対象の資産や脅威によりCTEMの中身が変わる

　「1.対象範囲の特定（Scoping）」の解説で触れたが、5つのステップはそのままに、対象によっては実施内容やツールを変える必要がある。対象によって発見や検証の手法などすべてが異なるからだ。以下に、外部公開資産を対象にした場合と、SaaSを対象にした場合の実施内容を例示しておく。

外部公開資産を対象とする場合の例
CTEMのステップ	実施内容の例
1.対象範囲の特定	外部公開資産を対象とする
2.発見	外部攻撃対象領域管理（ASM）ツールを利用して、外部公開資産やリスクを発見する
3.優先順位設定	検出されたリスクの重大度、悪用される可能性、ビジネスへの影響に基づいて、対処すべき脆弱性の優先順位を付ける
4.検証	脆弱性診断ツールの実行やペネトレーションテストを実施して、外部からの攻撃に対する影響を検証する レッドチーム演習を実施してセキュリティチームの対応能力を検証する
5.動員	検出された脆弱性を修正するためにパッチ適用や設定変更などの対策を実施する セキュリティ意識向上教育を実施して、外部からの脅威から組織を保護する方法を理解できるようにする

SaaSを対象とする場合の例
CTEMのステップ	実施内容の例
1.対象範囲の特定	SaaSを対象とする
2.発見	SaaSセキュリティ態勢管理（SSPM）ツールを利用してリスクを発見する クラウドアクセスセキュリティブローカー（CASB）を利用して、SaaSアプリケーションへのアクセス状況を確認する
3.優先順位設定	検出されたリスクの重大度、悪用される可能性、ビジネスへの影響に基づいて、対処すべき脆弱性の優先順位を付ける
4.検証	SaaSアプリケーションのセキュリティ設定をレビューして、ベストプラクティスに準拠していることを確認する SaaSプロバイダーと連携して、インシデント対応計画を検証する
5.動員	検出されたセキュリティの問題を修正するため、設定変更やアクセス制御の実装などの対策を実施する セキュリティ意識向上教育を実施して、SaaSアプリケーションを安全に使用する方法を理解できるようにする

　このように、CTEMはさまざまな対象を管理することができるフレームワークだ。どのような資産や脅威のセキュリティを管理する場合でもCTEMの5ステップにあてはめることが求められる。あてはめた上で各ステップでの実施内容を組織や企業に合わせて構成してほしい。「2.発見」においてのツール選びがポイントとなるが、ツールを買っただけで終わりにならないように、最後まで一気通貫した取り組みが求められるのだ。

CTEM導入における注意点

　CTEMを導入し、効果的に運用していくためには、いくつかの注意点がある。

　まず、組織のビジネスとIT資産について知ることだ。「どのビジネスがどのIT資産を利用しているか」、「IT資産停止の影響はどれだけビジネスに影響するのか」、「業界の規制にはどのようなものがあるか」、「DX化やクラウドなど戦略・ITの利用形態」など様々について知らなければならない。これは特に「1.対象範囲の特定／Scoping」と「3.優先順位設定」において重要なインプットとなる。

　次に「2.発見/ Discover」において未把握を無くすことも重要なポイントだ。いくらコストをかけても、未把握の資産やリスクがあり、結果的にそこから被害に遭うことになればCTEMに取り組んでも報われない。

　もちろん、CTEMを実現させるためには、目的や予算に応じたツール（製品やソリューション）を選択することや、対応のために適切な人的リソースを割り当てることも重要である。特に、CTEMを効果的に運用するためには、組織全体の協力体制が不可欠である。セキュリティ担当者だけでなく、経営層や関係する各部門の従業員まで、CTEMの重要性を理解し、積極的に取り組むことが大切だ。

　また、CTEMは一度実施すれば終わりとなるものではない。CTEMは継続的なプロセスであり、定期的に見直し、改善を繰り返していく必要がある。脅威やIT環境の変化に合わせて、スコープや優先順位付けの基準などを調整し、常に最適な状態を維持することが重要だ。

　サイバー攻撃の対象となる領域が拡大する昨今、CTEM（継続的な脅威エクスポージャー）は変化する脅威環境に合わせて継続的にセキュリティ対策を見直し、改善するために有効な手段の1つとして注目すべき取り組みだ。