Picus Security発表:「露出検証」で脆弱性対応を90%効率化 ─ Gartner推奨のCTEMアプローチとは

Picus Security発表:「露出検証」で脆弱性対応を90%効率化 ─ Gartner推奨のCTEMアプローチとは - innovaTopia - (イノベトピア)

Picus Securityの共同創設者兼研究部門副社長であるDr. Suleyman Ozarslanが、サイバーセキュリティにおける「露出検証(Exposure Validation)」の重要性について解説する記事を発表した。

この手法は以下の特徴を持つ:

  • 脆弱性の中から実際に脅威となるものだけを特定し、対処する
  • 自動化されたツールにより、数千の脆弱性を迅速に検証可能
  • 既存のセキュリティ対策で防御できる脆弱性を除外する

具体例として、ある金融サービス企業では1,000個の脆弱性のうち、検証の結果90%が既存の対策(NGFW、IPS、EDR)で防御可能であることが判明し、実際に対処が必要な重大な脆弱性は100個のみだったことが報告された。

この手法は、Gartnerが2024年の戦略的ロードマップで提唱する「継続的脅威露出管理(CTEM)」プログラムの重要な構成要素として位置付けられている。

実装ツールとして:

  • 侵害・攻撃シミュレーション(BAS)
  • 自動化された侵入テスト
  • レッドチーミング

が挙げられている。

from:A Sherlock Holmes Approach to Cybersecurity: Eliminate the Impossible with Exposure Validation

【編集部解説】

サイバーセキュリティの世界で、新しいアプローチが注目を集めています。それが「露出検証(Exposure Validation)」という手法です。この概念は、シャーロック・ホームズの推理手法になぞらえて説明されており、「不可能なものを除外した後に残るもの」に注目するという考え方です。

従来のセキュリティ対策では、発見された脆弱性すべてに対応しようとする傾向がありましたが、それは現実的ではありませんでした。実際、多くの脆弱性は既存のセキュリティ対策で防御可能であり、本当に対処が必要なものはごく一部なのです。

特に注目すべきは、この手法がGartnerの2024年戦略的テクノロジートレンドの2位にランクインしていることです。これは、AIに次ぐ高い評価であり、業界における重要性を示しています。

露出検証の革新的な点は、自動化された検証プロセスにあります。従来の手動による脆弱性検査では見落としや時間的な制約がありましたが、自動化によって数千もの脆弱性を迅速に検証できるようになりました。

この技術の実用性は、すでに実績として表れています。例えば、ある金融サービス企業では、1,000個の脆弱性のうち90%が既存の対策で防御可能であることが判明し、実際に対処が必要だったのはわずか100個でした。

しかし、この技術にも課題があります。特に重要なのは、正確な優先順位付けと、誤検知を最小限に抑えることです。また、組織全体でのセキュリティ意識の向上と、継続的なモニタリング体制の構築が不可欠です。

将来的には、AIとの統合によってさらなる進化が期待されます。特に、攻撃パターンの予測や、リアルタイムでの対応能力の向上が見込まれています。

この技術は、2026年までに導入企業のセキュリティ侵害リスクを3分の1に削減できると予測されています。これは、企業のセキュリティ投資の効率化という観点からも、非常に重要な意味を持っています。

【用語解説】

  • CTEM (Continuous Threat Exposure Management):
    継続的脅威露出管理。企業システムの健康状態を継続的にチェックし、セキュリティの脆弱性を早期発見・予防する仕組みです。
  • BAS (Breach and Attack Simulation):
    実際の攻撃を模擬的に再現し、セキュリティ対策の有効性を検証する技術です。
  1. Picus Security公式サイト(外部)
    セキュリティ検証のリーディングカンパニー。自動化された脆弱性診断ツールを提供
  2. Gartner Japan(外部)
    世界的なIT調査・アドバイザリー企業。CTEMの概念を提唱している

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Picus Security発表:「露出検証」で脆弱性対応を90%効率化 ─ Gartner推奨のCTEMアプローチとは