サイバーセキュリティ 
欧州連合 (EU) は、「主権、セキュリティ、信頼」
CTEMとは、企業のセキュリティ状況における「実際に悪用されうるリスク」に注目し、それを継続的に発見・分析・検証・対処していくプロセス全体を指します。Gartner社が定義し、戦略的アプローチとして普及を後押ししている概念で、単なる技術ではなく運用モデルとしての側面が強いのが特徴です。
サイバー攻撃の手口はますます巧妙化している中で、従来の脆弱性管理の枠を超え、より現実的かつ継続的に脅威を特定・評価・対処していく必要があります。
この記事では、従来の考え方の主流ASMとCTEMの違い、CTEMの導入で得られる効果、 CTEMを効果的にする施策をご紹介します。
CTEMとは?
CTEM(Continuous Threat Exposure Management/継続的脅威エクスポージャ管理)は、組織が抱える脅威やセキュリティ上の弱点を攻撃者の視点”で継続的に評価・検証・改善するアプローチです。単なる脆弱性の洗い出しではなく、それが「どれだけ現実的に悪用される可能性があるか」や「どの経路から攻撃が成立しうるか」を重視します。
Gartnerが提唱するCTEMは、5つのステージ(スコーピング、発見、優先順位付け、検証、モビライゼーション)から成り、リスクの特定から実際の対処までをサイクル的に実行する運用モデルです。CTEMは“検査”ではなく“継続的な防御力強化”を目指している点が特徴です。
サイバー攻撃の現状と新たな対策の必要性
サイバー攻撃の手口は年々進化しており、従来のセキュリティ対策だけでは十分に対応しきれない状況が続いています。特に近年は、既知の脆弱性だけでなく、設定ミス、構成の不備、過剰な権限といった気づかれにくいセキュリティギャップが、攻撃者の標的となるケースが増えています。
これまで多くの組織が採用してきたのは、システムやサービスの外部公開状況を棚卸しして可視化する「攻撃対象領域管理(ASM)」という手法です。ASMはリスクの所在を把握するうえで有効ですが、見えるだけでは「どれが実際に狙われやすいか」を判断することはできません。
そこで今、注目されているのが「継続的脅威エクスポージャ管理(CTEM)」という新しいアプローチです。CTEMでは、攻撃者の視点に立ち、実際に悪用される可能性の高いリスクに優先順位をつけ、必要に応じて攻撃シナリオを検証しながら、対処を進めていきます。
GartnerもこのCTEMを重要なセキュリティ戦略の1つと位置づけており、「CTEMに基づいてセキュリティ投資の優先順位を決定する組織は、そうでない組織と比較して2026年までに侵害を受ける可能性が3分の1に減少する」と予測しています。
従来の考え方の主流ASMとCTEMの違いとは?
従来の考え方の主流であるASMと、新しいアプローチであるCTEMの違いは、リスクの捉え方と対応の優先度にあります。
ここでは、そのCTEMとASMの詳しい考え方や特徴、それぞれの違いについてご紹介します。
| ASM(攻撃対象領域管理) | CTEM(継続的脅威エクスポージャー管理) | |
|---|---|---|
| フォーカス領域 | 攻撃対象領域(アタックサーフェス)の可視化 | 実際に悪用されうるリスクの特定と対処 |
| 目的 | 攻撃者に見える範囲を特定し、縮小・監視すること | 現実的なリスクを評価し、継続的に改善・対策すること |
| アプローチの特徴 | 静的・インベントリベース | 動的・リスクベース+攻撃者視点 |
| 検出対象 | 既知の資産・脆弱性 | 実際に攻撃に使われる可能性の高い経路や構成の弱点 |
| 運用サイクル | 定期的なスキャンや棚卸し中心 | 継続的かつリアルタイムでの検証・対処 |
| ガートナーでの位置づけ | 過去の主流アプローチ | 2022年にGartnerが提唱した次世代アプローチとして注目されている |
| 成果物/効果 | 攻撃対象領域の縮小、可視化 | 実際のリスク低減、攻撃シナリオの阻止 |
ASMとは?
ASM(Attack Surface Management/攻撃対象領域管理)は、組織のIT資産のうち外部からアクセス可能な領域や構成を把握・可視化し、脆弱性や設定ミスなどを発見することに特化した手法です。たとえば、誤って公開されているクラウドストレージ、過去の開発環境、放置されたドメインなどを洗い出すのに有効です。
ASMは“見える化”に重きを置いており、セキュリティ担当者に「どこにリスクがあるか」という全体像を提供する役割を担います。これにより、企業が抱える攻撃対象領域(アタックサーフェス)の広がりを把握し、潜在的な侵入口を整理することができます。ただし、検出された脆弱性にはCVSSスコアなどが付与されるものの、それらのリスクが“本当に攻撃に使われるか”までは評価しない点には注意が必要です。
ASMとCTEMの違い
ASMとCTEMの最大の違いは、「評価の深さ」と「対応へのつなげ方」です。ASMは何が存在するかを可視化するのが目的ですが、CTEMは何が実際に攻撃されるのか”を絞り込み、優先順位をつけて対処します。つまり、ASMは広範な攻撃対象領域を可視化する役割に対し、CTEMは、可視化された情報をもとに、実際に攻撃に利用される可能性のある経路を特定し、重点的に対応を進めるための判断基盤を提供します。
また、CTEMは単なる“評価”ではなく“改善”まで含む継続的プロセスである点でも、運用面における進化系といえます。ASMの情報を起点に、CTEMが優先順位と実行力を与えることで、より現実的かつ効果的なセキュリティ強化の判断と対応の実行を支援します。
CTEMの5つのステージとその役割
継続的なセキュリティ強化を実現するために、CTEMは5つのステージを通じて組織のリスクを把握・評価・対処していきます。以下のようなサイクル構造によって、リスクの「可視化」から「対応」までを継続的かつ現実的に進めるのが、CTEMの特徴です。
スコーピング(Scoping)
最初のステージでは、「何を対象とするか」を明確に定義します。たとえば、社内ネットワーク全体を対象にするのか、特定のクラウド環境やシステムだけに限定するのかなど、スコープを設定することで、効率的かつ実践的な分析が可能になります。組織のビジネス優先度やセキュリティ目標に合わせて対象範囲を決めることが重要です。
発見(Discovery)
次に、設定された範囲内でどのような情報資産やシステムが存在しているのかを洗い出します。これにはサーバー、ネットワーク機器、アプリケーション、アカウント情報などが含まれ、既存のインベントリと照らし合わせながら、未把握の要素も含めて網羅的に確認します。外部から見えるものだけでなく、内部環境の構成や依存関係も含めて調査します。
優先順位付け(Prioritization)
発見されたリスクや弱点の中で、実際に攻撃される可能性が高く、かつ影響が大きいものを特定して、対応の優先度を決定します。ただ単にスコアの高い脆弱性ではなく、攻撃者にとって現実的か、既知の攻撃手法と結びつくか、といった視点が重要です。これにより、限られたリソースで最大の効果が得られる対策が可能になります。
検証(Validation)
優先度の高いリスクについては、実際にどのような攻撃が可能なのかを検証します。ペネトレーションテストやレッドチーム演習などを通じて、理論上の問題点が現実に悪用できるかを確認します。
モビライゼーション(Mobilization)
最後のステージでは、検証結果に基づいて関係部門と連携し、リスクへの具体的な対処を実施します。脆弱性の修正、設定変更、従業員の教育など、現実的なアクションに落とし込むことで、セキュリティの実効性を高めます。また、このステージでの対応が次のサイクルに活かされ、継続的な改善へとつながります。
CTEMの導入で得られる効果とは?
CTEM(継続的脅威エクスポージャ管理)は、単にリスクを洗い出すだけでなく、組織のセキュリティ対策全体をより戦略的・効率的に進化させる仕組みです。ここでは、CTEMを導入することで得られる主な効果を5つの観点からご紹介します。
攻撃対象領域の最小化
CTEMでは、継続的にネットワークやシステム構成を監視・分析し、不要な公開設定や使われていない資産、放置されたユーザーアカウントなどを特定・整理します。これにより、攻撃者に狙われるアタックサーフェイスを着実に減らすことができ、ゼロトラストの原則に基づいたセキュリティ体制の強化を実現します。
リスク対応の優先順位と自動化
多くの組織が抱える課題の一つに、「脆弱性の山に埋もれて、何から対処すべきかわからない」という現実があります。
CTEMでは、検出されたリスクについて、CVSSスコアなどの深刻度の数値に頼るのではなく、攻撃の成立可能性・悪用経路の存在・業務への影響度といった複数の軸で評価を行い、優先度を明確化します。
リスクや現状を可視化
CTEMの価値のひとつは、単なる“リスト化”ではなく、攻撃シナリオに基づいた動的なリスク可視化にあります。どの資産がどの脆弱性とつながっており、どのような手順で攻撃が成立しうるのかを図式化・ストーリーベースで提示することで、セキュリティ担当者だけでなく、経営層や関連部門の理解も得やすくなります。
この可視化により、従来は属人化しがちだったセキュリティ運用の状況を誰でも理解できる形で共有できるようになり、インシデント対応計画や予算配分の意思決定にも良い影響を与えます。
チーム負荷の軽減
日々発生するセキュリティアラートや脆弱性情報に対して、すべてを人力で精査・対応するのは現実的ではありません。CTEMを導入することで、「すぐに対応すべき問題」と「後回しでもよい問題」の選別が可能になり、担当者の認知的負荷や作業量が大幅に軽減されます。
他のセキュリティソリューションとの連携強化
CTEMは単体で完結する仕組みではなく、既存のソリューション製品群と連携することで、その効果を最大限に引き出すことができます。
たとえば、SIEMと連携すれば複数のログやアラートの関連性を分析して攻撃の兆候を早期に察知できます。さらに、EDRと統合することで端末上の脅威に対しリアルタイムに自動対応できるようになり、パッチ管理やチケット発行システムとの連携により対応プロセスの自動化も実現できます。
加えて、PAM(特権アクセス管理)との連携も非常に有効です。攻撃者が内部侵入後に特権を持つアカウントに権限昇格を狙うケースは多いため、CTEMの結果をもとに特権アクセスの経路やアカウントを特定し、PAMでアクセスの制御や監査することで、リスクの実効的な封じ込めが可能になります。
CTEMとPAMの相乗効果
サイバー攻撃の多くは、初期侵入後に権限の奪取を通じて、その後内部システムから水平展開し、全体へと拡大させます。そのため、CTEMによる脅威の継続的な可視化と、PAMによるアクセス制御を組み合わせることで、セキュリティ対策はより実効性の高いものとなります。例えば、以下のような相乗効果があります。
特権アクセスの可視化と制御によるリスク低減
CTEMは、どのシステムが攻撃対象となりやすいか、どの経路で攻撃が進行しうるかを明らかにする役割を担いますが、その中でも特権アカウントの存在は極めて重要なリスク要因です。攻撃者が侵入後に最初に狙うのは、管理者権限を持つアカウントや過剰なアクセス権限を持ったIDやアカウントです。
ここでPAMを活用することで、こうした特権アクセスの分布や利用状況を可視化し、不必要な権限や共有アカウント、退職者などの長期間使用されていないアカウントを検出・制御できます。たとえば、CTEMで特定された高リスクのサーバーやアプリケーションに対して、誰がいつアクセスしているかをPAM側で記録・監査し、疑わしい振る舞いがあれば即座にアラートを発することも可能です。
このように、CTEMのリスク評価結果をPAMのアクセス制御に反映させることで、権限昇格や内部不正のリスクを大幅に低減できます。
ゼロトラストモデルと連動した防御体制
ゼロトラストの基本原則は、何も信用せずに常に検証するですが、CTEMとPAMの連携はこのモデルを実践する上で非常に有効です。CTEMは、環境の継続的な監視と脅威の特定を通じて、常に「信頼できない状況」を前提としたセキュリティ運用を推進します。
一方PAMは、システムへのアクセス時に都度、認証・認可を求める仕組みであり、最小権限の原則やセッションの監視、制御を通じて、不正なアクセスを未然に防ぎます。
この2つが連携することで、CTEMで見つかった新たな脆弱性や構成ミスに応じて、特権アクセスのルールを即座に更新・制限するなど、動的かつ適応型のゼロトラストセキュリティ体制が実現をサポートします。
実践的なセキュリティ運用の基盤
セキュリティチームにとって、「何が脅威か分かっても、それにどう対応するか」が課題になることは少なくありません。
CTEMは脅威の可視化と優先順位付けを担いますが、実際の対応フェーズにおいてPAMが担う役割は極めて重要です。
たとえば、CTEMによって特定されたリスクに対して、関連する管理者アカウントのアクセスを一時的にロックしたり、アクセスログをモニタリングしたりといった対応をPAMで即時に実行できます。さらに、これらの操作履歴や監査レポートは自動的に保存されるため、対応状況の可視化と証跡管理が容易になり、監査やコンプライアンス対応にも有効です。
CTEMとPAMは、それぞれが「気づき」と「制御」の役割を果たし、両者を統合することで、脅威への検出・判断・対応というセキュリティ運用のサイクルをスムーズかつ継続的に回すことができるようになります。
CTEM×PAMで実現する次世代セキュリティ
これからのセキュリティ対策に必要なのは、単にリスクを可視化するだけでなく、実際に狙われる可能性の高い脅威を見極め、迅速かつ的確に対応できる体制を整えることです。CTEMはその判断力と優先順位づけを担い、PAMは実行段階でのアクセス制御と防御を支えます。
この2つを組み合わせることで、脅威の検出から制御、改善までを継続的に循環させる、より現実的で高度なセキュリティ運用をよりサポートできます。
そこで、例えば、KeeperPAMのような次世代型の特権アクセス管理ソリューションであれば、特定のリスクに関連するアカウントやシステムへのアクセスを即座に制御でき、詳細な監査ログの記録やセッションの可視化も可能です。これにより、CTEMで特定された脅威に対して迅速かつ確実なアクションを実行に移すことができ、組織全体の対応力と防御力を大幅に高めることができます。
KeeperPAMのデモをリクエストして、自社の運用環境でどのように特権アクセスを可視化・制御できるかをご確認ください。
