CTEM|Continuous Threat Exposure Management
「CTEM(Continuous Threat Exposure Management)」は、日本語の直訳では「継続的脅威露出管理」ですが、サイバーセキュリティ分野で注目されている新しいアプローチです。Gartnerが提唱した概念で、従来の脆弱性管理やペネトレーションテストを超えて、常に実環境における脅威への「露出(Exposure)」を可視化・評価・対応することを目的としています。
CTEMの概要:
| 要素 | 内容 |
|---|---|
| 目的 | 組織のサイバーリスクを継続的に可視化・評価・軽減すること |
| 対象 | 資産(ネットワーク、エンドポイント、アプリケーション、IDなど)に対する「実際に悪用可能な」脅威の露出 |
| 特徴 | 従来の静的な脆弱性評価ではなく、攻撃者視点での露出評価を重視 |
| 手法 | 攻撃経路のシミュレーション、BAS(Breach and Attack Simulation)、ASM(Attack Surface Management)などの技術を活用 |
| プロセス | スコーピング → 発見 → 優先順位付け → 検証 → モビライゼーション(対処) |
CTEMと従来の違い:
| 項目 | 従来の脆弱性管理 | CTEM |
|---|---|---|
| スコープ | 脆弱性リスト中心 | ビジネスへの影響に直結した「露出」中心 |
| 更新頻度 | 定期的(四半期・年次) | 継続的・リアルタイム |
| アプローチ | 技術視点中心 | 攻撃者視点+ビジネスリスク視点 |
| 成果 | パッチ適用の優先度 | 攻撃チェーンの遮断・影響緩和 |
代表的なツール例:
- Palo Alto Cortex Xpanse
- Tenable.asm
- Microsoft Defender EASM(外部攻撃面管理)
- ImmuniWeb Discovery
以下に、ImmuniWeb Discovery における CTEM(Continuous Threat Exposure Management) と TPRM(Third-Party Risk Management) の概要をそれぞれ整理して解説します。
ImmuniWeb Discovery 概要
ImmuniWeb Discovery は、企業の 外部攻撃面(External Attack Surface) を可視化し、継続的に監視・評価するクラウドベースのセキュリティプラットフォームです。
AIとOSINT(公開情報)を駆使して、以下を自動的に検出・評価します:
- Webアプリケーション
- サーバー・クラウド資産
- モバイルアプリ
- ソースコードの漏洩
- ブランドなりすまし
- ダークウェブ上の露出
1. CTEM(Continuous Threat Exposure Management)機能の概要
ImmuniWeb Discovery CTEM
目的:
攻撃者視点で「実際に悪用可能な露出」を特定し、優先順位をつけて軽減する
主な機能:
| 項目 | 内容 |
|---|---|
| 資産の自動発見 | 企業に関係するドメイン、サブドメイン、IP、クラウドサービスなどを外部から自動検出 |
| 脆弱性評価 | OWASP Top 10などに基づいたセキュリティスキャンとリスク評価 |
| 継続監視 | 資産の状態変化や新たな露出をリアルタイムで検知 |
| リスクスコアリング | 重要度・影響度に基づいた優先度付け |
| 攻撃シナリオの可視化 | 実際の攻撃経路(攻撃チェーン)の把握に役立つ情報を提示 |
メリット:
- セキュリティチームが漏れている資産・脆弱性を早期発見可能
- ガバナンス・コンプライアンス対策に有効(PCI DSS, ISO 27001 など)
2. TPRM(Third-Party Risk Management)機能の概要
ImmuniWeb Discovery TPRM
目的:
サプライヤーや外部ベンダーによる サイバーリスク(委託先由来のリスク) を管理する
主な機能:
| 項目 | 内容 |
|---|---|
| 外部委託先の資産調査 | 取引先企業の公開資産(ウェブ・クラウド・API)を非侵入的に調査 |
| ベンダーごとのリスク評価 | セキュリティ状態、コンプライアンス遵守状況をスコア化 |
| サプライチェーン可視化 | 第三者由来のリスクを一覧で確認できるダッシュボード |
| 報告書出力 | ベンダーセキュリティ評価の自動レポート化(監査対応用) |
メリット:
- 取引開始前・更新時のリスク評価(Due Diligence)を自動化
- NIST、GDPR、HIPAA など規制対応を強化
- 潜在的な シャドーITの発見 にも有効
補足:CTEMとTPRMの違い
| 項目 | CTEM | TPRM |
|---|---|---|
| 対象 | 自社(社内・子会社含む)の資産・攻撃面 | サプライヤーや外部ベンダーなどの外部関係者 |
| リスク視点 | 攻撃者から見た露出と脆弱性 | サードパーティから流入するリスク |
| 使用タイミング | 日常的・リアルタイム監視 | 契約前・定期的なレビュー |