はじめに：

私たちの誰もが、大切な資産を泥棒の被害から守りたいと考えています。これをサイバーセキュリティに照らして考えてみましょう。例えば、脆弱性の管理は自宅に防犯システムを導入することと同じです。誰かが家に侵入しようとすると、防犯システムがドアが開けられたことや窓が壊されたことを知らせてくれます。しかし、防犯システムでリスクを完全に取り除くことはできません。

一方、エクスポージャー管理はセキュリティのレベルを引き上げるものです。社会に蔓延する犯罪に詳しい警備会社に、近所の巡回や異常行動の監視を依頼するのに似ています。エクスポージャー管理は、予防的、つまりプロアクティブなセキュリティのレイヤーを提供することにより、脅威の検知と対応の能力を向上させるのです。

エクスポージャー管理は、サイバー領域において、脆弱性だけでなく攻撃の可能性や侵害の潜在的な影響も考慮しながら、より総合的な方法でセキュリティに対応します。また、セキュリティ対策の実施や、セキュリティのベストプラクティスに関する従業員教育など、リスク低減のためのさまざまな手段も含んでいます。

エクスポージャー管理の新しい予防的手法

Mandiant（※現在はGoogle Cloudの一部）は、あらゆる組織がサイバー脅威のリスクをより予防的に管理するための支援を行っています。Mandiantはこの使命を果たすために、Mandiant Proactive Exposure Managementを包括的なソリューションとしてお届けします。このソリューションに含まれる製品とサービスを利用すれば、攻撃者が行動を起こす前に、最も重要度が高く攻撃されやすいエクスポージャーを、確実かつ継続的に低減することができます。

脆弱性管理は、脆弱性を特定して軽減することを主眼とする単一のプロセスです。エクスポージャー管理は、各種のツール、サービスおよびプロセスで構成されるプログラムであり、お客様組織内のすべての資産、デジタル・リスクおよびセキュリティ態勢を評価することにより、対応の優先順位付けとリスク低減の戦略を継続的に見出すことを可能にします。

エクスポージャーは脆弱性より大きな概念です。エクスポージャーとは、クラウドの設定ミスや、フィッシング・メールをクリックするようなヒューマン・エラーなど、企業をリスクに晒すあらゆるものを指しています。

エクスポージャー管理のプロアクティブな手法では、4段階による戦略で組織を支援します。

1. エクスポージャーがある箇所を把握する
2. 組織を狙う攻撃者の正体を把握する
3. 攻撃に対処する準備が整っているか把握する
4. 現在攻撃を受けているか把握する

財産の評価 - 何が不正に公開されているのかを把握する

存在していることを知らないものは守れません。したがって、組織に帰属するすべての資産を可視化することが第一段階となります。この段階で行われるのは、組織の最重要項目（事業にとって最大の価値を持つ資産）を特定し、どの資産に悪用される可能性があるかを判断するなどです。この段階に求められる対応能力には、次のようなものがあります。

• 資産の継続的な検知、分類、重要度評価
• 脆弱性、設定ミス、エクスポージャーのリスト化

攻撃対象領域とエクスポージャーの可視性を拡大するという目標は、外部攻撃対象領域管理（EASM）、サイバー資産攻撃対象領域管理（CAASM）、クラウド・セキュリティ態勢管理（CSPM）などのテクノロジー、あるいは継続的なレッドチームの活動やペネトレーション・テストによって達成することができます。

近隣見守り - 誰が自組織を狙っているかを把握する

次の段階では、お客様組織を標的にする攻撃者と、その攻撃者が連携しながら攻撃する方法について理解することが必要です。Mandiantは先頃、レポート「グローバルな視点から見た脅威インテリジェンス」を公表しましたが、同レポートによれば、回答者の79%が攻撃者に関する知見なしに意思決定を行っていると回答しています。

優先順位付けやリソース配分に関して、効果的に優先順位付けやインテリジェンス主導の意思決定を行うには、次の質問に答えられるようにする必要があります。

• 自社や同業他社を標的としている攻撃者は誰か？
• 自社のセキュリティ対策やセキュリティ・チームが防御できることが必要な戦術、技術、手順（TTP）の上位5～10項目は何か？
• 自社では、脅威インテリジェンスを用いて検知や対応に対する機能を情報化しているか？

適切なツールを使用すれば、攻撃ライフサイクルの初期偵察段階で、脅威アクターがどのように攻撃を計画しているかをセキュリティ・チームに警告し、確認させることができます。企業や組織は、この知見により、さまざまな攻撃の可能性と影響を考慮しながら、リスクベースの暴露軽減手法を開発することが可能になります。

警報システムをテストする - 攻撃に対処する準備が整っていることを確認する

家庭用警報システムの場合は、定期的な点検を行うことにより安心感が得られ、信頼性のあるシステムを維持管理する責任を警備会社に担ってもらうことができます。セキュリティ対策もまったく同じです。

企業や組織は、攻撃対象領域の範囲とセキュリティ脅威トレンドの重点分野をまず明確化し、その上で、セキュリティ対策の有効性と運用状況を継続的にテストおよび検証する必要があります。テストを行う際には、攻撃者が実際に使用するTTPを使用し、自動と手動の両方により攻撃エミュレーションを行う必要があります。

リアルタイムの侵入警報 - 攻撃が現在行われているかどうかを把握する

現在の家庭用防犯システムは、侵入が発生した場合や、近所の子供が打った野球のボールが誤って窓から飛び込んできた場合などに、ほぼリアルタイムで住人に警報を発するようになっています。

セキュリティ・チームは、社会で起こっている悪意ある行為に関するほぼリアルタイムの警告や、インシデントレスポンス態勢を整える手段を必要としています。そのような対応能力は、侵害指標（IOC）をセキュリティイベントにマッピングして昨今の攻撃を特定することや、信頼できるエキスパートと協力して自社の脅威対応態勢を整備することで手に入れることができます。

結論

企業や組織は、プロアクティブな手法により、拡大する攻撃対象領域を広範囲かつ継続的に可視化しながら、ビジネスへの影響とセキュリティ・インシデントの実現可能性に基づいて修復活動に優先順位を付けることができます。

Mandiantは、企業や組織によるエクスポージャー管理戦略の構築と改善をお手伝いします。

Mandiant Proactive Exposure Managementの詳しい内容をご確認ください。また、より予防的な手法の採用については、Mandiantのエキスパートにご相談ください。