今日のサイバーセキュリティは複雑さによって定義されています。脅威はリアルタイムで進化し、AI生成マルウェア、自律型偵察、そしてかつてない速さで方向転換できる敵対者によって推進されています。
DarkTraceが世界中の1,500人以上のサイバーセキュリティ専門家を対象に実施した最近の調査によると、約74%がAIを活用した脅威が自組織にとって大きな課題であると答え、90%が今後1~2年でこれらの脅威が大きな影響を及ぼすと予想しています。
一方で、多くの組織はいまだに、より静的な世界を前提に構築された防御モデルで運用しています。これらの時代遅れのトレーニング環境はアドホックで、コンプライアンス重視であり、今日の絶えず変化するセキュリティリスクには適していません。
今、組織やサイバーセキュリティチームに必要なのは、時折行うシミュレーションから日常的な脅威情報に基づく実践への変革です。これは、断片的な役割からクロスファンクショナルなシナジーへ、リアクティブな防御から運用上のレジリエンスへの転換を意味します。
その変革の中心にあるのが「継続的脅威曝露管理(CTEM)」です。これはツールやプロジェクトではなく、組織が直面する脅威に合わせて進化できるようにするための規律です。
従来のモデルがもはや機能しない理由
年次のペネトレーションテスト、半年ごとのテーブルトップ演習、孤立したレッド対ブルーのイベントなど、従来型のトレーニングモデルはもはや十分ではありません。これらは可視性が限定的で、攻撃行動の範囲も狭く、持続的かつ戦略的な能力を構築することなく、単にコンプライアンスのチェックボックスを満たすだけの場合が多いのです。
さらに悪いことに、これらは敵対者が予測可能で不変であると仮定しています。しかしご存知の通り、AI生成マルウェアや自律型偵察によりハードルは上がっています。脅威アクターは今やより速く、創造的で、検知が困難になっています。
今日の攻撃者は回避型マルウェアを開発し、リアルタイムで変化する攻撃を仕掛ける能力を持っています。この進化する脅威環境に対応するためには、組織は戦術を変える前にまずマインドセットを転換しなければなりません。
CTEMを日常業務に組み込む
CTEMは根本的に異なるアプローチを提供します。これは運用上のレジリエンスを求めるものであり、チームが日々、防御態勢を体系的にテストし、洗練し、進化させ続けることを意味します。
これは大まかなシミュレーションではなく、個々の脅威環境に関連する個別の技術を対象とした、文脈に即したアトミックな演習によって行われます。また、これは一度に一つのサブテクニックごとに実施されます。チームは一つのシナリオに取り組み、反復し、洗練し、次へと進みます。
この精度の高さにより、組織は実際に重要な脅威、つまり自分たちの業界、インフラ、ビジネスロジックを狙う攻撃に対してトレーニングできるのです。また、継続的な学習リズムを生み出し、持続的なセキュリティ反射神経の構築にもつながります。
リアルタイム侵害シミュレーション:プレッシャー下でのトレーニング
CTEMが従来のテストと異なるのは、頻度だけでなく「本物らしさ」です。リアルタイム侵害シミュレーションは仮定の話ではありません。これらのシミュレーションは、実際の敵対行動やその強度、戦術を再現するよう設計されています。正しく実施されれば、実際の攻撃の巧妙さや激しさを忠実に反映します。
本物らしさはツールだけでなく、シミュレーションを設計する人にも由来することを忘れてはなりません。SOCチームが最新の脅威環境を常に把握していなければ、現実の脅威を再現することはできません。それがなければ、シミュレーションは単なる理論的演習に終わるリスクがあります。
これらの複雑なシナリオは防御をテストするだけでなく、チームがプレッシャー下でどのように協力するか、どれだけ速く脅威を検知できるか、対応プロトコルが実際の脅威行動に合致しているかを明らかにします。
フィードバックループとしての分析
シミュレーション後に何が起こるかは、演習自体と同じくらい重要です。シミュレーション後の分析ループは、何がうまくいき、何がうまくいかなかったか、どこにシステム的な弱点があるかについて重要な洞察をもたらします。
詳細なレポートは不可欠です。これにより、組織はスキル、プロセス、連携の問題を特定できます。検知の遅延、封じ込めの成功、カバレッジのギャップなど、具体的な内容と有意義な指標を学ぶことで、シミュレーションを実践的なインテリジェンスに変換できます。
同様の手法を用いた繰り返しの演習を重ねることで、進捗を正確に測定し、改善が定着しているか、さらなる洗練が必要かを判断できます。
CISOのための設計図:レジリエントなクロスファンクショナルチームの構築
CISOやセキュリティリーダーにとって、CTEMの導入は単にツールを増やすことではありません。文化、構造、戦略の実装が重要です。
これは、CTEMを組織のセキュリティプロトコルに組み込むための設計図です:
- 戦術的な脅威インテリジェンスを統合する。 トレーニングは実際の脅威インテリジェンスに基づく必要があります。現在の脅威環境と無関係なシナリオは、最良でも非効率、最悪の場合は誤解を招きます。
- レッドチームとブルーチームを継続的な協働で連携させる。 セキュリティはチームスポーツです。攻撃側と防御側の間のサイロは打破されなければなりません。知見の共有と反復的な洗練サイクルが不可欠です。
- 指導だけでなくシミュレーションに取り組む。 構造化されたトレーニングが基盤ですが、真の備えはサイバーインシデントのシミュレーションから生まれます。チームは、技術を知る段階から、ストレス下で運用環境の中で実行する段階へと進む必要があります。
- CTEMを日常的な規律として確立する。 CTEMは組織のDNAの一部であり、継続的なプロセスでなければなりません。これには組織の成熟度、専用のフィードバックループ、強力なプロセスオーナーシップが必要です。
- 学習を促進するために指標を活用する。 エビデンスに基づく反復は信頼できるデータに依存します。侵害シミュレーションから得られる分析は、スキル開発やツールのパフォーマンスに直接結びつけるべきです。
サイバーセキュリティトレーニングにおけるAIの役割
攻撃者がすでにAIを活用している一方で、防御側も注意深くAIを活用することができます。
AIは現実世界のトレーニングシナリオの代替にはなりません。ベストプラクティスのコンテンツ作成をAIだけに頼るのは誤りです。AIが得意なのは、コンテンツの提供を加速し、異なる学習者に適応し、体験をパーソナライズすることです。
また、個々人の弱点を特定し、実際のスキルギャップを埋めるカスタム学習パスへと導くこともできます。2026年には、AI主導のパーソナライズがプロフェッショナル開発の標準となり、学習者のニーズと最も関連性の高いシミュレーションやモジュールが一致するようになるでしょう。
ツールを超えて:CTEMを文化にする
最終的に、CTEMが成功するのは、それが機能や製品としてではなく、組織の日々の実践に織り込まれた規律として受け入れられたときです。
また、慎重な開発も必要です。レッドチームとブルーチームはオープンで透明性があり、連携していなければなりません。脅威をシミュレートするだけでは不十分です。セキュリティチームは、敵対者の強度に匹敵するシミュレーションを行い、実際の攻撃に耐えうる強い反射神経を構築する必要があります。
この道を選ぶ組織は、単にインシデントに素早く対応できるだけでなく、予測し、適応し、脅威と同じ速さで進化するレジリエンスを育むことができるでしょう。
Dimitrios BougioukasはHack The Boxのトレーニング担当副社長であり、世界中のサイバーセキュリティ専門家にミッション対応スキルを提供する高度なトレーニングイニシアチブと認定の開発を主導しています。
翻訳元: https://cyberscoop.com/continuous-threat-exposure-management-cybersecurity-ctem-ai-resilience/
