継続的脅威露出管理(CTEM)とは?
継続は力なり:CI/CDに続く、CTEMによる絶え間ないセキュリティ最適化
2023年11月30日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 What is Continuous Threat Exposure Management (CTEM)? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
CTEM(継続的脅威露出管理: Continuous Threat Exposure Management)は、サイバー脅威管理における新しいアプローチです。
これは、脅威インテリジェンスの状況認識と自動応答能力を統合し、新規または進化するサイバー脅威に対してより効果的かつ積極的に対応することを可能にします。
実際的には、CTEMは、継続的なプロセスと既存の脅威防護対策の頻繁な評価を通じて、企業や組織を情報セキュリティに最も大きなリスクをもたらす脅威にさらすことに焦点を当てています。
CTEM(継続的脅威露出管理: Continuous Threat Exposure Management)とは?
CTEM(継続的脅威露出管理: Continuous Threat Exposure Management)は、重要資産へのリスクの特定、測定、優先順位付けを行うプロセスです。
CTEMの概念は、企業が物理的およびデジタル資産の脆弱性を継続的かつ一貫して評価することを可能にするフレームワークであり、2022年7月にGartnerによって導入されました。
これは、サイバー回復力戦略の重要な構成要素です。
CTEMは、内部および外部の脅威の影響を積極的に管理するのに役立ちます。
このプロセスには、次のことが含まれます。
- サイバー攻撃を受けやすい重要資産の特定
- これらの資産が攻撃される可能性の評価
- ファイアウォール、侵入検知システム、セキュリティポリシー、その他の対策などのコントロールを実装することによるリスクの軽減
組織におけるCTEMプログラム実施の利点
CTEMプログラムは、企業とその従業員の特定のニーズに対応するように設計されています。
これらのプログラムは、組織の規模、業種、目標に基づいてカスタマイズすることができます。
以下は、組織にCTEMプログラムを実施することの利点のいくつかです。
- 従業員の成長の加速
-
CTEMプログラムに参加する従業員は、キャリアでの成長が加速されると報告しています。
これは、トレーニングセッションで学んだベストプラクティスを適用することでスキルセットが開発され、それ以外の場合よりも個人がより速く成長できるためです。 - スキルギャップの削減
-
CTEMプログラムを実施すると、従業員が高額なミスや生産性の低下につながるスキルギャップを持つ可能性が減少します。
これは、これらのプログラムが、従業員がキャリアを進めるために必要なスキルを特定し、現在の位置と目指す場所の間のギャップを埋めるのに役立つためです。 - 革新能力の向上
-
CTEMは、組織内での革新能力も向上させることに役立ちます。
これは、将来の成長戦略に対する新しいアイデアや、専門分野外のチームメンバー間の協力機会を提供することで実現します。 - リソース利用の増加
-
エンゲージメントが高く、モチベーションがある従業員は、リソース利用を増やす方法を見つける可能性が高くなります。
これにより、経費の大幅な削減と利益率の向上が実現する可能性があります。 - 生産性の向上
-
CTEMプログラムは、従業員に適切なツール、トレーニング、リソースを提供することで、生産性を向上させるのに役立ちます。
これにより、彼らは仕事をよりよく、より速くこなすことができ、結果として生産性が向上します。
CTEMプログラムの5つの段階
CTEMプログラムは、各組織のニーズに合わせて適応・変更できる柔軟なフレームワークとして設計されています。
「2026年までに、継続的露出管理プログラムに基づいてセキュリティ投資を優先する組織は、侵害を受ける可能性が3倍低くなるだろう。」
ただし、ほとんどのCTEMプログラムがたどる5つの重要な段階があります。
- 1. スコーピング
-
CTEMプログラムの最初のステップは、プロジェクトの範囲を設定することです。
これには、問題を明確に定義し、それに関する情報を収集し、それに対処するための計画を立てることが含まれます。
スコーピングは、高レベルの戦略計画から詳細なエンジニアリング作業まで、どのレベルの詳細ででも行うことができます。
よく定義されたスコープの利点は、プロジェクトの進め方を指針とし、関係者全員が期待されることを理解することができる点です。 - 2. 発見
-
発見段階では、プロジェクトを完了するために必要なすべての情報、ステークホルダーのインタビュー、研究調査、データ収集と分析などを収集し始めます。
まだ抽象的なスケールで作業しており、具体的な技術やアプローチを扱っているわけではありません。
ただ、関係者(直接的または間接的に)と話をして、問題をよりよく理解しようとしています。 - 3. 優先順位付け
-
この段階では、最重要の問題を特定することに焦点を当てます。
これは、従業員に調査を行うか、統計分析を通じて行うことができます。
最重要の問題を特定したら、それらを解決するために必要な改善のレベルを決定する必要があります。 - 4. 検証
-
最重要の問題を特定したら、それらを検証する時が来ます。
この段階では、従業員とのインタビューやフォーカスグループを開催して、これらの問題が会社に悪影響を与えているかどうかについての彼らの見解を得るべきです。
これらの問題に関するデータ、例えば顧客の苦情や従業員の離職率も見るべきです。 - 5. 動員
-
チームが最重要の問題を検証し、それらを解決するために必要な改善が何であるかを決定したら、動員の時が来ます!
これは、改善が起こるために行う必要のある具体的なステップを概説する行動計画を作成することを意味します。
組織が自身のCTEMプログラムの成功をどのように測定するか
組織は、様々な技術的指標や指示を通じて、自身の継続的脅威露出管理(CTEM)プログラムの成功を測定することができます。
以下はCTEMプログラムの成功を測定するいくつかの高度な技術的方法です。
- 検出までの平均時間(MTTD)
-
新しい脆弱性、脅威、露出を検出するまでの平均時間を計算します。
MTTDが低いほど、迅速な検出とより成功したCTEMプログラムを示します。 - 対応までの平均時間(MTTR)
-
特定された脆弱性や脅威に対応し、修復するまでの平均時間を測定します。
MTTRが低いほど、効率的な対応と解決を示します。 - インシデント対応時間
-
CTEMプログラムを通じて検出されたセキュリティインシデントに対応する時間を追跡します。
この指標は、プログラムがリアルタイムの脅威を処理する能力を評価するのに役立ちます。 - 脆弱性修復率
-
特定された脆弱性が修復される割合を監視します。
これはパーセンテージで表され、理想的には高くなり、タイムリーな緩和を示します。 - リスク削減
-
時間の経過とともに脆弱性と露出に関連するリスクの削減を定量化します。
リスクスコアリングシステムを使用して全体的なリスク姿勢を評価し、CTEM活動による改善の度合いを測定します。 - 誤検知率
-
誤ったポジティブとなるアラートや検出の割合を計算します。
誤検知率が低いと、プログラムが効果的にノイズを減らし、実際の脅威に焦点を当てていることを示唆します。 - 資産のカバレッジ
-
組織の資産(例:サーバ、エンドポイント、アプリケーション)のどれだけがCTEMプログラムによって継続的に監視されているかの割合を測定します。
高い資産カバレッジは包括的なセキュリティを保証します。
CTEM達成への道のりにおける3つの課題
継続的脅威露出管理(CTEM)プログラムの目標を達成することは、いくつかのハイテクな課題を伴うことがあります。
- データ統合と相関
-
CTEMは、脅威インテリジェンスフィード、資産目録、ネットワークトラフィック分析、セキュリティツールなど、さまざまなソースからのデータに依存しています。
これらの多様なデータセットをリアルタイムで統合し相関させることは技術的に挑戦的です。
効果的な脅威検出と対応のためには、データの正確性、一貫性、タイムリーさが不可欠です。 - 自動化とオーケストレーションの複雑さ
-
CTEMは、脅威と脆弱性を迅速に収集、分析、対応するために、大きく自動化に依存しています。
インシデント対応と修復のためのプレイブックを含む複雑な自動化ワークフローの開発と維持は技術的に要求されます。
これらのワークフローが変化する脅威と環境に適応することは継続的な課題です。 - 拡張性とパフォーマンス
-
組織が成長するか、サイバー脅威が増加するにつれて、CTEMプログラムは増大するデータ量とセキュリティイベントを処理できるようにスケールする必要があります。
高負荷下でもプログラムの最適なパフォーマンスを保証するためには、拡張可能なインフラ、分散データ処理、効率的なアルゴリズムを含む高度な技術的ソリューションが必要です。
まとめ
ここでの最終的なポイントは何でしょうか?
CTEMは、アプリケーションセキュリティの影響範囲を縮小し、開発ライフサイクルを通じてアプリケーションをコントロールするための実行可能で効果的な選択肢です。
組織へのリスクを管理し、軽減する際には、CTEMの利点を考慮するべきです。
CTEMは、組織に対する悪意ある活動を最小限に抑え、脅威や脆弱性への評価と対応に必要な時間を減らし、セキュリティに関連するリソースとコストを削減するのに役立ちます。