継続的な脅威エクスポージャー管理(CTEM)とは？ASMとの違いや重要なステップを徹底解説

クラウド利用やリモート ワークの普及により、企業が直面する攻撃対象領域はかつてない規模に拡大しています。脆弱性は絶え間なく発見され、攻撃手法も高度化しているため、従来の「定期的なスキャンと修正」だけでは不十分です。こうした背景のもと注目されているのがCTEM (継続的な脅威エクスポージャー管理)です。

CTEMは単なる脆弱性管理にとどまらず、リスクの特定から優先順位付け、検証、実行までを一連のサイクルとして継続的に行うことで、常に最新の脅威環境に対応できる態勢を築きます。

本記事ではCTEMの概要やASMとの違い、活用例などを解説します。

CTEMとは

CTEM (Continuous Threat Exposure Management)は、大手調査会社Gartnerが提唱する新しいセキュリティ アプローチです。これは、潜在的な脅威を継続的に発見し、そのリスクを評価、優先順位付けし、防御策の実施と有効性の検証までを一連のサイクルとして行うセキュリティ プログラムを指します。

継続性と検証に重点を置き、単に発見と修正を繰り返すのではなく、導入した対策が現実的な攻撃シナリオに耐えられるかを検証し、結果に基づいて改善を重ねます。この継続的なサイクルにより、組織はリスクを先回りして低減し、セキュリティ態勢を動的かつ実践的に進化させることができます。

また、CTEMはゼロトラスト アーキテクチャー(ZTA)を実践する上で、極めて重要な役割を担います。ゼロトラスト アーキテクチャーを構成する主要な柱の中で、CTEMは特に「可視化と分析(Visibility and Analytics)」の機能に相当します。アイデンティティー、デバイス、ネットワーク、アプリケーション、データといった他の柱から情報を収集し、横断的に分析することで、組織がどこに、どのような脅威にさらされているのか(エクスポージャー)を明らかにします。これにより、ゼロトラスト戦略全体の有効性を継続的に検証し、改善していくことが可能になります。

ASMとの違い

CTEMと混同されやすい概念に、ASM (アタック サーフェス管理）があります。両者は密接に関係していますが、ASMが主に「攻撃対象の可視化」に特化するのに対し、CTEMはその結果を基に「リスク評価」「対策」「検証」「改善」までを継続的に実行する包括的な取り組みです。

つまり、CTEMはASMを内包するより広範な戦略的枠組みといえます。具体的には、後述するCTEMの5つのステップのうち、ASMは主に「Discovery (脅威や脆弱性の発見、検出)」のフェーズを担う重要な要素と位置付けられます。

CTEMで重要なステップ

CTEMのプロセスは以下の5つのステップで構成されます。

• Scoping (対象範囲の設定)
• Discovery (脅威や脆弱性の発見、検出)
• Prioritization (脅威の優先順位付け)
• Validation (脅威対策の有効性の検証)
• Mobilization (対策の実践)

以下、順に解説します。

Scoping (対象範囲の設定)

最初のステップは、監視対象となる資産やシステムを明確化することです。保護すべき重要なデータ、アプリケーション、ユーザーを特定し、取り組みの目的と範囲を明確化したうえで、CTEMを組織全体のリスク管理戦略やゼロトラスト アーキテクチャーと整合させます。

適切な範囲設定が行われていないと、重要なリスクを見落としたり、逆に不要な範囲にリソースを過剰投入したりする原因となります

Discovery (脅威や脆弱性の発見、検出)

定義した範囲に基づき、既存の脆弱性や設定不備、潜在的な攻撃経路を特定します。このプロセスでは、外部公開されたサービスだけでなく、内部ネットワークの構成やアイデンティティー管理の欠陥にも注目します。
このステップでは、CAASM (Cyber Asset Attack Surface Management)による網羅的な資産の棚卸しや、EASM (External Attack Surface Management)による外部公開資産の継続的な監視、そして統合脆弱性管理といったアプローチが中心となります。

ASMツールや自動スキャンを活用し、環境全体のセキュリティ ギャップを明確に把握することが重要です。

Prioritization (脅威の優先順位付け)

発見したリスクをすべて同時に修正するのは現実的ではありません。CTEMでは、悪用(エクスプロイト)の可能性や業務への影響度を評価し、最も危険度の高い領域に対策を集中します。特に、ラテラル ムーブメントやアイデンティティー侵害のリスクは、優先度の高い対象として扱われます。

このステップでは、最新の脅威インテリジェンスを活用して「実際に攻撃者に狙われやすい脆弱性か」を判断したり、ビジネス インパクトに基づいたリスク定量化を行ったりすることで、単なる技術的な深刻度(CVSSスコアなど)だけでなく、「自社にとって本当に危険な脅威は何か」を明らかにします。

Validation (脅威対策の有効性の検証)

次に、実際の攻撃条件を模した環境で、対策が有効に機能するかを検証します。攻撃シミュレーションや侵入テストを通じて、リスクが単なる理論上のものではなく、現実的な脅威であることを確認します。
この検証フェーズでは、BAS (Breach and Attack Simulation)のような技術を用いて、導入したセキュリティ制御が想定どおりに機能するかを自動でテストします。また、継続的な脅威ハンティングを通じて、防御をすり抜けた脅威が存在しないかを確認することも、有効性の検証に含まれます。

これにより、セキュリティ ポリシーやゼロトラスト制御の妥当性を、現実の攻撃シナリオを想定して検証します。

Mobilization (対策の実践)

最後に、優先順位付けされたリスクに対処するための具体的な改善策を展開します。パッチの適用、アクセス制御の強化、ネットワークのセグメント化、ポリシーの改善などが含まれます。
このステップの鍵は、発見から修復までのプロセスを効率化、自動化することです。具体的な脅威管理のワークフローを確立し、ITSMツール (ServiceNowなど)と連携して担当者にチケットを自動割り当てするなど、組織横断で迅速に対応できる体制を構築します。

単発的な対応に終わらせず、継続的な監視と適応を組み合わせて、セキュリティ態勢を動的に強化していきます。

CTEMの活用例

CTEMは、組織が直面する多様なリスクに対して効果を発揮します。代表的なケースとして、以下のようなものが挙げられます。

• アイデンティティー管理の不備防止

  Discoveryで権限設定の誤りや不要なアカウントを継続的に検出し、攻撃に悪用された際のインパクトに基づいてPrioritizationを行います。これにより、特権昇格や内部不正といったアイデンティティー起点の侵害リスクを未然に防ぎます。

• 意図しない公開資産の管理

  EASMやCAASMのアプローチを用いて、開発者がテスト目的で公開したサーバーや、管理されていないクラウド ストレージなどをDiscoveryで可視化します。攻撃の初期侵入口となり得るこれらの資産をPrioritizationして修正することで攻撃対象領域を縮小します。

• ラテラル ムーブメントの防止

  侵入後にネットワーク内部で水平方向に広がる攻撃経路をDiscoveryし、その経路上に存在する脆弱性や設定不備を優先的に修正します(Prioritization)。さらに、攻撃シミュレーションで対策の有効性を検証(Validation)することで、万一侵入された際の被害拡大を阻止します。

• ゼロトラスト制御の検証

  NISTが提唱する「暗黙の信頼を置かず、すべてのアクセス要求を都度、動的に検証する」というゼロトラストの基本原則が、実際の環境で有効に機能しているかをValidationします。攻撃シミュレーションを通じて、ポリシーの設定ミスや検知漏れといった、防御策が想定どおりに機能していない箇所を発見し、必要に応じてアクセス制御ポリシーを改善することで、セキュリティ投資の効果を最大化します。

このようなサイクルを継続的に回すことで、組織は攻撃者に狙われる隙を排除し、セキュリティ態勢を常に最新かつ強固な状態に保つことができます。

まとめ

CTEMは、従来の脆弱性管理を進化させたフレームワークです。攻撃対象領域を継続的に監視し、脅威を発見して優先順位を付け、対策を検証、実行するサイクルを繰り返すことで、組織は変化し続ける脅威環境に先手を打つことができます。

ASMが「可視化」に重点を置くのに対し、CTEMはそこから一歩進み、ビジネス リスクに基づいた優先順位付けと、対策の有効性検証までを行うことで、限られたリソースをより重要な脅威への対応に活かすことができます。

攻撃者の視点で自社の弱点を継続的に洗い出し、修正し、検証するといったプロアクティブな取り組みが、変化し続ける脅威環境への対応力を高めるうえで有効です。

CTEMの導入は、単なるセキュリティ強化にとどまらず、変化に柔軟に対応できる事業基盤を支える重要なステップとなるでしょう。

ZscalerのCTEM: コンテキストベースで事前対応型セキュリティを実現

Zscalerは、CTEMフレームワークを実践するための、独立しつつも相互に連携するソリューション群を提供します。これらはすべて、Zscalerとサードパーティーのセンサーから情報を集約する共通のデータ ファブリックを基盤としており、それぞれがCTEMの重要なステップを担います。

• 資産エクスポージャー管理 (AEM) —　何を持っているかを可視化(Discovery)

  CTEMの出発点は、自社の攻撃対象領域を正確に把握することです。AEM (Asset Exposure Management)は、CAASMソリューションとして、組織が保有するあらゆる資産を網羅的に棚卸しし、「何があり、どこに公開されているか」を完全に可視化します。また、AEMはデバイスのポスチャー情報(OSのバージョンやセキュリティ ソフトの有無など)も収集します。この情報は、後の「対策の実践」フェーズで動的なアクセス制御を行うための重要なインプットとなります。

• 統合脆弱性管理 (UVM) — どこに問題があるかを特定(Discovery & Prioritization)

  次に、UVM (Unified Vulnerability Management)が、複数の脆弱性スキャナーから得られる膨大な結果を統合、正規化します。さらに、Zscalerの脅威インテリジェンスやAEMから得た資産の重要度といったコンテキスト情報を加え、単なるCVSSスコアに頼らず、「実際に攻撃される可能性が高く、ビジネス インパクトの大きい脆弱性」を特定。継続的な可視化とリスクの優先順位付けを支援します。

• Risk360とサイバー リスク定量化(CRQ) — ビジネスにどれだけの影響があるかを提示(Prioritization)

  Zscaler Risk360は、AEMとUVMが提供する技術的なリスク情報を基に、サイバー リスク定量化(CRQ)を行います。特定のリスクがビジネスに与える潜在的な金銭的影響を算出し、経営層にも理解しやすい形で提示します。これにより、セキュリティ リーダーはデータに基づいた投資判断を行い、対策の優先順位を明確に説明できるようになります。また、Risk360は外部から見える資産を継続的に監視するEASMの機能も内蔵しています。

• 対策の実践(Mobilization) — Zero Trust Exchangeによる即時防御

  ZscalerのCTEMアプローチが他と一線を画すのは、この分析結果を即座に防御策に反映できる点にあります。Zscaler Zero Trust Exchange™プラットフォームとネイティブに統合されているからこそ、たとえば、UVMで発見された重大な脆弱性を持つサーバーへのアクセスをZPA™️ (Zscaler Private Access™️)のポリシーで即座に遮断したり、AEMで「EDRがインストールされていない」と判断されたデバイスからのアクセスを、そのポスチャー情報(デバイス スコア)に基づいて動的に制限したりすることが可能です。

このように、Zscalerは「発見」から「優先順位付け」、そして「対策の実践」までを単一のプラットフォーム上でシームレスに完結させ、真のプロアクティブなセキュリティ態勢を実現します。

サイバーセキュリティの未来を今すぐご体験ください。デモを依頼して、ZscalerのCTEMソリューションによって組織のセキュリティ態勢をどのように変革できるかをご確認ください。