効果的なCTEMが「インテリジェンス主導のプログラム」であるべき理由

継続的脅威エクスポージャー管理（CTEM）とは、完成された既成のプラットフォームではなく、リスク評価のための継続的なプログラムや運用フレームワークを意味します。Flashpointが考える「効果的なCTEM」はインテリジェンスによって導かれるものであり、厳選された脅威インテリジェンスを運用上の柱として活用し、リスクの優先順位付けを行うだけでなく、エクスポージャーデータを実現可能な防御策の決定に役立てます。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2026年1月6日付）を翻訳したものです。

CTEMは「製品」にあらず

2022年にガートナー社がCTEMをフレームワークとして発表して以来、サイバーセキュリティベンダー各社は急速な「製品化」競争をスタートさせました。その結果、市場におけるCTEMの定義には一貫性がなくなり、今では脆弱性スキャナーから攻撃対象領域管理（ASM）プロバイダーまで、さまざまなベンダーが「エクスポージャー管理のソリューション」という看板を掲げるようになっています。

CTEMの製品化において、現在のアプローチには問題があります。まず、一元化された「エクスポージャー管理プラットフォーム」などというものは存在しません。CTEMで理論上可能とされる機能に近い能力を揃えるためだけに、多くの企業は3つ以上の製品を購入しているのが現状です。そしてこれらのテクノロジーを導入したとしても、人材やプロセス、カスタム統合といった多大な労力がなければ、実際にはCTEMが機能しません。

プラットフォームやツールが複数必要

通常、機能的なCTEMを実現するには、以下の能力を備えたプラットフォームやツールが複数必要になります。

• 継続的ペネトレーションテストや攻撃パス検証、実践的なエクスポージャー検証を行うための継続的ペネトレーション／エクスプロイトテストおよび攻撃パス分析
• 脆弱性スキャン、エクスポージャー評価、資産リスクビューを行うための脆弱性およびエクスポージャー管理
• 選りすぐりの脆弱性や侵害された認証情報、カード詐欺に関するインテリジェンスに加え、テクノロジーベースの「管理プラットフォーム」にとどまらないその他のインテリジェンス

シャドーITの検出にASMベンダーが、資産コンテキストの把握に構成管理データベース（CMDB）が使用されるケースもあれば、修復を行う際にチケッティングが統合されることもあります。複数のプラットフォームで構成されたモデルは例外的なものではなく、もはや常識になりました。しかし、CTEM導入に3つ以上の製品と専任チームが要求される場合、本当に必要なのはインテリジェンス主導のCTEMプログラムなのです。

CTEMは「運用上の規律」

以下の3つの決定的な理由により、CTEMを単一の製品にパッケージ化することは難しいと考えています。

1. CTEMは「プラットフォーム」ではなく「プログラム」

資産のフルスタックの可視化、コンテキスト化された脅威アクターデータ、実環境での検証、そして修復オーケストレーションといった機能は、それぞれ必要とする専門性とデータの領域が異なるため、1つのツールでまかなうことができません。また、脆弱性スキャナーだけでは悪用可能性を検証できず、ペンテストサービスは日常的な監視への拡張が困難であり、汎用的な脅威インテリジェンスフィードも各事業に合った重要なコンテキストを提供できません。

それでもCTEMにおいては、これらすべての要素をまとめて1つの運用ループ内に盛り込む必要があります。これを一括で提供できる製品がないからこそ、CTEMを「万能な製品」ではなく「継続的なプログラム」としてとらえなければならないのです。

2. 人間の専門知識に代わるものはない

ベンダーは自動化を声高にアピールすることが多いものの、主要なインテリジェンス機能は依然として人間による分析がなければ使い物になりません。以下の作業を行うには、最高クラスのAIツールを導入しているセキュリティチームにも人間の知見が求められます。

• ノイズが多いCVEリストのトリアージ
• エクスポージャーデータと資産インベントリの相互参照
• リスクが現実のものかどうか手動で検証
• 脅威インテリジェンスと内部コンテキストに基づく優先順位付け
• 複数のプラットフォームを連携するカスタムロジックやカスタム統合の作成

言い換えれば、今なおエクスポージャー管理は人間の洞察力と専門知識に依存しています。ベンダーは「自動化とインテリジェンス」を声高に宣伝していますが、実際に提供されているのはあくまで「出発点」に過ぎません。結局のところ、AIは脅威アナリストの力を増幅する道具であって、人間に取って代わるものではありません。

3. インテリジェンス無きリスク＝ただのデータ

多くのプラットフォームにおいて、エクスポージャーは数学の問題のように取り扱われています。しかしリスクを正しく把握するには、CVSS（共通脆弱性評価システム）のスコアや資産の数だけでなく、以下のインテリジェンスに基づく喫緊の課題に答えを出さなくてはなりません。

• この脆弱性を悪用される可能性がどの程度あって、どのような影響が及ぶのか？
• この設定ミスを悪用される可能性がどの程度あって、どのような影響が及ぶのか？
• この侵害された認証情報が脅威アクターに使われる可能性はどの程度あって、どのような影響が考えられるのか？

これらの疑問に答えを出すには、データだけでなくインテリジェンスが不可欠です。セキュリティチームに最高クラスのインテリジェンスが備わることで、実際に確認されたエクスプロイト活動や、APT（高度持続的脅威）キャンペーンにおける攻撃者の用法に関するコンテキスト、そしてCVSSでは対応できないケースの優先順位付けに役立つ詳細なメタデータが提供されます。だからこそ、Flashpointのインテリジェンスはエクスポージャー管理の運用上の柱として800以上の組織で活用され、エクスポージャーデータを防御策の決定に役立てています。

CTEMの製品化 vs CTEMの現実

組織のリスク戦略に継続的なペネトレーションテストとエクスプロイトテスト、脆弱性管理、脅威インテリジェンス、そして手動による優先順位付けと検証が必要な場合、CTEMを購入するのではなく自ら構築することになります。インテリジェンスによって導かれ、カスタム統合とAIを活用した適切な方法でCTEMを構築できるよう、Flashpointは多くの組織をサポートしています。

インテリジェンス主導型エクスポージャー管理の展望

FlashpointはCTEMを本来の意味で捉えており、インテリジェンスに基づいて反復的に行われ、コンテキストに即するよう構築されたプログラムであるべきだと考えています。したがって、以下の条件を満たす必要があります。

• 脅威と脆弱性に関する情報を活用して実際の優先順位を決定できること
• スキャナーやASMプラットフォーム、ペネトレーションテストの結果をデータとして活用できること
• チケットの作成だけでなく、インテリジェンス・コンテキスト・検証にも基づいたエクスポージャーの決定を行うプロセスが構築できること
• 機能チェックリストのみならず、プラットフォーム間の相互接続性にもリソースを割けること

Flashpointのインテリジェンスコレクションを活用することで、企業や組織はインテリジェンス主導のエクスポージャー管理が行えるようになります。脅威インテリジェンスと脆弱性インテリジェンスを組み合わせることにより、優先順位に基づいたコンテキストや実用的な知見が継続的・反復的に提供される結果、セキュリティチームは独自のCTEMプログラムを構築し、拡張できるようになります。サイバーセキュリティ環境では単一のプラットフォームですべてに対応することは不可能なため、これが唯一の現実的なアプローチなのです。

CTEMプログラムの高度な操作制御をFlashpointで実現

エクスポージャー管理ツールの比較検討を行う際、以下の点を考慮してください。

• 重大な脆弱性が見つかった場合、どのように機能し、その深刻さをどう伝えてくれるのか
• このプラットフォームで攻撃者の活動と自社の資産状況を関連付けられるのか
• ユーザーにリスクを報告するだけのツールなのか、あるいはリスクの検証も行えるのか
• 全体像を把握するために、ほかのツールをどれだけ購入する必要があるのか

想定外の答えに驚くかもしれません。Flashpointでは、企業や組織が現実に即したオールインワンのインテリジェンス主導型CTEMを構築できるよう支援しています。今すぐデモをお申し込みいただき、高品質のインテリジェンスが効果的なCTEMプログラムの鍵であることを実感してください。

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。