エクスポージャー管理とは?

エクスポージャー管理は、サイバーセキュリティに対する戦略的な、ビジネス中心型のアプローチです。 最も重大なサイバーリスクの先行的な評価と修正に役立ちます。ビジネスとリスクの文脈を脅威インテリジェンスと統合することで、従来の脆弱性管理の枠を超え、リスクを低減してアタックサーフェスを縮小しながら、脆弱性を明らかにして優先順位付けし、その解決を支援します。 

サイバーセキュリティにおけるエクスポージャー管理は、IT、クラウド、OT、IoT、ハイブリッドを含むすべての資産と環境に対する全体的な可視性を提供します。 エクスポージャー管理のベストプラクティスを導入すれば、資産やその中にある脆弱性、依存関係、その他の潜在的なエクスポージャーを見落とすことがなくなります。

エクスポージャー管理は、すべての資産を特定し、利用可能な攻撃経路をマッピングして分析することによって、攻撃者がセキュリティリスクを悪用し、アタックサーフェスでラテラルムーブメントを行うために利用できる方法を探し出します。 

従来の脆弱性管理やさらに高度なリスクベースの脆弱性管理とは異なり、エクスポージャー管理は継続的な可視性と脅威インテリジェンスを備えているため、IT チームとセキュリティチームを隔てるサイロ化構造を打破し、両チームが真のビジネスリスクの迅速な優先順位付けと修正に集中できるよう支援します。 

また、サイバーリスクとビジネスリスクを整合させ、ビジネスの文脈を踏まえたサイバーイニシアチブを提示することで、経営幹部やステークホルダーとのコミュニケーションを改善し、プログラムへの支持を高める効果もあります。

エクスポージャー管理は、脆弱性管理の基本から発展したものです。従来の脆弱性管理戦略が主に従来の IT に適用されるのに対し、エクスポージャー管理はその基盤を土台にして構築されています。 

エクスポージャー管理は、すべてのデジタル資産とアイデンティティ、また一般的な脆弱性、設定ミス、過剰な権限といった予防可能なあらゆる形態のリスクを含むアタックサーフェス全体を広く対象としています。 

Tenable は、サイバーセキュリティ業界におけるエクスポージャー管理分野のパイオニアです。 2017 年 10 月にサイバーエクスポージャーエコシステムを初めて発表し、 2018 年には、最初のサイバーエクスポージャー管理プラットフォームを市場に送り出しました。

サイバーエクスポージャー管理分野の勢いを受けて、Gartner は 2022 年に Continuous Threat Exposure Management (CTEM: 継続的な脅威エクスポージャー管理) という分野を創設しました。 

サイバーエクスポージャー管理は、包括的な資産の可視化、脆弱性の優先順位付け、エクスポージャーの修正などの、リスクの削減とアタックサーフェスの管理に重点を置いていますが、Gartner はサイバーエクスポージャー管理プロセスを導くためのフレームワークとして CTEM を開発しました。 

どちらも、重大なビジネスリスクやサイバーリスクを積極的に発見し、解決するのに役立つソリューションです。

また、エクスポージャー評価プラットフォーム (EAP) と呼ばれる、新しい種類の包括的なサイバーエクスポージャー管理ツールは、脆弱性評価と脆弱性の優先順位付けテクノロジーの機能を単一のプラットフォームに統合したものです。

エクスポージャー管理が重要である理由は数多くありますが、そのいくつかを以下に挙げます。

• しかし、デジタルトランスフォーメーションやクラウド導入の加速により、組織が直面するリスクは増大しています。従来型の脆弱性管理ツールでは、コンテナ、Kubernetes、クラウドアプリ、サイバーフィジカルシステム、ハイブリッドアプリケーションなど、現代の複雑な環境に存在するリスクを十分に把握できません。 常に注意を払う必要がある資産の種類が増えるにつれ、アタックサーフェスが拡大し、より複雑で分散された環境が生まれ、セキュリティ確保が難しくなっています。
  • エクスポージャー管理は、クラウド、IT、IoT、OT、アイデンティティなどのすべての環境にわたって潜在的なエクスポージャーを継続的にマッピングして評価するため、潜在的な攻撃経路をすべて確認することができます。
• ある領域に特化したセキュリティツールは、特定のテクノロジーやリスクの管理には役立ちますが、それによって環境内のすべてを完全に把握することはできません。 これらのツールは意図された領域ではうまく機能しますが、セキュリティアプローチを断片化させてしまうために盲点が生じ、攻撃者にすぐに悪用されそうな未知の資産や脆弱性が見逃されてしまいます。
  • エクスポージャー管理は、すべてのセキュリティツールやコンプライアンスツールからデータを集約してエクスポージャーを排除し、リスクや外部に露出している資産を画面で包括的に表示します。
• サイバー攻撃者はますます組織化され、国家による資金提供や支援を受けるようになっています。 攻撃者が高度なランサムウェアやサービスとしてのハッキングなどのツールを使うと、巧妙な大規模攻撃をすばやく、正確に実行できるため、侵害が成功し、壊滅的な被害をもたらす可能性が高まります。 
  • エクスポージャー管理で悪用可能な弱点を特定し、優先順位を付ければ、こうした高度なサイバー脅威やよくある戦法、テクニック、手順 (TTP) に先手を打てるようになります。
• セキュリティツールは、対象領域内のリスクを優先順位付けしますが、資産、アイデンティティ、リスク間の関係性は考慮しません。 その文脈がないと、攻撃者が足場を築き、ラテラルムーブメントによってシステムやデータを侵害することを防ぐのが困難になることが想定できます。
  • エクスポージャー管理は、資産の関係性、設定ミス、アイデンティティリスク、潜在的な攻撃経路を関連付け、ラテラルムーブメントを阻止して侵害を防ぎます。
• 侵害件数が増え、新たな規制要件が導入され、財政的および法的な悪影響も増加する状況下、サイバーリスクの軽減に対する関心が高まっています。 サイバーエクスポージャーはもはや、セキュリティチームやコンプライアンスチームだけの悩みの種ではありません。 現在、機密データの安全性を確保する責任の一端を担う経営幹部や取締役会には、「当社のサイバーエクスポージャーは何か」という問いに答えなければならないというプレッシャーが強まっています。しかし、多くのセキュリティ責任者は、どうやってサイバーリスクをビジネスリスクと整合させたり、リスク態勢を定量化したりしたらよいかわかりません。
  • エクスポージャー管理では、技術的なセキュリティリスクをビジネス上の文脈に容易に変換してエクスポージャーを定量化し、組織のリスク許容度やビジネス目標に整合させることができます。

資産の数が非常に多く、「Critical (緊急または重大)」や「High (重要)」とスコア付けされた脆弱性も数限りないため、一部のセキュリティチームは依然として効果的な脆弱性管理ができず、悪戦苦闘しています。 そうした従来の手法から脱却して、代わりにエクスポージャー管理を取り入れようとする原動力は何なのでしょうか。

• 国家機関がセキュリティ制御の拡張や侵害の開示を義務付けるなど、規制当局からの圧力が高まっている。
• セキュリティチームは、無秩序に増加するツールをより適切に管理し、予算の制限内で業務を行えるよう、ベンダーの数や、異なる種類の高額なポイントツールの数を減らす必要に迫られている。
• 限られたスタッフ、専門知識の格差、厳しい労働市場を背景に、組織は常にプロセスの自動化と最適化の方法を模索している。 
• 注目を集めるランサムウェア攻撃やその他の大々的に報じられる侵害が増加したことで、取締役会、経営幹部、事業部門、投資家によるリスク許容度が低下している。 

脆弱性管理、外部アタックサーフェス管理 (EASM)、サイバー資産アタックサーフェス管理 (CAASM) など、かつては別々のソリューションであったものが、現在では関連するセキュリティ問題に対処するために融合しつつあります。

サイバーエクスポージャー管理プラットフォームには、一般的に以下のコンポーネントの組み合わせが含まれています。

• 脆弱性、設定ミス、アイデンティティの問題、過剰な権限などの、攻撃経路全体のリスクを検出して優先順位を付ける、リスクの評価と優先順位付けの機能 
• 設定の問題、リスク、依存関係、ユーザーデータ、重要度などを含む、アタックサーフェス全体にわたる資産を洗い出したインベントリを維持するための、資産インベントリツール
• 資産をマッピングし、リスクを発見して文脈化し、攻撃経路を遮断するための要となる箇所の修正を優先順位付けする、攻撃経路分析機能 
• 重要なビジネスサービス、プロセス、機能のリスクエクスポージャーを定量化し、カスタマイズされたダッシュボードやレポートを提供する能力
• 規制、フレームワーク、またはベンチマークに基づく、自動化された評価とコンプライアンスレポート
• AI や機械学習、脅威インテリジェンス、ビジネス上の文脈と統合され、プロセスの自動化とワークフローの最適化を推進する、サイバーセキュリティツールとプロセス
• 実行可能なリスクベースの推奨事項を提供し、制御を検証してセキュリティギャップを埋めるための、修正のガイダンスと検証
• 進化するアタックサーフェスを追跡し、新たなエクスポージャーを検出して、ポリシーと事前設定されたルールに基づいてセキュリティ制御を自動的に調整することで、新たな脅威を迅速に軽減する、継続的な監視機能と適応型のセキュリティ
• エクスポージャーデータを合理化してより迅速かつ効率的な脅威の軽減を実現する、セキュリティオペレーション (SOC) およびインシデント対応との統合

エクスポージャー管理ソフトウェアの導入には多くの利点がありますが。その一部を以下に挙げます。

• アタックサーフェスを縮小し、関連する脅威やインシデントの数を削減できる。
• サイロ化構造の橋渡しとなり、IT 部門とセキュリティ部門を繋ぎ、経営幹部、取締役会などのステークホルダーを含む組織全体で、ソフトウェアの開発プロセス、新技術やアプリケーションの取得と導入、研究開発などにおけるコンプライアンスについてコミュニケーションを合理化する。
• ベストプラクティスを使用して修正を自動化し、検証する。
• 人材、プロセス、テクノロジーへの投資をビジネスと整合させ、最適化する。
• 脆弱性のノイズを減らし、専門スキルを高め、従業員の離職率を下げる。
• GDPR、SOC 2、HIPAAなどの、変化を続ける規制基準に対するコンプライアンスを合理化する。 
• 侵害の影響を受ける前に、ビジネス面のエクスポージャーを先行的に軽減する。
• 文脈と脅威インテリジェンスによって、チームが重点的に取り組む必要がある脆弱性の数を減らす。
• 発生する可能性やビジネスへの影響に基づいて、最も重大な脅威に焦点を当てることができる。
• 継続的な監視、脆弱性診断、リスク評価、脆弱性修正により、セキュリティ態勢を全体的に成熟させる。
• セキュリティやインシデント対応のコストを削減する。
• リアルタイムのデータとインサイトを使用して、潜在的な脅威に対してより迅速で的を絞った対応が実施できる。

エクスポージャー管理と脆弱性管理のベストプラクティスには重なる部分と異なる部分があります。 

エクスポージャー管理は、リスクベースの脆弱性管理の基本に基づいています。 そのほかの主な違いを以下に示します。

• エクスポージャー管理は、アタックサーフェス全体を特定して削減します。
  • 脆弱性管理は、システムやアプリケーション内の特定の脆弱性やその他のセキュリティ問題を対象とします。
• エクスポージャー管理は、潜在的な脆弱性に基づいて資産とリスクに優先順位をつけます。
  • 脆弱性管理は通常、個々のセキュリティ問題を対象とします。
• サイバーエクスポージャー管理は、先行的な対策をより重視します。 潜在的な攻撃経路を明らかにすることに利用できます。
  • 脆弱性管理は事後対応型であり、既知の脆弱性にパッチを当てるすることに重点を置きます。
• エクスポージャー管理は、シャドー IT を含めた資産を包括的に可視化します。
  • 脆弱性管理は通常、既知の IT インフラに注目します。
• エクスポージャー管理は、継続的に脅威を監視することを重視します。 
  • 脆弱性管理は通常、月に 1 回、四半期に 1 回などの頻度で、既存の脆弱性にまとめて対処します。

もし、いまだに従来型の脆弱性管理にとどまっているなら、その「つらさ」はすでに実感されているはずです。アラート疲れ、終わりの見えないパッチ対応、そして何よりも、本当にビジネスにとって深刻な脅威が何なのかが見えないという問題です。

しかし、脆弱性管理からエクスポージャー管理へとシフトすることで、セキュリティチームは「ノイズへの反応」から脱却できます。従来の脆弱性管理では、静的なスコアリングに頼るしかなく、自社のビジネスや環境の現実を反映することはできませんでした。一方で、エクスポージャー管理は、アタックサーフェスを常に可視化し、実際のリスクに基づいた対応を可能にします。

最近発表された Gartner のレポート「How to grow vulnerability management into exposure management (脆弱性管理からエクスポージャ管理へ成長させる方法)」」では、現在のアタックサーフェスの可視化アプローチが、デジタルの進化スピードに追いついていないことが明らかにされています。

レポートでは、「脆弱性の優先リストを作成するだけでは、すべてのエクスポージャーを網羅できず、実用的な対策にもつながらない」と警鐘が鳴らされています。だからこそ今、セキュリティリーダーは従来のテクノロジー中心の脆弱性管理から、より広範で動的な「継続的脅威エクスポージャー管理 (CTEM)」への転換が求められています。

その第一歩を踏み出す、5 つのステップは以下のとおりです。

ステップ 1: IT、クラウド、OT、シャドー資産を含む、すべての資産と脆弱性を把握します。

ステップ2: コンテキストを理解し、当て推量から脱却します。

• 誰がアクセスできるか？
• 何が深刻なのか？
• どれがインターネットにさらされているのか？

ステップ 3: すべてをパッチ適用する必要はありません。ビジネスへの影響を軸に、対処の優先順位を決めます。セキュリティプログラムは、単なる脆弱性対応にとどまらず、業務継続性や収益性、コンプライアンスなど、経営層が掲げる目標と連携する必要があります。

ステップ 4: 本当に重要な問題に集中して対応します。的を絞った修正を行い、進捗は自動化と分析で検証・記録します。

ステップ 5: 継続的な監視・テスト・改善を通じて、変化と進化する脅威に対応します。

エクスポージャ管理プログラムの立ち上げや成熟化を目指す方のために、「エクスポージャー管理実装ガイド」をご用意しました。このガイドでは、初期フェーズから成熟フェーズまでのプロセスを体系的に解説しています。また、実装の鍵を握るセキュリティリーダーの役割にフォーカスした「セキュリティリーダーのためのエクスポージャ管理戦略ガイド」もあわせてご活用ください。さらに、成熟度モデルに基づいて組織の現在地を評価し、理想の状態へと導くためのリソースもご用意しています。

エクスポージャー管理における攻撃経路分析の役割

攻撃経路分析 (APA) は、攻撃者がシステムやネットワークの侵害に使用する可能性がある潜在的な経路を事前に検出するためのリスク管理戦略です。 

攻撃経路を明らかにしてマッピングすることで、脆弱性、設定ミス、権限がどのように組み合わさってエクスポージャーを生み出すかをより詳しく理解できます。

APA は、攻撃者の視点から潜在的なセキュリティ上の弱点を発見し、サイバー侵害が引き起こされる前に修正することに役立ちます。 

攻撃経路の管理は、エクスポージャー管理に欠かせない要素です。 潜在的な攻撃経路がどこにあるのか、攻撃者がそれをどのように悪用し得るかがわかり、どのように (多くの場合隠れたままで) 環境全体でラテラルムーブメントを行い、権限を昇格させ、データを窃取し、さらにはランサムウェアやその他のマルウェアによってシステムを人質に取るのか、などが確認できるようになります。

過去のセキュリティチームは Active Directory (AD) のような重要で潜在的な攻撃経路のいくつかを見落としていたという履歴があります。エクスポージャー管理のベストプラクティスを Active Directory に適用すれば、AD の設定ミス、過剰な権限、その他の攻撃の侵入口を継続的に検出できます。 

このアプローチが実行されていない場合、攻撃者は Active Directory の弱点を積極的に悪用して最初の足場を固め、その後すぐに権限を昇格することができます。ひとたびこれが成功すると、攻撃者はネットワーク全体を移動し、検出や閉鎖が困難なバックドアを作成できるようになります。 

包括的なエクスポージャー管理プログラムの一環として APA を実行することで、攻撃者がドメインコントローラーを侵害したり、マルウェアを展開したり、企業を完全に支配したりすることが防止できます。

APA を使用すると、攻撃経路のリスクの修正をより適切に優先順位付けして、攻撃経路の連鎖を先行的に断ち切ることもできます。 たとえば、エクスポージャー管理計画の一環として不必要な管理者権限をオフにすれば、攻撃者の移動を防ぎ、ドメインコントローラーへのアクセスを制限することができます。

また、攻撃経路分析を使ってエクスポージャー管理プロセスを成熟させることもできます。 たとえば、実際の攻撃のシミュレーションを実施して、攻撃者がどのように環境内を移動する可能性があるかを確認し、そのギャップを埋めるためにセキュリティ制御を強化することが有効です。

攻撃経路管理がエクスポージャー管理で果たす役割についてもっと知りたい方は、「攻撃経路分析とは?」ページをご覧ください。

また、Gartner が提唱する継続的脅威エクスポージャー管理 (CTEM)」は、エクスポージャー管理プログラムを実現するための有効なフレームワークです。

CTEM は構造化された事前対策型のサイバーセキュリティアプローチであり、効果的な評価と優先順位付けに重点を置き、継続的にエクスポージャーを軽減します。

従来の脆弱性管理プログラムにおいて、CVSS のような一般的な脆弱性スコアシステムは、ほとんどの脆弱性のセキュリティ脅威レベルを Medium (警告) とスコア付けします。 さらに、CVSS は共通脆弱性識別子 (CVE) の約 4 分の 1 を High (重要) とスコア付けしています。 米国立標準技術研究所 (NIST) の 脆弱性情報データベース には 28 万を超える CVE が登録されているため、セキュリティ担当部門は、おそらく 7 万を超える脆弱性に対処する必要があるということになってしまいます。

静的なスコアは、事後対応型のセキュリティ対策の絶え間ないループを生みます。 脅威の文脈がなければ、担当者は操業に影響を与えない可能性が高い脆弱性へのパッチ適用に追われることになり、 実際のリスクを見落としかねません。 CTEM は、組織の所有する資産や、資産の使用方法に合わせて適用されるため、この問題を解決できます。

CTEM は、包括的なサイバーエクスポージャー管理プログラムの土台だと考えてください。 文脈に依存しない CVSS スコアとは異なり、CTEM には実際の脅威インテリジェンスが含まれ、資産の重要度や実際に悪用される可能性などの要素が考慮されるため、組織にとって最大のリスクとなる脆弱性に集中できるようになります。

CTEM では環境内での継続的な資産検出と脆弱性評価が自動化されているため、クラウド環境やハイブリッド環境でシャドー IT などの新規の潜在的な攻撃経路をすばやく発見できます。

CTEM には、関連する依存関係を検出するための攻撃経路分析が組み込まれており、攻撃の連鎖を特定し、システム内で攻撃者が行う可能性があるラテラルムーブメントを先行的に阻止することができます。

また、CTEM にはセキュリティの検証とテスト機能も含まれているので、制御を確実に意図したとおりに機能させることで、攻撃者の一歩先を行くことができます。 制御が意図したように機能していない場合には、そのリスクが攻撃者に見つかる前に軽減すればよいのです。

CTEM の詳細と CTEM がエクスポージャー管理にどのように役立つかについては、「CTEM とは?」のページをご覧ください。

IT 資産アタックサーフェス管理 (CAASM) は、あらゆるデバイス、アプリ、ユーザー、サービスを含むすべての資産を包括的に可視化するサイバーセキュリティの領域です。 

クラウド、IT、OT、IoT、ハイブリッドなどのあらゆる環境向けに設計された CAASM は、すべての資産の検索、インベントリ作成、管理、保護を行うためのエクスポージャー管理ツールです。 CAASM を使用すると、IT チームやセキュリティチームが積極的に認識していないものも含め、外部アタックサーフェス上のインターネットに露呈したすべての資産を発見して評価することもできます。

CAASM は事前対策型であり、エクスポージャー低減の指南役となります。エクスポージャー管理の一環として CAASM を使用することで、資産データをリアルタイムで統合し、セキュリティの盲点を明らかにできます。 

脅威検出や脆弱性管理などの、より広範なセキュリティ戦略とともに CAASM を導入した組織は、攻撃者が脅威を発見して悪用する前に内部および外部の脅威を軽減できるよう、より周到に準備を整えることができます。 

CAASM はまた、承認済みのユーザーのみに重要資産へのアクセスを許可してアタックサーフェスをさらに縮小させ、ゼロトラスト戦略や最小権限戦略をサポートします。

CAASM の詳細と CAASM がエクスポージャー管理にどのように役立つかについては、「CAASM とは?」のページをご覧ください。

従来の脆弱性管理手法は、内部資産のセキュリティ確保に重点を置いていました。 

しかし、単なるファイヤーウォールやエアギャップシステムで潜在的なサイバー脅威から十分に保護できた時代は、とうに過ぎ去りました。 

外部アタックサーフェス管理は、アタックサーフェス管理の一部であり、時代遅れで効果のない脆弱性管理手法を、より広範で文脈に沿ったサイバーエクスポージャー管理へと拡張するものです。 EASM は、外部に露出したすべての資産を発見、監視して、それらの保護を可能にします。

EASM は、ドメイン、API、サードパーティとの統合、クラウドのアプリおよびサービス、公開された IP、ウェブアプリ、その他のエンドポイントに使用できます。 シャドー IT や、インストールしたことを誰も覚えていないレガシーアプリやソフトウェアなどの、管理されずに放置されたリソースを検出することもできます。

エクスポージャー管理では、設定管理データベース (CMDB) 、脆弱性管理プラットフォーム、エクスポージャー評価ソリューションなどの他のツールとともに EASM をシームレスに適用することで、アタックサーフェスのデータを一元化できます。 

オープンポート、古いソフトウェア、脆弱性、設定ミスなどの潜在的な侵入ポイントを検出することで、アタックサーフェスを、攻撃者が見るであろう視点から確認できます。 

EASM は、アタックサーフェス内の変化をリアルタイムで可視化し、攻撃経路を迅速に特定して排除します。 外部との境界を安全に閉鎖し、ラテラルムーブメントや権限昇格が行われる可能性を低く抑える効果が得られます。

EASM 全般と EASM がエクスポージャー管理にどのように役立つかについて詳しくは、「EASM とは?」 のページをご覧ください。

1. 自組織の資産を把握します。 資産検出機能を備えたサイバーエクスポージャー管理ソリューションを使用すれば、シャドー IT を含むすべての資産を、すべての環境にわたって検出できます。 資産の重要度と、サイバー侵害の影響を受けた場合の業務への影響を把握します。 これには、資産の関係性、権限、その他の依存関係が含まれます。
2. 重大なリスクを認識して顕在化させます。 
3. AI、機械学習、その他の脅威インテリジェンスを備えたサイバーエクスポージャー管理プラットフォームを使用して、脆弱性、設定ミス、その他のセキュリティ問題の影響を、文脈を踏まえて把握します。
4. 恣意的な CVE スコアではなく、組織固有の環境に及ぼす最大のリスクに基づいて、脅威の修正の優先順位を決定します。
5. ステークホルダーと協力して、サイバーエクスポージャー管理プログラムの成功と影響を評価するための主要業績評価指標 (KPI) を設定します。 サイバーリスク戦略をビジネス目標に整合させます。 業界標準、組織内、競合他社と比較した、プログラムのベンチマーキングを実施します。
6. 評価と対応のワークフローを開発し、可能であれば自動化します。
7. 定期的に制御をテストし、意図したとおりに機能していることを確認します。
8. 攻撃者目線で考えます。エクスポージャー管理ツールを使用して、潜在的な攻撃経路や関連する依存関係を検出し、攻撃者に発見される前に、先行的に軽減します。
9. エクスポージャー管理のポリシー、手順、制御を継続的に評価します。 また、必要に応じて調整を行います。
10. セキュリティ部門と IT 部門の間だけでなく、経営幹部や取締役会に至るまでの組織全体の連携とコミュニケーションに重点を置くことで、取り組み全体の支援を構築します。

エクスポージャー管理の成功への 5 つのステップは以下の通りです。

1. アタックサーフェスを把握し、エクスポージャー管理プログラムの対象範囲を設定する。 
   • IT、IoT、OT、クラウド、未確認の資産、アプリ、アイデンティティにわたって資産を特定し、そのインベントリを作成します。 
2. サイバーリスクを明らかにする。
   • サイバーエクスポージャー管理プラットフォーム内の自動化された継続的な脆弱性評価機能とリスク管理機能を使用して、脆弱性、設定ミス、過剰な権限、アイデンティティの問題、その他のセキュリティ上の弱点を発見します。
3. サイバーリスクを優先順位付けし、ビジネス上の文脈と整合させる。 
   • アタックサーフェス (資産、アイデンティティ、リスク) をマッピングし、最重要事項 (ミッションクリティカルなサービス、プロセス、機能) に関連付けます。
4. エクスポージャーを修正する。
   • 脅威インテリジェンス、AI、機械学習を用いて、エクスポージャーの文脈を理解します。 重要なビジネス機能に重大な影響を与える可能性が最も高いリスクの修正を優先します。 
5. 継続的な監視と改善に重点を置く。
   • 組織が変化し、規模が拡大するにつれて、アタックサーフェスや関連する脆弱性も変化します。 エクスポージャー管理は、一度設定すればそれでよいという、ポイントインタイムのプロセスではありません。 環境の変化を継続的に監視する必要があります。 定期的にセキュリティ制御をテストして、意図したとおりに機能していることを確認し、必要に応じてエクスポージャー管理プロセスを更新します。

エクスポージャー管理プログラムの導入とベストプラクティスの実践を始める準備はできていますか?まずは、「セキュリティリーダーのためのエクスポージャー管理戦略ガイド」をご覧ください。このガイドは、組織を成功に導くための確かな一歩となります。

効果的なエクスポージャー管理には、適切なツールだけでは不十分です。必要なのは、IT 部門とセキュリティ部門の継続的かつ深いパートナーシップです。特に CIO と CISO が一体となって、組織のデジタルレジリエンスとリスク対応力に対して責任を共有することが求められます。

エクスポージャー管理は、この連携が真価を発揮する最たる分野のひとつです。セキュリティ戦略と運用の実行を統合し、複雑なハイブリッド環境における可視性、優先順位付け、そして迅速な対処を実現します。

このパートナーシップが機能する鍵は、年次計画だけにとどまらない機動的かつ継続的なコラボレーションです。

エクスポージャ管理により、CIO と CISO は組織全体の環境を統一された視点で把握でき、重要リスクの特定、セキュリティの死角の排除、資産全体に対する迅速な対応が可能になります。 対象にはモバイル端末やレガシーインフラも含まれます。

本当に重要な脆弱性にフォーカスすることで、セキュリティチームはその場しのぎの対応から脱却し、ビジネスに即した戦略的リスク低減へと進化できます。

さらに、エクスポージャー管理は日常業務にとどまらず、経営層や取締役会レベルでの意思決定やリスク対話の強化にも寄与します。テクニカルなリスクを「ビジネスの言葉」で表現できるため、財務リスクと同じ感覚でサイバーリスクを定量評価し、意思決定や説明責任の明確化に貢献します。

CIO と CISO の力強い関係を実現する方法の詳細については、ブログ記事「CIO と CSO の連携がエクスポージャー管理を効率的に行う上で重要」をご覧ください。

1. すべての環境にわたるすべての資産の正確なインベントリがない。ポイントインタイムの脆弱性評価のような既存のプロセスでは、シャドー IT や、その他のすぐに起動されては停止するデバイスや短命なデバイスが検出されない。
   • エクスポージャー管理ソフトウェアは、あらゆる場所のすべての資産を一元的に可視化します。 継続的なアタックサーフェス評価により、最も差し迫ったサイバー脅威をリアルタイムで確認できるため、実行可能な事前対策を講じてそれらを修正できます。
2. 文脈を持たない脆弱性データが多すぎるため、まず何に対処すべきかが分からない。 さらに、ばらばらのツールによってデータがサイロ化され、盲点や未知の脅威が放置されています。
   • AI、機械学習、その他の脅威インテリジェンスツールを備えたサイバーエクスポージャー管理ソリューションは、CVSS のような恣意的で静的なスコアリングシステムよりも深い意味を持つ、文脈を踏まえたエクスポージャーデータを提供します。 Tenable の VPR (脆弱性優先度格付け) のような自動化された資産重要度の評価と組み合わせることで、すべてのノイズを排除し、最初に対処すべきセキュリティ問題を把握できます。
3. サイバーセキュリティプログラムの目標、成功、課題をどのように経営幹部に伝えればよいか分からない。さらなるリソースや資金が必要だが、どうすれば技術者ではないステークホルダーの心に響くような方法で、こうしたすべての技術的なデータを数値化できるかが分からない。
   • エクスポージャー管理は、全員の認識を統一します。 資産と脆弱性のマッピング機能を備えたサイバーエクスポージャー管理プラットフォームでは、重要な資産とリスクを、ビジネスプロセスやその他の重要なワークフローに自動的にリンクさせることができます。 これにより、それぞれの脆弱性が事業の継続をどのように妨げる可能性があるかについてインサイトが提供されます。 サイバーリスクのデータが手元にあれば、エクスポージャーを経営幹部やその他のステークホルダーが理解できる指標に変換できます。たとえば、ダウンタイムによる財務的影響、コンプライアンスに関連して科される可能性がある罰金や罰則、ブランドイメージや評判の低下などがあります。
4. セキュリティ問題への対応に忙殺され、攻撃者に利用される前に先回りして潜在的な脅威を探し出すことができない。
   • サイバーエクスポージャー管理ソリューションでは、自動化されたリアルタイムの脅威インテリジェンスと資産検出によって、攻撃者が活発に悪用していることがわかっている既知の脆弱性に基づいてアタックサーフェスを分析することができます。 文脈を踏まえた別の脅威データと組み合わせることで、どの脆弱性に注意が必要かを推測する必要がなくなり、侵害される前に重大な脅威に対処するための事前対策を講じることができます。 
5. IT チームやセキュリティチームが既知の資産や環境に注力している間に、他のチームは日常のワークフローに新しいサードパーティツールを追加している。IT チームやセキュリティチームがそれを把握している場合もあるが、 そうでない場合もある。 しかも、すべてのベンダーが適切に審査され、適切なセキュリティ制御やコンプライアンス管理を採用しているかどうかも定かでない。 新しいベンダーやサードパーティ製アプリのサイバーセキュリティ対策をいちいち調べている時間などはまったくない。
   • EASM 機能を備えたクスポージャー管理ツールは、サードパーティ製アプリやベンダーをアクティブに監視し、インターネットに露呈しているすべての資産を検出して評価します。 継続的な資産のスキャンと脆弱性診断によって、時間のかかる手作業を実施することなく、こうしたリスクを発見できます。 サイバーエクスポージャー管理プラットフォームにサードパーティベンダーのデータを統合すれば、文脈情報を持たない山のようなデータを調べ上げることなく、どの脆弱性が最大の脅威をもたらすかを迅速に把握できます。 エクスポージャー管理ソフトウェアをお探しなら、統合されており、実行可能な、ベストプラクティスに沿った修正の推奨事項を提供し、サードパーティリスクの迅速な解決に役立つエクスポージャー管理ベンダーをご検討ください。

Tenable は、何年も前から脆弱性管理市場の進化のビジョンを掲げていました。 今日、エクスポージャー管理は、DX 時代のアタックサーフェスの保護に不可欠なものとして確立されています。 

限られたリソース、雇用の課題、コンプライアンス規制の変化、複雑なアタックサーフェスの拡大などが、今日のサイバーエクスポージャー管理の導入を後押ししています。 今後の展望として、その進化に影響を与えそうな傾向のいくつかを、以下にご紹介します。

• AI と機械学習が進歩し、より多くのデータを統合することで、さらに迅速で正確な脅威の検出、優先順位付け、対応が可能になるでしょう。
• 事前対策型の ID およびアクセス管理機能の進歩により、許可されたユーザーのみが適切なタイミングで適切なデータにアクセスできることが、自動的に保証されるようになるでしょう。 より多くの組織がゼロトラストと最小権限の原則を採用すれば、不正アクセスやラテラルムーブメントが行われる可能性が低減されると見込まれます。 また、業界全体で適応型の認証手法が定着し、挙動分析に基づいたユーザーの検証によって、認証情報が盗まれる可能性が低減する可能性もあります。 
• 動的アタックサーフェス管理 (DASM) が、エクスポージャー管理において不可欠となるでしょう。 こうした進歩は AI と機械学習によって推進され、継続的な監視機能によって、脅威の評価と脅威への対応を、アタックサーフェスの変化に合わせてリアルタイムで確実に調整できるようになると予想されます。
• エクスポージャーのマッピングの精度とスピードが向上するでしょう。 DASM と連動して、攻撃経路のマッピングがリアルタイムで更新されるようになり、依存関係やエクスポージャーが発見され、攻撃者のアクセスや動きが制限されるようになると考えられます。
• 文脈を踏まえた実用的なデータがリスク評価で豊富に提示されるようになることで、情報に基づいたさらに強力なリスク削減が実現され、ビジネスプロセス、ワークフロー、および目標との連携が改善されるでしょう。
• サイバーエクスポージャー管理プラットフォームが、より高度なデータの一元化と分析の機能を備えるようになり、これまで以上に多くのツールを単一のソリューションに統合して、アタックサーフェスの可視性を高めるでしょう。

エクスポージャー管理市場が拡大するにつれて、より多くのソリューションがこの分野を賑わすことになり、どのプラットフォームが組織のニーズを満たすのに最適な機能と性能を備えているのかを見極めることが難しくなると予想されます。

望ましいサイバーエクスポージャー管理プラットフォームの要素は以下のとおりです。

• わかりやすく使いやすいインターフェース
• サードパーティベンダーの管理機能を含む、リアルタイムかつ継続的な、すべての環境にわたる資産および脆弱性の診断とインベントリ
• リアルタイムの脅威インテリジェンスやビジネスへの影響に基づいて脆弱性の修正に優先順位をつけるための、自動化や AI などのツール
• システム情報イベント管理 (SIEM) システム、SOC、クラウドセキュリティプラットフォーム、SOAR (Security Orchestration, Automation and Response) システムなどの、既存のサイバーセキュリティツールとのシームレスな統合
• アタックサーフェスの変化に応じて調整される動的マッピングを備えた、アタックサーフェスマッピングと外部アタックサーフェス管。
• 高度なデータ分析とカスタマイズ可能なレポートによる、すべてのサイバーセキュリティリソースのデータの一元化
• コンプライアンスの監査と報告を自動化し、SOC 2、ISO 27001、GDPR、HIPAA、その他の法律や規制などの業界標準に合わせて調整する機能
• 組織の変化に応じて、エクスポージャー管理機能を柔軟に拡張する能力
• ベンダーが、ユースケース、顧客からの評価、トライアルまたはデモ、導入戦略、オンボーディング、継続的なカスタマーサポートを備えていること

サイバーセキュリティにおけるエクスポージャー管理とは?

サイバーセキュリティのエクスポージャー管理は、DX 時代のアタックサーフェスを包括的に可視化するため、サイバーリスクをより詳しく理解し、定量化して、これまで以上に適切な情報に基づいたビジネス上の意思決定を行うことができます。 脆弱性、設定ミス、アイデンティティの問題、過剰な権限の特定や優先順位付けによって潜在的なエクスポージャーを全体的に把握することで、技術的およびビジネス的な観点からサイバーリスクに対処することができます。

エクスポージャー管理では、どのようなツールが一般的に使用されていますか?

エクスポージャー管理で一般的に使用されるツールの一部を以下に挙げます。

• セキュリティの弱点を検出するための、継続的な脆弱性診断
• 攻撃可能な経路を発見し、関連付けるための攻撃経路分析
• Active Directory (AD) のようなシステムの設定ミスを検出するための、アイデンティティエクスポージャー評価
• クラウド環境を保護するための、クラウドセキュリティポスチャー管理
• インターネットに露呈している資産に関連するリスクを特定し、軽減するための EASM
• 脅威の評価と優先順位付けによってリスクを先行的に低減するための CTEM
• クラウドを監視、管理することで過剰なアクセスを防ぎ、アイデンティティを利用した攻撃を減らすための、クラウドインフラ権限管理 (CIEM)
• 内部および外部のすべての資産を包括的に可視化し、セキュリティギャップを特定してアタックサーフェス管理を改善するための CAASM
• ウェブアプリや API の脆弱性を発見し、SQL インジェクションやクロスサイトスクリプティング (XSS) などの攻撃を防ぐための、ウェブアプリのスキャン
• 監視制御およびデータ収集 (SCADA) デバイスや産業用制御システム (ICS) の脆弱性を検出してオペレーショナルテクノロジー環境を保護するための、OT セキュリティ
• 現在のセキュリティ態勢をリアルタイムで把握し、サイバーリスクを経時的に追跡して測定できるようにする、AI とエクスポージャー分析

エクスポージャー管理の恩恵を最も受けるのはどの業界ですか?

すべての業界がエクスポージャー管理の恩恵を受けます。 ただし、金融、医療、エネルギー、製造など、アタックサーフェスが複雑で広範囲に及ぶ業界にとって、エクスポージャー管理のメリットは特に価値があると考えられます。 これらの業界では、機密データや重要インフラを管理しており、高度なセキュリティとコンプライアンス対策が不可欠です。

エクスポージャー管理をサイバーセキュリティフレームワークに統合する方法は?

継続的な資産検出、リスク評価、攻撃経路分析、修正プロセスの実施によって、エクスポージャー管理をサイバーセキュリティフレームワークに統合することができます。

エクスポージャー管理を実施する上で課題となるのは何ですか?

エクスポージャー管理の実施には以下のような課題があります。

• 脆弱性、設定ミス、アイデンティティ、攻撃経路を関連付けること。これがないと真のエクスポージャーを把握できません。
• 内部、外部、クラウド、OT のすべての資産を特定して管理すること。困難ですが、これがないと盲点や未知のセキュリティギャップが生じる可能性があります。
• ビジネスの文脈を踏まえてサイバーリスクを測定し、伝達するための標準化された方法がない。
• 自動化されていない。自動化なしてはエクスポージャー管理は時間がかかり、事後対応的で、リソースを大量に消費するものになります。
• 変化する業界や政府のセキュリティ義務に適応対応する必要があります。
• アタックサーフェスや攻撃手法が複雑で進化を続けていること。これは、絶えず環境を評価して更新することで事前対策型セキュリティを実現する必要があることを意味しています。
• 従来型のサイロ化されたセキュリティツール。リスクに関するインサイトを統合してエクスポージャーを一元的に可視化することは困難です。
• 文脈に基づくリスクの優先順位付けがない。これを行わなければ、セキュリティチームはアラート疲れと非効率な修正ワークフローの問題に直面することになります。
• エクスポージャー管理を実施してその恩恵を受けるための、サイバーセキュリティの専門知識やリソースの不足。

CAASM と EASM の違いは何ですか?

CAASM と EASM は似ていますが、対象範囲が異なります。 IT 資産アタックサーフェス管理は、社内環境におけるすべての資産の包括的な可視化に重点を置いています。 外部アタックサーフェス管理は、外部の脅威にさらされる可能性のある、インターネットに露呈した資産を特定して管理します。 どちらもエクスポージャー管理には欠かせません。

エクスポージャー管理は自動化できますか?

はい。Tenable One のような適切なサイバーエクスポージャー管理ソリューションがあれば、エクスポージャー管理の実施と継続的なプロセスを自動化できます。

以上でエクスポージャー管理についてご理解いただけたと思います。次のステップに進むには、当社のエクスポージャー管理アカデミーのブログシリーズをご一読ください。組織独自のエクスポージャー管理プログラムを実施する方法のすべてを学ぶことができます。