エクスポージャー管理(EM)とは、脅威アクターや侵害に対して脆弱となることで全体的なリスク態勢を高める可能性のある、組織のアタックサーフェスに沿ったアクセスポイント(または攻撃ベクトル)とデジタル/物理的資産に対処するプロセスを指します。
セキュリティ組織が脅威へのエクスポージャーを管理する方法を具体的に説明すると、CISOやその他の専門家がとれる手段は数多くありますが、より包括的なソリューションの1つがサイバー資産アタックサーフェスマネージメント(CAASM)で、組織がセキュリティ体制の可視性を常時高めるため、デジタル資産を徹底的にインベントリ化するために活用できるツールです。
ただし、Gartner® は次のように述べています。「企業としての広範なエンゲージメントがなければ、脆弱性評価などのエクスポージャー管理機能の大半は効果的に機能しません。成功には、解決チームへの早い段階での関与と動員プロセスの開発が不可欠です。」
セキュリティ担当者は、予算を管理するだけでなく、会社の方向性、ひいてはデジタルリスクの状況を規定する現在の主要業績評価指標(KPI)を決定するステークホルダーからの賛同を得なければなりません。
このため、Gartnerの調査では、セキュリティ部門やリスク管理部門のリーダーは「脅威の重大度のみに主に焦点を当てるのではなく、侵害がビジネスに及ぼす潜在的な影響を考慮して、主要なビジネスの優先順位とリスクに基づき、エクスポージャーアセスメント範囲を構築する」ことも推奨しています。
EMは本質的に、クラウド上とクラウド外の両方で企業ネットワークのアタックサーフェスに沿って潜在的な脆弱性を保護・修復するさまざまな方法をカバーする包括的な用語です。混乱を避けるため、組織がリスクと脅威をうまく管理するための具体的な方法をいくつか見ていきましょう。
エクスポージャー管理と脆弱性管理(VM)は基本的に同様の機能(ネットワークとそのシステム/アプリケーションのギャップを埋めること)をカバーしますが、VMはエクスポージャー管理のサブ機能と見なすことができます。
簡単に言うと、EMはネットワーク境界を保護し、その背後でネットワーク上で実行されているシステムとアプリケーションを保護します。しかし、Gartnerは「EMが今日の脆弱性管理プラクティスに取って代わる」としています。基本的に、EMのカテゴリーにはVMが含まれ、このカテゴリーは全体として、ネットワークのアタックサーフェスを侵入から保護し、システムの弱点を強化できるソリューションに焦点を当てたものです。
現代のセキュリティ組織は、IDやアクセス管理(IAM)プロトコルの誤設定、積極的に悪用されつつある脆弱性、すぐに修正の優先順位を付けるべき脆弱性など、ネットワークのアタックサーフェスに沿った潜在的なリスクの全体を調査する方向へと移行しようとしています。
同様の修正アクションをまとめたこの幅広いビューにより、悪用される可能性のある問題の範囲におけるより微妙な違いに対処できる、さらに統合されたツールが出現する可能性が生まれます。これらのツールには、複数の成果を効果的に実現し、効率を高める機能が必要となります。
EMが重要なのは、脅威アクターによって悪用される可能性のあるエクスポージャーを特定して修復するのに役立つツールを活用する必要があるためです。また、前述のように、さまざまな機能を網羅できるトピックであり、プラットフォームであることも理由となります。
アタックサーフェスマネージメント(ASM)とは、セキュリティチームが脆弱性にパッチを当て、ネットワーク上の新たな脅威を防御できるよう、絶えず変化するネットワーク環境の可視性を維持するプロセスです。
外部アタックサーフェスマネージメント(EASM) は、インターネットに接続された内部ビジネス資産を特定し、脆弱性、パブリッククラウドの設定ミス、認証情報の公開、または攻撃者によって悪用される可能性のあるその他の外部情報とプロセスを監視するプロセスです。
サイバー資産アタックサーフェスマネージメント(CAASM)は、すべてのサイバー資産の統合的な把握を可能にすることで、セキュリティ担当者が、データの統合や変換、分析などを通じて、公開されている資産と潜在的なセキュリティギャップを把握することができます。これは、所有権、ネットワーク、およびビジネスコンテキストを備えた資産情報の信頼できるソースとなることを目的としています。
デジタルリスクプロテクション(DRP)は、デジタル資産とブランドの評判を外部の脅威から保護するプロセスです。DRPソリューションは、組織が脅威アクターの活動を利用して攻撃を未然に防ぐことができるという前提で運用されています。DRPは、サイバー脅威インテリジェンス(CTI)の監視から得られた洞察を活用して、実用的な保護対象領域を明らかにします。
セキュリティチームは通常、ギャップ、脆弱性、認証の誤設定、その他多くのセキュリティ問題の特定と修正への迅速な解決を迫られます。EMプラットフォームは、セキュリティチームがこうした対応を実行できるようにする多くの機能を網羅しているため、重要となります。
これらのプロセスから得られる示唆により、特定のニーズを持つ特定の組織が自社のビジネスに合わせて最終的にどの種のプログラムを導入するかを決定することになるため、EMライフサイクル全体の機能を把握することが欠かせません。EMライフサイクルの基本を見てみましょう。
これらのプロセスを自動化することで、セキュリティ担当者は、エクスポージャーとそのリスクレベルを迅速に検証し、優先順位付けと修復を迅速に行うシステムを構築できます。EMプログラムのライフサイクルは一朝一夕に実現できるものではありません。
その実現には、さまざまな優先順位を持つ組織全体のステークホルダーによって合意されたプロセスが必要になります。しかし、このオーダーメイドのプログラムの構築に費やす作業には、将来的に節減できる費用とストレスに見合うだけの価値があります。
これまでに学んだように、EMの要素にはインターネットへのエクスポージャーや潜在的な脅威アクター以上のものが含まれますが、効果的なEMプログラムはビジネスとその収益にどのようなプラスの効果と利益をもたらすのでしょうか。
ステークホルダーが潜在的な脅威にさらされる可能性を判断するには、リスクを適切に把握できなければなりません。ある時点で特定の要因がリスクとは見なされないと判断されてしまった場合、それ以降、本来リスクと見なされるべきものがしかるべく分類されなくなってしまう可能性があります。
リスク値に従ってリスク範囲を適切に設定すれば、CISO、ITディレクター、経営陣など、より価値の高い社内ステークホルダーも、リスクを正しく分類し、優先順位の高い順に対処することでセキュリティが企業にもたらす最終的な利益をより明確に把握し、体験できるようになります。
効果的なEMプラットフォームの導入により優先順位を付けてより迅速に移行する能力が向上するため、組織のセキュリティ体制をスピーディに改善できます。また、セキュリティ態勢が強化されれば、社内外のポリシーや規制が遵守される頻度が上がり、企業のコンプライアンス体制も強化されます。
ネットワークアクセス制御(NAC)に関するEMの主な強みは、存在してはならないリスクを特定し、修復を支援する点といえます。これらが接続されると、セキュリティ オペレーションセンター(SOC)は、誰がネットワークにアクセスできるかを自動的に制御し、アクセスする権限がない場合は排除できるようになります。