CTEM の5Steps:立ち上げまでの手順について説明しよう – XM Cyber

How to Get Going with CTEM When You Don’t Know Where to Start

2024/10/04 TheHackerNews — CTEM (Continuous Threat Exposure Management ) とは、サイバーリスクを継続的に評価し管理する組織のための、戦略的フレームワークである。CTEM は、セキュリティ脅威の管理という複雑な作業を、5つの段階である Scoping 範囲/Discovery 特定/Prioritization 優先順位/Validation 検証/Mobilization 運用 に分解する。これらの各段階は、脆弱性が攻撃者に悪用される前に特定/対処/緩和する上で、重要な役割を果たす。

理論上、CTEM は素晴らしいものに聞こえる。しかし、特に CTEM 初心者にとっては、その導入は困難に思えるかもしれない。CTEM の原則を実践に移すプロセスは、最初は非常に複雑に見えるかもしれない。しかし、適切なツールと各段階の明確な理解があれば、CTEM は組織のセキュリティ対策を強化する効果的な手段となる。

以下は、どの段階でどのツールを使用すべきかについて、ステップ・バイ・ステップの手順をまとめたガイドである。

Stage 1:Scoping:範囲

スコープを定める際に、重要な資産を特定することは、組織における最も価値の高いプロセスとリソースを理解するための、最初の重要なステップである。ここで目指すのは、業務に不可欠な資産を特定することだ。そのためには、セキュリティ運用 (SecOps) チームだけでなく、様々な利害関係者の意見を求めることも多くなる。範囲の特定は、単なる技術的な作業ではなく、人による作業である。その真の目的は、ビジネス上の状況とプロセスを深く理解することにある。

このアプローチに役立つ方法として、ビジネスに不可欠な資産に関するワークショップが挙げられる。このセッションでは、経営陣を含む意思決定者が一堂に会し、ビジネス・プロセスとそれをサポートするテクノロジーとの整合性を図る。

スコープ設定の取り組みをサポートするために、専門的なソリューションを活用することが可能だ。従来型のスプレッドシートもあるが、より高度なシステムである CMDB (Configuration Management Databases)/SAM (Software Asset Management)/HAM (Hardware Asset Management) などもある。さらに、資産を分析する DSPM (Data Security Posture Management) ツールは、最も保護が必要なものを優先するための、貴重な洞察を提供してくれる。

Stage 2Discovery:特定

CTEM の第2段階では、組織のエコシステム全体にわたる資産と脆弱性の特定に重点を置くことになる。具体的には、様々なツールや手法を用いて、技術的な環境の包括的なビューをまとめ、セキュリティ・チームが潜在的なリスクを評価できるようにする。

一般的に、資産の発見や潜在的な脆弱性の特定には、脆弱性スキャン・ツールが使用される。これらのツールは、システムやネットワーク内の CVE をスキャンし、注意が必要な領域についての詳細なレポートを提供する。さらに、Active Directory(AD) ついて言えば、特に ID の問題が蔓延している環境において、それらを特定するという重要な役割を果たす。

クラウド環境では、AWS/Azure/GCP などのプラットフォームでミスコンフィグや脆弱性を特定するために、CSPM (Cloud Security Posture Management) ツールが使用される。これらのツールは、クラウド環境特有の ID 管理の問題の対処にも有効だ。

Stage 3:Prioritization:優先順位

優先順位付けを適切に行うことは、きわめて重要なことである。なぜなら、最も影響の大きい脅威に対して、セキュリティ・チームが集中して取り組むことを保証し、最終的に組織全体のリスクを低減するからである。

CVSS スコアに基づいて優先順位を決定する、従来からの脆弱性管理ソリューションを利用している場合もあるだろう。しかし、これらのスコアには、ビジネス上のコンテキストを組み込めないことが多く、技術的/非技術的な利害関係者にとって重要な、特定された脅威の緊急性の把握を困難にしてしまう。それに対して、ビジネス・クリティカルな資産のコンテクストに基づいて優先順位を決定すれば、ビジネス・リーダーたちにとって理解しやすいプロセスとなる。この調整により、セキュリティ・チームは、脆弱性の潜在的な影響を、より効果的に組織全体に伝えることを可能にする。

攻撃経路のマッピングと攻撃経路の管理が、優先順位付けの重要な要素として、強く認識されるようになってきている。これらのツールは、攻撃者がネットワーク内で水平方向に移動する方法を分析し、攻撃が最も大きな被害をもたらす可能性のあるボトルネックを特定するのに役立つ。攻撃経路のマッピングを組み込んだソリューションは、さらなるリスクの全体像を提供し、より戦略的な優先順位付けのアプローチを可能にする。

最後に、優先順位付け段階では、外部の脅威インテリジェンス・プラットフォームが重要となる。これらのツールは、その時点で悪用されている脆弱性に関するリアルタイムのデータを提供し、CVSS スコア以外の重要なコンテキストも参照している。さらに、AI ベースのテクノロジーは脅威の検出を拡大し、優先順位付けを合理化できるが、プロセスにエラーを導入しないよう、慎重に検討することが重要である。

Stage 4:Validation:検証

第四段階では、特定された脆弱性が実際に悪用される可能性があるのかどうかを検証し、現実の世界における潜在的な影響を評価する。この段階では、理論上のリスクに対処するだけでなく、対処を怠れば重大な侵害につながる可能性のある、真の容易の特定を優先的に行う。

検証のための最も効果的な方法のひとつが、ペネトレーション・テストである。ペネトレーション・テストとは、現実の攻撃をシミュレートすることで、脆弱性を悪用してネットワークのどこまで侵入できるかを試すものだ。それにより、導入済みのセキュリティ対策が有効であるか、あるいは、特定の脆弱性が悪用可能であるかを検証できるため、理論上のリスク・スコアを超えた現実的な視点が提供される。

さらに、手動によるペネトレーション・テストに加えて、セキュリティ管理の検証ツールである BAS (Breach and Attack Simulation) が重要な役割を果たす。これらのツールは、管理された環境内で攻撃をシミュレートし、特定の脆弱性が既存の防御を回避できるかどうかを検証する。この、デジタル・ツイン・モデルを使用するツールは、運用を中断させる可能性のある、従来のテスト方法と比べて大きな利点を持つ。つまり、本番システムに影響を与えることなく、攻撃経路の検証が可能になる。

Stage 5:Mobilization:運用

この段階では、セキュリティ・チームと IT 運用チーム間の連携を強化する、各種のツールやプロセスを使用する。注意を要する特定の脆弱性やリスクを、SecOps が伝えることで知識のギャップが埋まり、IT 運用チームが何をどのように修正すべきかを正確に理解できるようになる。

さらに、Jira や Freshworks のようなチケット発行システムを統合することで、修復プロセスを合理化できる。これらのツールを使用することで、脆弱性を追跡し、タスクを割り当てることが可能となる。つまり、重要な資産への潜在的な影響に基づき、問題に対する優先順位付けを確実に行うことが可能になる。

緊急の問題や最新情報を関係者に伝える際にも、電子メールによる通知は有効である。その一方で、SIEM (Security Information and Event Management) ソリューションは、様々なソースからのデータを一元化し、チームが迅速に脅威を特定し、対応することを支援する。

最後に、一般的な脆弱性に対する修正手順をまとめた、手順書を作成することは重要である。

XM Cyber で CTEM を 導入する

CTEM を実現するために必要なツールのリストを読んだことで、導入する準備は出来ただろうか?

CTEM は大変革をもたらすものだが、上記のリストを見て、当然のことながら、多くのチームは複雑で微妙な取り組みだと感じ、二の足を踏む。CTEM の開始以来、ロードマップがあっても、自分たちにはあまりにも煩雑な作業だと感じ、そのメリットを放棄するチームもあった。

CTEM を現実的なものにする最も生産的な方法は、CTEM の統一的なアプローチを採用し、CTEM の全ての段階を1つの統合プラットフォームに集約することで、実装を簡素化することである。それにより、異種のツールやプロセスを展開する際に伴うことになる、複雑性を最小限に抑えることが可能となる。

XM Cyber を使用すると、以下のことが達成される:

  • ビジネスに影響を及ぼすリスクに基づいて、重要なビジネス・プロセスを IT 資産にマッピングし、優先順位を付ける。
  • オンプレミス/クラウドの環境全体にわたって、また、内部と外部の攻撃対象領域全体にわたって、全ての CVE /非 CVE (設定ミス/ID リスク/過剰なアクセス権) を検出する。
  •  脅威インテリジェンス/攻撃パスの複雑さ/侵害された重要な資産の数/複数の攻撃パスへのチョークポイントとの関連性などを活用する、独自の Attack Graph Analysis に基づき、より迅速かつ正確な優先順位付けを行う。
  • 特定の環境で問題が利用可能かどうか、また、セキュリティ対策がそれらをブロックするように設定されているかどうかを検証する。
  • コンテキストベースの証拠/修正の指針/代替案に重点を置くことで、修正の方式を改善する。また、修正の進捗状況を追跡するために、チケット発行/SIEM/SOAR ツールとも統合する。
最後に

XM Cyber の CTEM に対する統一的なアプローチにより、複数の段階が1つのプラットフォームに統合され、実装も簡素化されていく。これにより、異種のツールやプロセスの展開に伴う複雑性を、最小限に抑えることが可能になる。XM Cyber を使用すると、エクスポージャーをリアルタイムで可視化できるため、理論上の評価ではなく、実際のリスクに基づき、修正作業の優先順位を決定できる。

このプラットフォームは、SecOps と IT Ops 間のシームレスなコミュニケーションを促進し、脆弱性と修復に関して全員が同じ認識を持つことを保証する。このコラボレーションにより、より効率的なセキュリティ対策が素早く推進され、潜在的な脅威に対する迅速かつ効果的な対処が可能になる。

CTEM において、XM Cyber が最適なソリューションである理由については、Buyer’s Guide to Meeting and Maintaining CTEM を参照してほしい。

最終的に XM Cyber は、セキュリティ・チームの検出/管理の能力を強化するだけではなく、進化する脅威の状況に対して、継続的に適応していく能力も強化する。

注記:この記事は、XM Cyber の米国 Security Sales Engineering Team のリーダーである、Karsten Chearis により執筆/寄稿された。

CTE (Continuous Threat Exposure Management) とは、2022年に Gartner が提唱した、継続的な脅威エクスポージャー管理という意味を持つ、アプローチのことを指します。そして、2024年のセキュリティ・トレンドに CTEM を挙げる Gartner 自身により、また、今日の記事にある XM Cyber により、メディアへの露出も増えています。NIST の CSF との整合性があることから、注目を浴びているとも推測できます。よろしけば、以下のリストを、ご参照ください。

2024/09/05:NIST の CSF と Gartner の CTEM:相性が良い理由 – XM Cyber
2024/08/27:CTEM:新たなカテゴリがセキュリティを支援する – Gartner
2023/02/21:サードパーティのリスク管理という難題:3−Step で捉えてみよう