サイバー攻撃などに対する新たなアプローチを可能にする「CTEM」とは？

CTEMは、Gartner社が提唱するセキュリティアプローチです。Continuous Threat Exposure Managementの略で、継続的な脅威エクスポージャー管理と訳されます。そもそもエクスポージャー管理が何なのかですが、Exposeが晒す・晒される。という意味なので、晒されているものを管理するという意味となります。
 
つまりは、脅威に晒されているものを継続的に可視化して的確に把握し、リスクを改善していきましょう、というセキュリティアプローチのことです。脅威は常に進化して、昨日まで機能していた防御策が、今日は機能しなくなるという可能性があります。さらに具体的に言えば、過去にリスクを遮断したサイバーセキュリティツールやプロセスは、今日のビジネスの安全を保つのに十分ではない可能性があるということです。そのため、CTEMプログラム（継続的な脅威エクスポージャー管理 ) は、これからのサイバーセキュリティ戦略における、重要な要素になります。
 
Gartnerのレポートによると、晒されている脅威の継続的な可視化をもとに優先順位付けを行うといった、CTEMに沿った形でセキュリティ投資を行う組織は、2026年までにセキュリティの被害を受ける可能性が３分の１に減少すると予測されております。

Gartnerが提唱するCTEMを構成するステップは5段階です。
 
1       攻撃対象領域の把握
2       リスクの特定
3       対処する脅威の優先度付け
4       脅威が攻撃に使われた際の結果の検証
5       改善を実行するための組織の構成

このステップでは、攻撃対象となり得る資産の把握を行います。この資産には、アプリケーションや企業のSNSアカウントなども含まれます。最初に把握すべき領域としては、外部公開資産（External attack surface）と、利用するSaaSのセキュリティリスクです。資産の範囲の把握と、それに基づいたプロジェクトを設定する利点は、プロジェクトの進め方を指針とし、関係者全員が期待されることを理解することができる点です。

1で把握した対象の中で脆弱性や設定ミスなどのリスクを特定します。

緊急度、補償制度の利用できる可能性、組織で許容できるリスクレベルなどを軸に優先度付け行います。これは従業員に調査を行うか、統計分析を通じて行うことができます。最重要の問題を特定したら、それらを解決するために必要な改善のレベルを決定する必要があります。優先順位付けは、組織が限られたサイバーセキュリティリソースを最大限に活用できるようにするために重要です。

データ分析と収集で洗い出した脅威が、実際に使われた際にどのような攻撃が行われるか、その攻撃に対してセキュリティシステムがどのように反応するかを検証します。この段階では、従業員とのインタビューやフォーカスグループを開催して、これらの問題が会社に悪影響を与えているかどうかについての彼らの見解を得る必要があります。また、潜在的な攻撃経路を把握し、現状のセキュリティ改善のロードマップが十分なスピード感と対応力を持ちうるか、検討中の対策が十分かどうかを確認します。導入したツールが効果的に攻撃を阻止できることを検証することはとても重要です。

改善を自動化するソリューションはありますが、ツールだけで完結することはできません。
そのため、実際に運用する部隊との連携や、緩和策実施の際の承認プロセス、対策の実装プロセスを把握し、確実に対策を実施できるよう事前に調整を行うことが推奨されています。それらをもとに作成した行動計画をもとに部隊が動員されます。

組織は、様々な技術的指標や指示を通じて、自身のCTEMプログラムの成功度を測定することができます。
 
以下はCTEMプログラムの成功を測定するいくつかの技術的方法です。
 
検出までの平均時間（MTTD）
新たな脆弱性、脅威、露出を検出するまでの平均時間を計算します。このMTTDが低いほど、迅速な検出とより成功したCTEMプログラムであることを示します。
 
対応までの平均時間（MTTR）
特定された脆弱性や脅威に対応し、修復するまでの平均時間を測定します。このMTTRが低いほど、効率的な対応と解決を実現していることを示します。
 
インシデント対応時間
CTEMプログラムを通じて検出された、セキュリティインシデントに対応する時間を追跡します。この指標は、プログラムがリアルタイムの脅威を処理する能力を評価するのに役立ちます。
 
脆弱性修復率
特定された脆弱性が修復される割合を監視します。これはパーセンテージで表され、理想的には高くなり、タイムリーな緩和を示します。
 
リスク削減
時間の経過とともに脆弱性と露出に関連するリスクの削減を定量化します。リスクスコアリングシステムを使用して全体的なリスク姿勢を評価し、CTEMプログラムの活動による改善の度合いを測定します。
 
誤検知率
誤ったポジティブとなるアラートや検出の割合を計算します。誤検知率が低いと、プログラムが効果的にノイズを減らし、実際の脅威に焦点を当てていることを示唆します。
 
資産のカバレッジ
組織の資産（例：サーバ、エンドポイント、アプリケーション）のどれだけがCTEMプログラムによって継続的に監視されているかの割合を測定します。高い資産カバレッジは包括的なセキュリティを保証します。

CTEMプログラムの活用にはいくつかの課題が伴っています。
 
データの統合と相関
CTEMは、外部ソースからの潜在的な攻撃に関するデータストリーム、資産目録、ネットワークトラフィック分析、セキュリティツールなど、さまざまなソースからのデータに依存しています。これらの多様なデータセットをリアルタイムで統合し、相関させることは技術的に難しいことがあります。効果的な脅威の検出と対応のためには、データの正確性、一貫性、タイムリーさが不可欠です。
 
自動化と運用管理の複雑さ
CTEMは、脅威と脆弱性を迅速に収集、分析、対応するために、大きく自動化に依存しています。インシデント対応と修復のためのプレイブックを含む複雑な自動化ワークフローの開発と維持が技術的に要求されます。これらのワークフローが、変化する脅威と環境に適応することが今後の継続的な課題です。
 
拡張性とパフォーマンス
組織が成長し、サイバー攻撃による脅威が増加するにつれて、CTEMプログラムは増大するデータ量とセキュリティの課題を処理できるようにプログラムの規模を拡大する必要があります。高負荷下でもプログラムの最適なパフォーマンスを維持するためには、拡張可能なインフラ、分散データ処理、効率的なアルゴリズムを含む高度な技術的ソリューションが必要です。

いかがでしたか。CTEMは、アプリケーションセキュリティの影響する範囲を縮小し、開発ライフサイクルを通じてアプリケーションを操作、管理するための、実行可能でより効果的な選択肢と言えます。組織へのリスクを管理して的確に把握し、軽減するためには、CTEMの利点を熟知し、考慮する必要があるでしょう。CTEMは、組織に対する攻撃を最小限に抑え、効率的に脅威や脆弱性へとアプローチでき、セキュリティに関連する資源や財源とコストを削減するのに役立ちます。常に変化する脅威に常に打ち勝ち続けるために、これからCTEMプログラムの働きはますます重要になっていくでしょう。
 
 
参照先：
https://cn.teldevice.co.jp/blog/p45608/
 
https://maildata.jp/blog/blog-2023-11-30.html
 
https://cyberint.com/blog/other/ctem-%E3%81%AE%E5%AE%9F%E8%B7%B5%EF%BC%9A-5-%E3%81%A4%E3%81%AE%E9%87%8D%E8%A6%81%E3%81%AA%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%EF%BC%9A/