平時のセキュリティー対策を強化する
継続的な脅威エクスポージャ管理

　サイバー攻撃の手法がますます高度化する中、守る側のIT環境もDXの推進やリモートワークの普及などにより複雑化している。こうしたIT環境の複雑化はリスクの把握を難しくし、それに対するセキュリティー対策の速度を低下させることで攻撃機会の増加を招いてしまう。インターネットを介して外部に公開しているサーバーやネットワーク機器といった外部公開資産が狙われるケースが増えているのはそのためだ。

　「サイバー攻撃やIT環境の変化に応じて、セキュリティー対策にも変化が必要です。それは、被害を前提とした検知・対応といった受動的対策から、攻撃を未然に防止するリスクの特定、事前防御といった積極的対策へのシフトを意味します」とマクニカの竹村 茂樹氏は指摘する。

　受動的な対策は「有事のセキュリティー」、積極的な対策は「平時のセキュリティー」とも言い換えられる。有事のセキュリティーは、EDR（Endpoint Detection and Response）、SIEM（Security Information and Event Management）、CSIRT（Computer Security Incident Response Team）／SOC（Security Operations Center）などによって対策が進んでいるが、平時のセキュリティーについては「まだ発展途上の段階にある」と竹村氏は言う。

　「平時のセキュリティーを実施していく場合、有事のセキュリティーと比較して重要なポイントは“運用”になります。有事のセキュリティーは受動的な対策であるため、導入すれば一定の効果を得られる特徴があります。一方、平時のセキュリティーは導入を行っただけでは期待する効果が得られません。つまり運用と導入の重要度のバランスが逆転するわけです。これは対策を導入する際の目的とその効果の関係によって発生します」（竹村氏）

　平時のセキュリティーの1つに、外部アタックサーフェス管理（EASM）がある。これはインターネットに公開されている外部資産の把握と脆弱性を管理するソリューションで、攻撃者に悪用される可能性のある脆弱性やパブリッククラウドの誤設定、漏洩した認証情報などを可視化する役割を持つ。だがEASMには一般的に脆弱性の修正は含まれないため、実際の攻撃を防止することは難しい。

　「EASMの導入は対策の補助になることはあっても、直接的に解決に効果があることは稀です。あくまでもEASMは解決すべき問題を可視化するものとして利用するべきですが、導入した以上は効果を得たいと考えてしまうため、本質的な課題解決が行えない状況を招いてしまいます。平時のセキュリティー運用で必要なのは、導入したソリューション単位ではなく、既存のソリューションなども含めて全体で実行していくこと。そこで注目されているのがCTEMというプログラムになります」と竹村氏は話す。

　CTEM（Continuous Threat Exposure Management）は「継続的脅威エクスポージャ管理」と訳される。ガートナーが2023年のサイバーセキュリティーのトップトレンドの1つに挙げたCTEMは、EASMにおいて攻撃者の視点を取り入れた継続的な取り組みをルール化・プロセス化するもの。企業のネットワークやシステム、資産を攻撃シミュレーションにさらして、脆弱性と弱点を特定。これにより、リスクのある領域を実際の攻撃者が悪用する前に特定・解決し、組織の総合的なセキュリティーを向上させていく。

　「私たちはCTEMを、平時のセキュリティー対策を考える上での運用を体系化したものと捉えています。CTEMを活用することで、『自組織は攻撃者からどう見えているか』『攻撃者が最初に見つける攻撃機会はどこか』『攻撃者はどの攻撃機会から悪用するか』などを把握できるようになります。また、スパイラルな運用を回していくことで、企業に何から着手すればよいかの指針を示してくれます」（竹村氏）

　CTEMプログラムは「Scoping：計画」「Discovery：可視化」「Prioritization：優先度付け」「Validation：検証」「Mobilization：実行」という5つのステップを継続的に回しながら、組織が潜在的な脅威に対応するための効果的な計画を立案、実施するための基盤を築いていく（図1）。 　このCTEMの実現を支援するソリューションとしてマクニカが提供しているのが「ULTRA RED（ウルトラレッド）」だ。イスラエル軍でサイバーセキュリティーの諜報活動を担っていた部隊のメンバーが開発に携わっており、実践的かつ継続性を重視した製品としてグローバルに評価が高い。CTEMに必要な機能をオールインワンかつ完全エージェントレスで提供するSaaS型ソリューションで、導入も容易だ。

　ULTRA REDは、「EASM」「ABAE」「CTI」という3つのテクノロジーによって構成されている（図2）。 　EASMは、デジタル資産の検出とデジタル資産の詳細な状態管理を行う。企業のドメイン名やIPアドレスを入力するだけで、Attack Surfaceを含むIT資産情報や脆弱性を自動的に検出。攻撃者のリアルな視点からサイバー攻撃として悪用される可能性の高い脆弱性を可視化していく。ULTRA REDでは海外・子会社・関連会社の未把握ドメインを含めた網羅的な検出が可能となっており、従来の製品や手法では見つけきれなかったデジタル資産を発見可能だ。

　ABAEは、検出された脆弱性やダークウェブなどのアンダーグランドの情報を使ってサイバー攻撃を擬似的に実施。重大な脅威を継続的に発見する。ULTRA REDでは常に最新の攻撃手法を駆使することで、あらゆる攻撃シナリオに対応する。また、検証済の脅威のみを報告し、リスクを数値化することで現実的な対処優先度を明確化できる。

　CTIは、ダークウェブやディープウェブなどのサイバー犯罪コミュニティーを監視し、攻撃の兆候や意図せず流出した認証情報などを検知。学習した内容はABAEに反映される。

　これら3つのテクノロジーを組み合わせることで、企業が把握していない外部公開資産とクリティカルな脆弱性を高精度で検出。発見された多数の脆弱性に対し、ビジネスへの影響度を踏まえた優先順位付けを行うため、セキュリティー担当者に負荷をかけることなく安全性を担保することが可能だ。また、CTEMのプログラムに基づいて、自動ないしは任意のタイミングで擬似攻撃による継続的な検証を実施でき、それぞれの管理担当者へ優先度を上げて対応するように指示することが可能。グループ会社や海外拠点で実際に対策が講じられているのかも容易に確認することができる。

　マクニカではそのほかにもULTRA REDの活用を支援するツールを提供している。

　「生成AIを利用したVITAという支援ツールをご提供しています。一般的にEASMで発見された脆弱性は、利用された場合どのような被害が発生するのか、修正を行うために必要な事項は何かといったような追加の情報を必要としますが、VITAはこうした情報をコンソール内で収集・確認できる機能を持っています」（竹村氏）

　このほか、ダークウェブ上の自社の認証情報の漏洩有無を確認できる「Deep Enrichment」、ULTRA REDの運用精度をより強化する支援サービス「ULTRA REDマクニカ支援サービス」も用意。企業のセキュリティーインシデントリスクの削減を支援する。

　「攻撃者の侵入を未然に防ぎたい」「脆弱性が多すぎて何から手を付けたらいいか分からない」「自社や関連会社、海外拠点に管理しきれていないサーバーがあるかどうかが不安」といった企業・組織は、EASMおよびCTEMの活用を検討するとよいだろう。