　このLeft of BoomあるいはLeft of Leftを具体的に実践するための新しいフレームワークとして、米Gartnerなどが提唱しているのが「CTEM」（Continuous Threat Exposure Management：継続的な脅威エクスポージャー管理）という概念だ。CTEMは、単なるツールの名前ではない。以下のようなプロセスを回し続ける、経営レベルの取り組みも含めた一連の行動を指す。

範囲設定（Scoping）：「何を守るべきか」を明確にし、ビジネス上の重要性に基づいて、評価対象とする資産や攻撃対象領域（サードパーティーやSaaS環境なども含む）を定義する。
発見（Discovery）：設定の範囲内のIT関連資産を特定し、ソフトウェアの脆弱（ぜいじゃく）性だけでなく、潜在的なエクスポージャー（各種の設定ミスや不適切な権限付与なども含む）を洗い出す。
優先順位付け（Prioritization）：発見したリスクに対し、悪用の可能性、資産の重要度、ビジネスへの影響を考慮して、対処すべき順序を決定する。全てのリスクに対応するのは現実的に不可能なため、優先度の設定が特に重要とされる。
検証（Validation）：優先順位付けされたリスクが「本当に攻撃可能か」を技術的に検証する（ペネトレーションテストを通じて攻撃者目線でシミュレーションを行い、理論上のリスクと現実の脅威を選別するなど）。
動員（Mobilization）：検証の結果、対応が必要と判断されたリスクについて、修正プロセス（パッチ適用、設定変更など）を実行する。セキュリティチームとIT運用チームが連携し、速やかに修正が行われるようワークフローを整備する。

　従来のアプローチとCTEMの決定的な違いは、「ビジネス視点での優先順位付け」にある。技術者は「全ての脆弱性を修正したい」と考えがちだが、それは現実的に不可能だ。CTEMは「ハッカーが明日使ってくるかもしれない、ビジネスを止める穴」にリソースを集中するという発想だ。

CTEMを実現する製品やサービスも登場

　CTEMを具体的に実現・推進するための製品やサービスも登場し始めている。ここでは米SafeHillと、イスラエルのMalanta、Kelaという3つのサイバーセキュリティ企業の取り組みを挙げよう。

　SafeHillは米国シカゴが拠点で、攻撃者視点でセキュリティリスクを評価することに強みを持つ。特に注目されるのが、共同創業者の1人であるヘクター・モンセガー氏の存在だ。モンセガー氏は、ハッカー集団「LulzSec」の事実上のリーダーという異色の経歴を持つ。かつては政府や企業のシステムへの侵入を繰り返す犯罪者だったが、2011年に逮捕された後はFBIの協力者となり、300件以上のサイバー攻撃を阻止した実績がある。

　ハッカーがどう攻撃対象の環境を見て、どのような順番で攻撃経路を探るのか。SafeHillは、モンセガー氏の知見を生かしたAIを開発。脆弱性の数を数えるだけでなく、攻撃者の行動を模倣して環境の弱点を炙り出すという。このAIの分析に基づき、SafeHillは人間のホワイトハッカーによるペネトレーションテストを実施し、その結果を企業に提供することでCTEMを後押しする。

求められるのは「予防接種」のアプローチ

前のページへ 1|2|3|4 次のページへ