サイバーセキュリティの世界では、組織がサイバー攻撃の対象となりうるIT資産のアクセス可能性・外部への露出度・悪用される可能性(エクスポージャー)を特定・評価・軽減するプロセスを「エクスポージャー管理」といいます。 エクスポージャー管理のためのソリューションはいくつもありますが、エクスポージャー管理は画面上で終わるような作業でも、SIEMプラットフォームに追加される単なるダッシュボードでもありません。エクスポージャー管理は、進化させながら継続的に実施すべき取り組みです。中でも重要なポイントは、「リスクに焦点を当てる」ということです。

IPA(情報処理推進機構)の調査によると、日本では、新たな脅威や攻撃手段への対策を社内共有する仕組みや、情報セキュリティ対策をルール化して従業員に明示している企業は、いずれも4割以下にとどまっています。つまり、多くの企業がいまだに時代遅れの事後対応型アプローチに依存しており、現代の動的で複雑なリスク環境を反映できていません。

従業員のノートパソコンやスマートフォン、一時的なクラウド上のワークロード、IoTセンサー、管理されていないデバイスまで、企業が抱える資産は非常に多様化しています。こうした複雑な環境では、可視性が絶対に欠かせない要素となります。しかし、可視性だけでは不十分であり、明確さ、コンテキスト(文脈)に加えて、優先的に対応すべき脆弱性や設定ミス、過剰権限を見極めるための指標が必要です。

ここで重要になるのが、リスクベースのアプローチです。これはすでに確立された強力な方法であり、その効果を最大限に引き出すためには、セキュリティチームが実践的に導入・運用できる体制づくりが不可欠です。

多様化する資産と分断されたツールの課題

セキュリティオペレーションセンター (SOC)が抱える最大の課題は「複雑性」です。 数十、あるいは数百ものセキュリティツールを運用している組織の場合、その資産は、ワークステーション、クラウドネイティブのアプリケーション、 OTデバイスやSaaSプラットフォームなど多岐にわたり、しばしば連携が困難です。それぞれの資産は異なる言語を使い、異なるテレメトリを収集し、異なる基準で「緊急」または「重大」を定義しています。

これはまるで、オーケストラの演奏者が、異なる楽器を持ち、異なる楽譜を読み、異なる言語で各自の重要なパートを主張しているようなものです。全体を理解し調和させる指揮者がいなければ、演奏は混乱し、本当の問題は明らかになりません。

同様に、アタックサーフェス(攻撃対象領域)全体を、正確かつ一貫して、一元的に可視化できなければ、リスク評価やタスクの優先順位付けの信頼性が失われ、実質的には手探りでの運用になります。

脆弱性やオープンチケットの件数を数えるだけでは意味がありません。それらのデータをリスクとひもづけて評価する必要があります。セキュリティプログラムは、悪用の可能性、影響度、傾向、修正までの時間を測る指標を基盤とする必要があります。

まずは、以下のように問いの立て方を変えることから始めましょう。

  • この脆弱性が実際に悪用される可能性はあるか
  • もしも悪用された場合、被害の影響はどこまで及ぶか
  • 修正にかかるスピードは改善しているか、それとも遅れているか
  • SLA(サービスレベル契約)を達成できていないチームまたは部署はあるか

これらはバニティメトリクス(虚栄の評価基準)ではなく、意思決定の基盤となる実践的な指標で、アラートがあがって真のリスクがどこに潜んでいるのかを示してくれます。

事後対応の優先順位付けからの脱却

従来の脆弱性管理は、事後対応のプロセスです。CVEが発表されたり、監査でセキュリティの不備が明らかになったりすると、あわててその場しのぎのパッチを当てるという対応に陥りがちです。このいわば「モグラ叩き」のような方法は、非効率的であり、重大なエクスポージャーに対処しないまま、貴重な時間とリソースを消費してしまいます。

一方、リスクベースの指標を活用すれば、状況は一変し、先回りして優先順位を付けることが可能になります。例えば、開発環境内で検出されたゼロデイの脆弱性は、孤立しており影響が限定的かもしれませんが、半年放置されている本番稼働中のクラウドアプリケーションの設定ミスは、本当のリスクであると判断できます。

リスクベースの指標を使えば、ノイズではなく、ビジネスリスクに基づいて対応を優先できます。成熟した組織は影響度を注視します。

担当部署に説明責任を課すSLAを導入

SLAを設定するのは簡単ですが、それらを順守させるのは容易ではありません。堅牢なエクスポージャー管理であれば、SLAは単なる努力目標ではなく、運用上の契約の役割を果たします。特定のリスクの閾値を超えた脆弱性については、明確な対応期限を設定し、不履行の場合の処置も設定すべきです。

さらに、「何日以内に修正する」といった基準にとどまらず、SLA違反の傾向を定期的に追跡し、どの部署が対応の遅延を繰り返しているかを明らかにします。そして、そのデータを経営層への報告書や、予算検討やパフォーマンス評価などにも反映させることで、リスク削減を組織全体の共同責任として扱います。

測定指標の人間的な側面

エクスポージャー管理は、単なるツールやテクノロジーではなく、組織文化に関わるものです。エンジニアリング、運用、DevOps、ビジネスのステークホルダーのすべてが共通認識を持つ必要があります。リスクベースの指標が、その実現を可能にする共通言語となり得るのです。

エクスポージャーを技術的な専門用語としてではなく、事業に与える影響として説明できれば、議論の方向性が変わります。各部門の理解を得やすくなり、それまでセキュリティを障害としか見ていなかったチームも優先して考慮してくれるようになります。パッチ対応は単なる作業ではなく、ビジネス成功のカギとなります。

リソースを最適化し、レジリエンスを構築

すべてにパッチを当てすべてを監視することは不可能です。しかし、適切な指標があれば、そこまでする必要はありません。リスクベースのエクスポージャー管理により、人員、時間、予算などの限られたリソースを最も効果的に活用できる領域に集中させることが可能になります。重要なのは、量を増やすことではなく、より賢く作業することです。

セキュリティの世界では、完璧を目指すことがしばしば逆効果になります。むしろ、達成可能な目標を設定し、段階的に実行して、絶えず基準を高めることで継続的な進捗を優先させるといった、最善の方法でリスク軽減を実現すべきです。

リスクベースの指標は、信頼できるエクスポージャー管理の中核と言えます。今日の複雑で変動の激しいアタックサーフェスにおける混乱を克服し、防御から戦略へと変革する有効な手段です。

リスクベースの指標を無視すれば、永遠に後手の対応処置に追われることになります。積極的に採用することで、将来を見据えた能動的な体制を確立でき、サイバーエクスポージャーを削減できるだけでなく、セキュリティそのものをビジネスの資産に変えることができるでしょう。

貴島直也

貴島直也

きしまなおや

Tenable Network Security Japan株式会社 カントリーマネージャー

アダムネット株式会社(現三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ、拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張をけん引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティーの実行を統括。

この著者の記事一覧はこちら