予防的アプローチの「CTEM」プロセスで
セキュリティーレベルの高い組織を確立

　サイバー攻撃は増加の一途を辿っており、攻撃手法の質的な変化も表れている。「特に最近の傾向として、ハッキング系のサイバー攻撃が増加している点が挙げられます。システムへの不正アクセスはもちろん、マルウエアを送り込む際にも、ハッキング系の攻撃を用いるケースが増えています」とネットワークバリューコンポネンツの飯田 竜司氏は話す。

　攻撃者がハッキングを行う際には、システムの脆弱性や不要に開放されたポート、設定ミスなどのセキュリティーホールを狙うのが一般的だ。この中でも、設定ミスには特に注意を払う必要がある。設定ミスそのものは脆弱性ではないため、気付かず放置されているケースがあるからだ。

　「加えて問題なのが、攻撃者は大量の攻撃を無差別に仕掛けてくるという点です。これにより膨大な数のアラートが発生し、その対応に忙殺されてしまうことになります。従来型の『防御』＆『検知・対応』によるセキュリティー運用は、もはや限界に達しつつあります」と飯田氏は強調する。

　そもそもこれまでのセキュリティー対策は、脅威の侵入リスクにいかに対処するかという考え方で発展してきた。マルウエアの攻撃を止めるためにファイアウオールやUTM（Unified Threat Management：統合脅威管理）などの製品を導入し、より高度化した攻撃はサンドボックスで防御。脅威に内部に侵入されてしまった場合は、EDR（Endpoint Detection and Response：エンドポイント検知・対応）で対処するといった具合だ。

　しかし、攻撃が増え続けている以上、防御側は延々と後手の対応を強いられることになる。そこで登場したのが、『攻撃の数そのものを減らそう』という原点回帰型の予防的アプローチ「CTEM」だ。

　「CTEMは組織におけるサイバーリスクを継続的に発見・評価、対処するためのフレームワークであり、『資産の可視化』『リスクの評価』『継続的なアプローチ』の3点で成り立っています。これによりリスクの早期発見・対処、計画的セキュリティー運用の実現、規制対応や監査の強化などの効果が得られます」と飯田氏は説明する。

　実際にCTEMに取り組む際には「1.Scope：スコープ設定」「2.Discovery：発見／検出」「3.Prioritization：優先順位付け」「4.Validation：検証」「5.Mobilization：動員／復旧対応」の5つのプロセスをPDCAサイクルのように回していく形になる。ちなみに1～3は診断のプロセス、4～5は対処のプロセスとなる。

　「CTEMを効果的に導入するためのポイントとしては、『スコープ定義とツール選定・導入』『運用方針の策定と定常的な運用』『運用方針に沿った迅速なリスク対応』の3点が挙げられます」と飯田氏は説明する（図1）。 　社内ネットワークや公開資産、サプライチェーンといった具合に、組織内外の環境を整理してスコープを定義。その上で、各スコープにおけるリスクを可視化できるツールを導入していく。特にツールを選定する際には、網羅的、かつ十分な可視性を確保できるものを選ぶことが肝心だ。また、実際のリスク対応は、危険度の高いものから行っていくため、優先順位付けに必要な付加情報が得られることも重要となる。

　加えて、CTEMの効果を最大限に発揮させるためには、定常的かつ継続的な運用を行うことが求められる。もちろん、発見されたリスクにはすべて対処するのが理想だが、そこにかけられる人的・時間的リソースにも限りがある。リスクの修正に必要なコストも考慮した上で方針を策定し、実際の運用を回していくことが重要だ。また、その過程では複数部門が関与することも多いため、導入検討の段階から関連部門との連携を深めておくようにしたい。

　「さらにCTEMには、即時対応が必須となるセキュリティーインシデントと異なり、計画的なタイミングで対処できるという利点があります。様々なリスクに対し、1スコープずつ順番に可能な範囲で対応していけるわけです。もちろん、リスクがゼロになることはありませんが、運用フローを用いて着実に対処していくことで、結果としてセキュリティーレベルの高い組織を作れます」と飯田氏は説く。

　セキュリティーレベルの高い組織を目指す上では、冒頭に触れたようなセキュリティーホールを定常的に監視し、迅速に対応できる体制を構築することが必要だ。これが実現できれば、サイバー攻撃に狙われにくくなるだけでなく、攻撃の成功確率を下げることもできるからだ。

　このように増加し続けるサイバー攻撃への効果的な対処を可能にするCTEMだが、実際に取り組むにあたっては課題もある。それは膨大な量のIT資産を抱える中で、一体どのスコープから始めればよいのか分からないという点だ。

　「当社では『サプライチェーン／公開IT資産』『クラウド』『ID』の3領域から取り組むことを推奨しています（図2）。それはこれらの領域が『外部環境に面している』『変化が激しく脆弱性や設定ミスが発生しやすい』『侵入経路とされやすい』といった、リスクにつながりやすいポイントを多く含んでいるからです」と飯田氏。ネットワークバリューコンポネンツでは、それぞれ3領域に対応したソリューションを提供しているという。 　まず1つ目のサプライチェーン／公開IT資産領域向けの具体的なソリューションとしては、セキュリティーレーティングツールの「SecurityScorecard」を提供。これは攻撃者と同じ目線で、サプライチェーンに含まれる各組織のセキュリティーリスクを継続的に判定するというものだ。

　「最近では、経済産業省が推進するセキュリティー対策評価の枠組みにおいても注目を集めており、実効的なリスク可視化の手法として関心が高まっています。評価対象となる組織のリスクを数値化することが可能なプラットフォームを提供する一方で、公開資産を定常的に把握できることから、資産管理にも有効に活用できます」と飯田氏は話す。

　2つ目のクラウド領域向けの製品としては、CNAPP（Cloud Native Application Protection Platform）ソリューションの「Orca Security」を用意している。「パブリッククラウド向けのセキュリティー対策市場は非常に細分化しており、個別のツールで対応していくと運用が非常に大変になります。その点、Orca Securityは、パブリッククラウドとクラウド資産に対し、網羅的な設定の可視化とセキュリティーリスクの定常的な検出が可能。マルチクラウドの運用管理をシンプル化することができます」と飯田氏は続ける。

　最後に3つ目のID領域についても、先ごろ新たなITDR（Identity Threat Detection ＆ Response）製品の取り扱いを発表。これはEDRと同じような検知・対処をID領域で実現するもので、オンプレミスのActive Directory環境にもう1段階の防御を加えられる。Active Directoryでは許可されたとしても、不審な振る舞いがあったらこちらで止めるといったことができるという。

　さらに、同社では、こうしたソリューションの販売にとどまらず、導入や技術、運用支援などのプロフェッショナルサービスも併せて提供。これによりCTEMプロセスの実装を多面的にサポートしていく考えだ。