CTEM（Continuous Threat Exposure Management）とは、2022年にガートナー社が提唱したサイバーセキュリティ対策の手法だ。「サイバー攻撃を加える側の目線に立ち、攻撃目標のセキュリティがどのレベルにあるのか継続的に評価するためのフレームワーク」がCTEMであると定義されている。すなわち、あえて敵側の立場からセキュリティの状態を監視かつ分析できる仕組み作りを指す言葉であると理解してよいだろう。

CTEMを導入するメリットとして、サイバー攻撃の被害を減らすだけでなく企業全体に意識変革をもたらすことが挙げられる。従業員が攻撃者側の手法や考えを理解することで、サイバーセキュリティにおける知識向上が期待されている。

ガートナー社のレポートによると、2026年までにCTEMへの投資を優先する組織は、そうでない組織に比べてセキュリティの被害に遭う可能性が3分の1になるという。ガートナー社がCTEMの重要性を強調する理由は、昨今のサイバー攻撃が一層巧妙化、複雑化しており、従来のセキュリティ手法では十分に対抗できない可能性があると考えられているためだ。

例えば、近年話題になっているゼロトラストセキュリティについて、ガートナー社は「今後数年間、サイバー攻撃の半数以上がゼロトラストでカバーできない、あるいは軽減できない領域をターゲットとしたものになる」と予測している。ゼロトラストセキュリティの根幹であるデータへのアクセス権限を悪意のある第三者が入手した場合、サイバー攻撃を防ぐことは困難なためだ。同社はこのような事態に対抗するため、ゼロトラストセキュリティを行ったうえで、さらにセキュリティネットワーク内での不審な動きがないか監視することが重要だと指摘している。

CTEMは5つの段階によって構成されている。この5段階のサイクルにより、継続的に組織のセキュリティを向上させることが可能だ。

守るべきIT資産の特定

まず行われるのがスコーピング、すなわちサイバー攻撃を受けると想定される範囲の特定である。組織が所有するIT資産（業務システムやアプリケーション、企業のSNSアカウントなど）をまとめ、サイバー攻撃から防御すべきものを特定する作業を指す。

脆弱性の発見

次にIT資産を分析し、潜在的な脆弱（ぜいじゃく）性を発見する段階へと移行する。CTEMにおいては、どんなささいな脆弱性も包括的に発見することが望ましい。これは、後述する次の段階において優先順位を付けるまで、その脆弱性が本当にささいなものであるかどうかは判断が困難であるためだ。システムの脆弱性を突いてサイバー攻撃が行われた場合、セキュリティシステムがどのように反応し、どのような問題が懸念されるかを分析する。

対応の優先順位付け

その後、発見した脆弱性のうち特に対応すべきものから優先順位を付けていく。優先順位を付ける際は緊急性や許容レベル、保険が適用されるかなどの要素が指針となるだろう。ただし、順位付けをする際、従業員へのアンケートや統計調査といった、経営者や担当者以外の目線を持つことによってレジリエンスの高い判断を実現したい。

オペレーションの確認

そして、脆弱性の修復段階においては、セキュリティコントロールと手順が期待どおりの水準に達しているのかを見極める必要がある。サイバー攻撃がどのように行われるか、それに対応するだけのスピード感を担保できるかといった視点で確認することが重要だ。

実践とその結果の検証

最後に、CTEMを実践し、その結果を検証する段階へと移る。実際に優先すべきIT資産を守ることができたか、またそのアプローチが適切なものであったのかを確認することにより、以降のセキュリティ対策を練るための指針としたい。

年々サイバー攻撃の脅威が増加している中で、多くの企業がより強固なセキュリティ対策を求めている。一方で企業が捻出できるセキュリティコストにも限界があり、よりコストパフォーマンスの良い対策としてCTEMが求められるようになったというのも事実だ。ベンダーとしては、このように限られた予算の中でより効果的なセキュリティ対策を行う手法を把握しておくことで、より信頼感のある提案ができるようにしておきたい。