導入: セキュリティは転換点にある#
セキュリティオペレーションセンター(SOC)は、境界ベースの考え方、既知の脅威、管理可能なアラートボリュームによって定義された異なる時代のために構築されました。しかし、今日の脅威の状況はそのルールに従いません。膨大な量のテレメトリー、重複するツール、自動化されたアラートが、従来のSOCを限界に追いやっています。セキュリティチームは圧倒され、しばしば無意味な指標を追いかける一方で、実際のリスクはノイズの中で見過ごされています。
私たちが直面しているのは、可視性の問題ではなく、関連性の問題です。
そこで登場するのが継続的脅威露出管理(CTEM)です。すでに起こったことに反応する検出中心のオペレーションとは異なり、CTEMは「なぜそれが重要なのか」に焦点を移します。アラートに反応するのではなく、ターゲットを絞った証拠に基づく行動でリスクを管理する方向への移行です。
アラート中心のセキュリティの問題#
SOCの本質は、監視エンジンです。ファイアウォール、エンドポイント、ログ、クラウドシステムなどからの入力を消化し、ルールや検出に基づいてアラートを生成します。しかし、このモデルは現代の環境では時代遅れで欠陥があります:
- 攻撃者は、小さく見過ごされがちな脆弱性を組み合わせて、最終的に不正アクセスを得ることでレーダーの下に留まります。
- ツールの重複がアラート疲れと矛盾するシグナルを生み出します。
- SOCアナリストは、ビジネスの文脈を欠いた潜在的なインシデントを整理し評価しようとして燃え尽きます。
このモデルは、すべてのアラートを潜在的な緊急事態として扱います。しかし、すべてのアラートが同等の注意を要するわけではなく、多くは注意を要しません。その結果、SOCは多くの方向に引き裂かれ、優先順位がなく、価値ではなくボリュームを解決することになります。
CTEM: 監視から意味へ#
CTEMは、セキュリティオペレーションを継続的な露出駆動のアプローチとして再構築します。アラートから始めて逆行するのではなく、CTEMは次の質問から始めます:
- 私たちの環境で最も重要な資産は何ですか?
- 攻撃者がそれらに到達するために使用できる実際の経路は何ですか?
- どの露出が今すぐ悪用可能ですか?
- その経路に対する私たちの防御はどれほど効果的ですか?
CTEMはツールではありません。それはフレームワークであり、潜在的な攻撃経路を継続的にマッピングし、セキュリティコントロールの有効性を検証し、理論的な脅威モデルではなく実際の影響に基づいて行動を優先する規律です。
これはSOCを放棄することではありません。それはその役割を過去の監視から次に何が起こるかを予測し防ぐことに進化させることです。
このシフトが重要な理由#
CTEMの急速な拡大は、企業がセキュリティ戦略にアプローチする方法における深い変革を示しています。CTEMは、妥協の兆候を監視するだけでなく、妥協を可能にする条件を排除することによって、リスクを削減する動的な露出管理に焦点を移します。
以下のポイントは、CTEMが単なるより良いセキュリティモデルではなく、より賢く、より持続可能なものである理由を示しています。
1. 露出と疲弊#
CTEMはすべてを監視しようとはしません。それは実際に露出しているものと、その露出が害を及ぼす可能性があるかどうかを特定します。これによりノイズが大幅に減少し、アラートの精度が向上します。
2. 技術的な混乱よりビジネスの文脈#
SOCはしばしば技術的なサイロで運営され、ビジネスにとって重要なことから切り離されています。CTEMは、データ駆動のリスクコンテキストをセキュリティの意思決定に注入し、実際の攻撃経路に隠された脆弱性がどのように機密データ、システム、収益ストリームに導くかを示します。
3. 反応より予防#
CTEMモデルでは、露出は悪用される前に軽減されます。事後にアラートに対応するために急ぐのではなく、セキュリティチームは攻撃経路を閉じ、セキュリティコントロールの有効性を検証することに集中しています。
これらの原則は、CTEMがなぜ基本的な心構えの変化をもたらしたのかを反映しています。真に露出しているものに焦点を当て、リスクをビジネスの成果に直接関連付け、予防を優先することで、CTEMはセキュリティチームがより明確さ、精度、目的を持って運営し、測定可能な影響を促進するのを支援します。
実際にCTEMがどのように見えるか#
CTEMを採用する企業は、使用するセキュリティツールの数を減らすことはないかもしれませんが、それらを異なる方法で使用します。例えば:
- 露出の洞察がパッチの優先順位を導き、CVSSスコアではありません。
- 攻撃経路のマッピングと検証がコントロールの有効性を知らせ、一般的なポリシー更新ではありません。
- 自動化されたペンテストや自律的なレッドチーミングのような検証演習は、実際の攻撃者が貴重なデータやシステムに到達できるかどうかを確認し、コントロールが「オン」であるかどうかだけではありません。
この基本的な戦略の変化により、セキュリティチームは反応的な脅威評価からターゲットを絞ったデータ駆動のリスク削減にシフトし、すべてのセキュリティ活動が潜在的なビジネスの影響に結びつくようになります。
CTEMとSOCの未来#
多くの企業では、CTEMはSOCと並行して存在し、より質の高い洞察を提供し、アナリストを実際に重要なことに集中させます。しかし、先進的なチームでは、CTEMが新しいSOCとなり、単に運用上だけでなく哲学的にも変わります。それはもはや監視に基づく機能ではなく、妨害に基づく機能です。つまり:
- 脅威の検出が脅威の予測になります。
- アラートキューが文脈に基づいた優先リスクになります。
- 成功はもはや「侵害を時間内に捕まえた」ではなく、「侵害がそもそも経路を見つけられなかった」です。
結論: ボリュームから価値へ#
セキュリティチームは、より多くのアラートを必要としているのではなく、より良い質問を必要としています。彼らは何が最も重要で、何が本当にリスクにさらされているのか、そして何を最初に修正すべきかを知る必要があります。CTEMはこれらの質問に答えます。そしてそれによって、現代のセキュリティオペレーションの目的を再定義し、より速く対応するのではなく、攻撃者の機会を完全に排除します。
すべてを監視することから、重要なものを測定することにシフトする時が来ました。CTEMは単なるSOCへの強化ではありません。それはSOCがなるべき姿です。
翻訳元: https://thehackernews.com/2025/06/ctem-is-new-soc-shifting-from.html