セキュリティ検証を自動化する時代が来た
また。
また、サイバー攻撃の手法が高度化し続ける中。従来の「脆弱性スキャンして終わり」というアプローチでは組織を守り切れなくなっている。そこで注目されているのが。
さらに、自動セキュリティ検証(ASV:Automated Security Validation)という新しいカテゴリのソリューションだ。
さらに、ASVは。
つまり、攻撃者の視点からセキュリティの穴を継続的に検証するアプローチだ。従来の脆弱性スキャナーが「理論上の脆弱性」を検出するのに対し。
そのため、ASVは「実際に悪用可能かどうか」まで踏み込んで検証する点が大きく異なる。
CTEMフレームワークとは
つまり。
具体的には、ガートナーが2022年に提唱したCTEM(Continuous Threat Exposure Management)は。組織のセキュリティ態勢を継続的に評価・改善するためのフレームワークだ。CTEMは5つのステージで構成される。
スコーピング:保護対象となるアセットとビジネスプロセスを特定する。外部公開資産だけでなく、SaaS環境やサプライチェーンも含めた広い視野が求められる。
ディスカバリー:脆弱性、設定ミス、アクセス権限の問題など、潜在的なリスクを洗い出す。ここでは従来の脆弱性スキャンに加え、攻撃面管理(ASM)ツールなども活用する。
プライオリタイゼーション:発見されたリスクに優先順位を付ける。CVSSスコアだけでなく、ビジネスへの影響度や実際の悪用可能性を考慮した判断が必要だ。
バリデーション:ここでASVが威力を発揮する。BAS(Breach and Attack Simulation)やペネトレーションテストの自動化によって、検出された脆弱性が本当に悪用可能か、既存の防御策が機能しているかを実証的に検証する。
モビライゼーション:検証結果に基づいて、修正作業を推進する。セキュリティチームだけでなく、IT運用チームや開発チームとの連携が不可欠だ。
ASVがCTEMに不可欠な理由
そのため。
たとえば、CTEMの中でバリデーション(検証)のステージは最も重要でありながら。多くの組織で手薄になっている部分だ。年に1〜2回の手動ペネトレーションテストでは。
なお、日々変化する攻撃面をカバーしきれない。
具体的には、ASVツールは、攻撃シナリオを自動的に実行し。
一方で、組織の防御が実際に機能するかを日常的にテストできる。たとえば。
ただし、新しいファイアウォールルールを追加した後に。
このように、意図通りに攻撃をブロックできているかを即座に検証できるわけだ。
また。
ASVの結果はプライオリタイゼーションの精度も高める。理論上は「重大」と評価される脆弱性でも。
実際にはネットワーク構成やセキュリティ制御によって悪用が困難なケースは多い。ASVによる実証的な検証があれば。
本当に危険なものから優先的に対処できる。
導入を検討する際のポイント
たとえば、ASVツールを選定する際は。自社環境との互換性。
テスト可能な攻撃シナリオの範囲、レポーティング機能。
そして既存のセキュリティツールとの統合性を確認すべきだ。主要なベンダーとしては。
Pentera、SafeBreach、AttackIQなどが知られている。
ただし。
ツールを導入すれば完了というわけではない。CTEMは継続的なプロセスであり。
検証結果を組織の改善サイクルに組み込む運用体制の構築が成功の鍵を握る。セキュリティは「状態」ではなく「プロセス」だという認識が。
これからの時代にはますます重要になるだろう。
あわせて読みたい:フィッシング攻撃の最新動向、Chrome拡張機能の危険性、Quick Shareの脆弱性