ハッキング型サイバー攻撃の未然防止と
リスク対策に貢献するCTEMプロセスとは

　サイバー攻撃の手法にある変化が生じている。これまでの攻撃では、標的型攻撃メールなどで相手組織内にマルウエアを送り込む手法が主流だった。それが最近では、脆弱なIT資産を直接攻撃する「ハッキング型」のサイバー攻撃が増えているのである。

　「その大きな理由として、攻撃にAIが用いられるようになった点が挙げられます。従来型の攻撃手法では、標的型攻撃メールを開封させるなど、なんとかして相手組織内のユーザーにも操作を行ってもらう必要がありました。しかし、AIを利用すれば、脆弱性や脆弱な設定などのセキュリティーホールを抱えた公開IT資産を簡単に発見できます。わざわざマルウエアに感染させるところから攻撃を始めるよりも効率がいいため、ハッキング型の攻撃が増えているのです」とネットワークバリューコンポネンツの佐藤 佑樹氏は説明する。

　それでは、ハッキング型サイバー攻撃を防ぐためには、どのような対策を行えばよいのだろうか。佐藤氏はそのポイントとして、「セキュリティーホールを減らす」ことを挙げる。

　「脆弱性や脆弱な設定が数多く存在する企業と、きちんと対策を行っている企業があったとします。この両社のうち、どちらが狙われるかは考えるまでもありません。もちろん、無差別攻撃もありますので安心は禁物ですが、セキュリティーホールを減らすことが、サイバー攻撃を避けるためのカギとなります」（佐藤氏）

　このことは、セキュリティー運用管理負荷を下げる上でも重要だ。大量の攻撃を受けてしまったら、その検知・対処に要する手間も大幅に増えてしまう。限られたリソースで効果的に対処するためにも、まずは攻撃者に狙われるセキュリティーホールを減らしておくことが望ましい。

　「実際問題として、セキュリティーホールを悪用することなく、サイバー攻撃を行うことは非常に困難です。例えば、攻撃者から送り込まれたマルウエアは、目的を遂行するためにネットワーク内を水平移動（ラテラルムーブメント）します。この過程ではいくつものIT資産を経由しますが、そこにセキュリティーホールがなければ先へ進むのは困難です。つまり、セキュリティーホールを減らすことは、サイバー攻撃を減らすだけでなく、攻撃の成功確率を引き下げる上でも非常に重要なのです」と佐藤氏は話す。

　このような対策を行う上で注目を集めているのが「CTEM（継続的脅威エクスポージャー管理）」である（図1）。 　「セキュリティーホールの定常的な監視と迅速な対応が行える体制を構築する取り組みを言語化し、業務プロセスとして体系化したものがCTEMです。これはあくまでも考え方であり、ツールではありません。似たような考え方として、国内でよく使われる『セキュリティー・バイ・デザイン』があります」と佐藤氏は説明する。

　CTEMにおいては、「1.Scope（スコープ／範囲測定）」「2.Descover（発見／検出）」「3.Prioritization（優先順位付け）」「4.Validation（検証）」「5.Mobilization（動員／修復対応）」の5つのプロセスが定義されている。このうち1～3は診断に関わるプロセス、4～5は対処に関わるプロセスとなる。

　「1～3までのプロセスでは、まずどの領域で取り組むかを決定した上で、対象となるスコープ内にあるIT資産とリスクを可視化し、攻撃者目線での対応優先順位付けを行います。また、4では本当に対応が必要なリスクか検証し、必要と判断されれば5で対処する流れになります。この一連の動きを、定常的な業務プロセスとして回せるようになることが求められます」と佐藤氏は話す。

　もっとも現状の定義においては、CTEMプロセスをどう組織内に取り入れるかまでは示されていない。そこで佐藤氏は、同社お勧めの導入ポイントとして「スコープ定義とツール選定・導入」「運用方針の策定と定常的な運用」「運用方針に沿った迅速なリスク対応」の3点を挙げる。

　「まず1点目のスコープ選定については、これが正解というものはありません。そのため組織の状況や課題に応じてまずどこから始めるのかを決めていきます。また、リスクを確実に洗い出すために、十分な可視性を有するツールを選ぶことが肝心です」（佐藤氏）

　2点目の運用については、CTEMプロセスを定常的、かつ継続的に回せるようにすることがポイントとなる。特にCTEMプロセスは、単一部門内で完結することがほとんどないため、導入検討段階から関連部門間での連携を深めておくことがスムーズな導入につながる。

　最後に3点目のリスク対応だが、未対応のリスクは将来的なインシデントの原因となり得る。そこで、検知した場合にどう対応するかというフローを策定・周知し、迅速に対応できるようにしておくことが重要だ。

　このように3つのポイントを踏まえて実際の取り組みを進めていくわけだが、多くの企業が悩まされるのが最初のスコープ選定である。なぜなら、オンプレミスのインフラやクラウド、データ、サプライチェーンなど、あらゆる領域においてそれぞれをスコープとしたCTEMプロセスがあるからだ。

　「もちろん、このすべてに取り組むことが理想ですが、CTEMプロセスにかけられるコストにもリソースにも限界があります。従って1領域ずつ順番に、可能な範囲で実現を目指すしかありません。それぞれの組織の状況に応じて、どこから、どこまで対応するか判断することが現実解となります」と佐藤氏はアドバイスを送る。

　歴史的に企業のセキュリティー対策は「サイバー攻撃を防御する」→「増加したマルウエアを検知する」→「さらに検知力を強化する」といった形で推移してきた。こうした流れから見ると、CTEMはいわば原点回帰の予防的アプローチといえる。AIを活用した高度なサイバー攻撃に対処する上では、この予防の強化が非常に重要になっているのだ。

　「組織内に存在するリスクは放っておいてもなくなりませんので、いまこの瞬間から対応することが必要です。ぜひ、組織にとって最適なスコープから、CTEMプロセスによる予防強化を始めていただきたい」と佐藤氏は説く。

　ちなみに、ネットワークバリューコンポネンツでも、ネットワーク／セキュリティー製品の導入から運用まで一貫したサービスを提供しており、CTEM関連の製品も数多く取り扱っている。その経験を踏まえて、「クラウド」と「サプライチェーン＆公開IT資産」の2領域を、今取り組むべきCTEMスコープとして推奨している。

　「DX推進に伴うクラウド利用が広がった結果、クラウドからの情報漏洩も増加傾向にあります。そこで、設定ミスなどのセキュリティーリスクを可視化できるCNAPPソリューションとして『Orca Security』を提供しています」と佐藤氏。また、グループ会社や取引先、業務委託先といったサプライチェーン企業のリスクを可視化するTPRM/ASMソリューションとして「SecurityScorecard」も提供しているという（図2）。 　攻撃の質が変わりつつある現在、先手を打ってCTEMプロセスの実装を始めることが肝要だといえるだろう。