多岐にわたります。 

ダッシュボードとレポートを利用すれば、資産のインベントリ、長期的なリスクのトレンドと進捗状況、コンプライアンス態勢、その他の主要業績評価指標 (KPI) の可視性に関するインサイトを得られます。 

資産のサイロ化を超えた一貫したインサイトにより、通常は隔離されている部門間でのより良い連携、意思決定、投資が可能になります。

• シャドー IT、管理対象外のデバイス、サードパーティ資産といった資産の、アタックサーフェス全体にわたる継続的な可視化
• 複数のセキュリティツールや IT ツールからデータを集積して正規化することによる、資産および関連リスクの一元的なインベントリの作成
• 各資産に関連する脆弱性、設定ミス、エクスポージャーポイントを特定し、リスクレベルを決定するためのリスク評価
• 脆弱性の優先順位付け機能、修正ワークフローとの統合
• 変化を動的に反映させ、新たなリスクを顕在化させるための、アタックサーフェスのインベントリの継続的な監視と更新

• IT、OT、IoT、クラウド、アイデンティティ、アプリケーション、仮想マシン、コンテナ、Kubernetesなど、すべてのIT 資産に対する包括的な可視性を確保できます。
• 資産に関連するすべての既知のリスク情報を先行的に集約し、異なるソース間のリスクスコアを標準化することで、リスク評価が改善されます。
• IT、コンプライアンス、セキュリティの各担当部門にまたがる資産情報の一貫したビューにより、より強い連携と信頼関係が促進されます。 
• チケットの発行や推奨される修正ステップの提供など、セキュリティと IT のワークフローを統合および自動化することで、修正プロセスを合理化できます。
• 資産とリスクを継続的に検出するので、資産情報の手作業による定期監査で発生するエラーや遅延を削減できます。
• 規制やベンチマークに沿った標準装備のレポートが作成できるので、領域をまたぐコンプライアンスレポートの作成を迅速化かつ標準化できます。 
• 組織に重大な影響を及ぼす可能性のあるリスクへの優先順位付けを改善できる、技術、事業の両方面の文脈が得られます。

Gartner は、継続的な脅威エクスポージャー管理 (CTEM) を「企業が保有するデジタル資産と物理資産のアクセスのしやすさ、エクスポージャー、悪用される可能性を、継続的に、かつ一貫して評価できるようにする一連のプロセスと機能」と定義しています。

CTEM のプロセスは、対象範囲の設定、検出、優先順位付け、検証、動員という 5 つのステップで構成されています。 CAASM は、CTEM モデルの 5 つのステップすべてにおいて重要な役割を果たします。 

CAASM と CTEM を統合することで、継続的なリアルタイムの可視化と効率的なリスク管理が可能になるため、アタックサーフェスを先行的に管理し、脅威へのエクスポージャーを全体的に削減できます。

IT 資産のアタックサーフェス管理ソリューションを導入するための 5 つのステップは以下のとおりです。

1. 盲点の削減やリスクの優先順位付けの改善など、組織が達成したいことを特定します。
2. 包括的な資産の可視性が得られ、既存の IT およびセキュリティスタックとシームレスに統合するサイバーセキュリティツールを評価します。
3. 導入後、資産や重要な業務システム、またはこれまで見過ごされてきたリスクへの取り組みに重点を置いて作業を開始します。
4. CAASM を使用して既存のプロセスやシステムに付加価値を与えるために、検出、関連づけ、修正のワークフローを作成します。
5. リスク削減、平均修正時間 (MTTR)、可視性の改善などの指標を使用して、進捗状況を追跡します。

セキュリティプログラムの一環として CAASM を導入して運用を始めると、可視性とリスク管理が大幅に改善されます。 しかし、CAASM の導入にはさまざまな担当部門、ツール、ワークフローが関わるため、導入の成功を遅らせたり妨げたりするような問題が生じる可能性もあります。 次のような状況が考えられます。

• CAASM はさまざまなツールとの統合によって一元的なビューを提供しますが、不完全なデータや一貫性のないデータによって、その効果が限定される場合があります。
• ツール間の互換性の確保、ツール間の API の設定や認証の管理には時間がかかり、技術的にも困難な場合があります。
• 複数の環境 (オンプレミス、クラウド、ハイブリッド) にまたがる数多くの資産を抱える大規模組織には、スケーラビリティの課題が生じる場合があります。
• シャドー IT に起因する不正確な資産のタグ付け、古い情報、不完全なインベントリにより、インサイトの信頼性が損なわれ、可視性のギャップが生じる可能性があります。
• 多くの組織において、CAASM の設定と保守を行うセキュリティ担当者やスキルセットが不足しています。 
• 資産管理ツールや CMDB を所有する IT チームなどのステークホルダーが、CAASM の採用、データの共有、ワークフローの変更に抵抗する可能性があります。

CAASM の効果的な導入と運用のためには、入念な計画と的確な実施が必要です。 そのためのベストプラクティスをいくつか紹介します。

1. 早期に統合を計画することで、導入を合理化します。 主要なツールと API の可用性と互換性を明らかにし、ツール間のデータフローをマッピングして、ステークホルダーに速やかに価値を提供できる統合を優先させます。
2. データの完全性と正確性の定期監査、重複または矛盾するデータの正規化や特定、統合されたシステム内のデータのクリーニング、プロセスと所有者の定義により継続的にデータの品質を維持し、データ品質を高めます。
3. コンプライアンスの改善やアタックサーフェスの縮小などといった組織の優先事項に直接対応する、影響の大きいいくつかのユースケースから始めます。 特定されたリスクと修正されたリスクの量などの指標を定義して、成功を数値化して実証します。
4. 導入を成功させるために、ステークホルダーの賛同を得ます。 関連部門とは早期に連携しましょう。 他部門に CAASM の利点について教育を行い、早期に実現した成果を共有して信用と信頼関係を築きます。 
5. 自動化に投資してプロセスを合理化します。データの集約を可能にし、IT プラットフォームにおけるチケット生成などのワークフローを自動化し、重大なリスクに対するアラートを設定して、より迅速で一貫性のある対応を確実に取れるようにします。
6. レポート機能を活用します。 カスタマイズされたダッシュボードを作成し、長期的な傾向を監視して、コンプライアンス要件に整合したレポートを作成します。 上級幹部やステークホルダーに実用的なインサイトを提供し、測定可能な価値を明示します。

CAASM は内部資産に対象を絞って環境内のデータを統合します。 外部アタックサーフェス管理(EASM) は、攻撃者から見える、外部に露呈した資産を対象とした管理機能です。

EASM は、CAASM が提供する内部の視点を補完する外部の視点から、露呈したサービス、設定ミス、シャドー IT などのリスクを特定します。 EASM と CAASM を組み合わせることで、アタックサーフェス全体とリスクについて総合的に把握できるようになります。

CAASM ツールは、主要なステークホルダーに、各人の責務に合わせた実用的なインサイトを提供します。 

情報セキュリティ最高責任者 (CISO)
CISO は、CAASM によって一元的な資産インベントリのリスクの優先順位付けとIT 資産に対する完全な可視性を手にします。 このデータがあれば、CISO は最も重大なセキュリティ上のリスクの対応にリソースを集中させ、戦略的な意思決定プロセスを強化できます。

セキュリティ運用 (SecOps) チーム
CAASM は脆弱性管理を合理化し、資産とリスクに関するリアルタイムの文脈によってインシデント対応を迅速化します。 CAASM ソリューションにより、SecOps チームは脅威に最適化された対応を取って脆弱性を迅速に修正できます。 

コンプライアンス責任者
CAASM は、規制コンプライアンスの検証と監視によってコンプライアンス維持のプロセスを簡素化し、罰則を受けるリスクを低減します。 自動化されたレポート機能を利用すれば、監査の信頼性を高め、コンプライアンスに関する最新のインサイトが目の前に提示されます。

IT 運用マネージャー
CAASM は MFA や暗号化などのセキュリティ制御の継続的な監視ングをサポートし、すべてのシステムでの一貫した導入を実現します。 また、設定ミスがもたらす運用上のリスクを最小限に抑え、IT セキュリティ管理全体を強化できます。

クラウドアーキテクト
CAASM はシャドー IT や設定ミスがあるクラウド資産を特定し、動的なクラウド環境内にある管理対象外のリソースに関するインサイトを提供します。 この情報を活用すれば、アタックサーフェスをさらに効果的に削減し、クラウドの導入を組織のポリシーとセキュリティのベストプラクティスに確実に適合させることができます。

リスク管理責任者
CAASM を使用してベンダー評価などのサプライチェーンのリスク評価を実施すれば、脆弱性のエクスポージャーを減らし、パートナーのセキュリティとコンプライアンスの手法が自組織の基準やその他の要件を満たしていることを確認できます。

合併・買収 (M&A) 責任者
CAASM は、新たに買収する企業のサイバーリスクの迅速な特定と評価に役立ちます。 統合前に脆弱な資産やコンプライアンス違反の資産に対処することで、M&A プロセス全体の安全を保障できます。

DevOps エンジニア
CI/CD パイプラインに CAASM を統合すれば、アプリケーションの脆弱性や設定ミスを監視し、DevOps ワークフローの俊敏性を維持しながら、アプリケーションの安全なデプロイメントを実施できます。

CAASM の機能を役割ごとの具体的なニーズに合わせることが部門間の連携を促進し、サイバーアタックサーフェス管理の事前対応型アプローチの実現に繋がります。

IT 資産のアタックサーフェス管理について、また、サイバーエクスポージャーの特定、優先順位付け、解消にそれがどのように貢献するかについてさらにご理解いただくには、Tenable のその他の CAASM リソースと製品をご覧ください。