脅威エクスポージャーリスク：技術リスク × ビジネスリスクの統合評価

脅威エクスポージャーリスクとは

脅威エクスポージャーリスク（Threat Exposure Risk、TER） は、PentaTrail/CTEM が採用するリスク評価フレームワークです。技術的な脅威の深刻度とビジネスへの影響度を統合し、組織が直面する 真のリスク を定量化します。

従来のセキュリティ評価は技術的な深刻度に偏りがちでした。これに対し TER は 経営視点でのリスク判断 を可能にします。

従来のリスク評価の課題

技術偏重

CVSS スコアだけでは、脆弱性のビジネスへの影響を判断できません。たとえば CVSS 10.0 の脆弱性が非公開のテスト環境にある場合と、CVSS 6.0 の脆弱性が顧客データを扱う本番システムにある場合では、後者のほうが実害につながります。

サイロ化

セキュリティチームは技術的なリスクを評価し、経営層はビジネスリスクを判断する。この 2 つの視点が分断されていると、適切な意思決定はできません。

優先順位の混乱

複数のスコア（CVSS、EPSS、Evidence Grade など）を並列で表示すると、「結局何から手を付けるべきか」が不明確になります。

PentaTrail における TER の構成

TER は TDL（脅威ディスカバリレベル） と BI スコア（ビジネスインパクト） を組み合わせて算出します。

第 1 軸: TDL（Threat Discovery Level）

TDL は脆弱性を 5 段階のレベルに離散化した指標です。tdl5 が最重要、tdl1 が軽微です。

ベース TDL は CVSS と EPSS から算出します。

条件	TDL
CVSS ≥ 9 かつ EPSS ≥ 0.1	tdl5
CVSS ≥ 9	tdl4
CVSS ≥ 7 かつ EPSS ≥ 0.1	tdl4
CVSS ≥ 7	tdl3
CVSS ≥ 4 かつ EPSS ≥ 0.1	tdl3
CVSS ≥ 4	tdl2
EPSS ≥ 0.1	tdl2
その他	tdl1

実効 TDL は、ベース TDL に以下の 3 つの補正を加えて決定します。

Evidence Grade 補正

Evidence Grade は 検出エビデンスの品質 を A/B/C/D の 4 段階で表す指標です。多重ソースから検出された所見や、能動検証で確認済みの所見は Grade A（最高）となります。一方、外部 CVE 情報だけが根拠の所見は Grade C/D 扱いです。TDL は Grade に応じて最大 3 段階引き下げられ、誤検知の影響を抑えます。

AIディープスキャン結果の反映

PentaTrail は AIディープスキャンで脆弱性の存在を能動的に確認します。スキャン結果は TDL に双方向で反映されます。

確認できた所見: Evidence Grade A 扱いとなり、高優先度を維持します
確認できなかった所見: TDL を 1 段階引き下げます。「外部から到達できない、または既に修正されている可能性が高い」と判断し、対応の緊急度を下げる仕組みです

KEV ブースト

KEV（Known Exploited Vulnerabilities）は、米国 CISA が 実際の攻撃で悪用された脆弱性 を集約したカタログです。KEV 該当の所見は机上のリスクではなく、既知の攻撃手段が存在する 脅威となります。このため TDL は 1 段階引き上げられ、優先度が強調されます。

実効 TDL は最終的に tdl1〜tdl5 にクランプされます。Evidence Grade・AIディープスキャン結果の反映・KEV ブーストの詳細は、それぞれ別記事で解説する予定です。

第 2 軸: BI スコア（ビジネスインパクト）

BI スコアはアセットの事業上の重要度を 5〜13 の整数で表します。タグ未設定のアセットは初期値の 9 となります。

実装は次の 3 軸の合算です。

軸	値の範囲	例
purpose（用途）	1〜5	公開システム=5、社内専用=2、退役済み=1
data_classification（データ分類）	3〜5	個人情報・決済情報・機密=5、公開のみ=3
availability（可用性）	1〜3	mission_critical=3、業務時間のみ=2、停止可=1

合計の最小値は 5（最小用途 + 公開のみ + 停止可）、最大値は 13（公開システム + 機密データ + 24 時間稼働）です。

統合: TER バンド

TER は TDL と BI スコアの組み合わせを 5 段階のバンド（S/A/B/C/D）に分類します。

TDL \ BI	1〜5（低）	6〜10（中）	11〜13（高）
tdl5〜tdl4（高 TDL）	B	A	S
tdl3〜tdl2（中 TDL）	C	B	A
tdl1（低 TDL）	D	C	B

バンドの意味

バンド	対応目安	例
S - Critical	24 時間以内に対応	基幹システムの RCE（KEV 該当）
A - High	1 週間以内に対応	顧客システムの高リスク脆弱性
B - Medium	1 ヶ月以内に対応	社内システムの中リスク脆弱性
C - Low	次回パッチサイクル	低 BI 環境の低リスク脆弱性
D - Info	モニタリング	最小 BI 環境の軽微な所見

TER マップ — リスク態勢を一目で把握する

TER バンドの算出ロジックが分かっても、それだけでは「いま自社が S・A バンドを何件抱えているか」「それがどのアセットに集中しているか」は見えません。PentaTrail はこの全体像を TER マップ（脅威エクスポージャーマップ）として描画します。

マップを開く場所

TER マップはダッシュボードの Executive Dashboard と Mobilization 画面の双方に表示されます。最初は縮小されたミニマップとして表示され、クリックで拡大されます。マップ上のドット 1 つが「あるアセットで検出された 1 件の所見」に対応します。

マップの見方

TER マップは 2 軸の散布図 です。

軸	意味
横軸（X）	BI スコア（5〜13、高いほど重要資産）
縦軸（Y）	実効 TDL（tdl1〜tdl5、上に行くほど深刻）
色	TER バンド（S/A/B/C/D、色覚多様性に配慮）

背景には 3×3 のグリッドが薄く描かれます。右上のセルに集まったドットほど S バンド寄り（基幹資産で深刻な脅威）、左下のセルに集まったドットほど D バンド寄り（最小 BI 環境の軽微な所見）として分類されます。

ドットを hover すると、その所見の CVE / 対象 FQDN / BI スコア / 実効 TDL / バンド / Evidence Grade / 担当グループ / アセットタグが詳細に表示されます。マップ上で「右上に何が密集しているか」を確認した後、ドット単位で「具体的にどのアセットでどの脆弱性か」へ即座に降りられます。

経営層への意味

TER マップは「セキュリティ態勢のレントゲン写真」のようなものです。

右上に密集している → 重要資産で深刻な脅威を抱えている → 優先対応領域が明確
散在している → リスクが広く薄く分散している → 体系的な底上げが必要
左下に偏在している → 既に対応済みか残課題は軽微 → 健全な態勢

経営層向けの報告では、各バンドの件数推移（前週比）と KEV 該当件数を併記することで、「どのレベルのリスクが増減しているか」を非専門家でも把握できます。

CTEM フレームワークとの関係

TER は CTEM の 5 フェーズの中で、特に Prioritization（優先順位付け） に該当します。

Scoping: 保護対象の定義 → BI スコアの設定
Discovery: 資産と脆弱性の発見 → CVSS / EPSS / Evidence Grade の取得
Prioritization: TER の算出 → ここ
Validation: 高リスク項目の検証
Mobilization: 対応の推進

経営層への報告

TER の最大の利点は、経営層が理解できる形でリスクを表現 できることです。

報告例

「Critical（S バンド）の脅威が 3 件あり、すべて基幹 EC システムに集中しています」
「先月比で High（A バンド）以上の脅威は 40% 減少しました」
「新規発見された脆弱性のうち、ビジネス影響が大きいものは 12 件です」

技術用語を避けつつ、アクションに直結する情報を提供できます。

まとめ

TER は技術リスクとビジネスリスクを統合する「共通言語」です。セキュリティチームと経営層が同じ指標でリスクを議論できることで、組織全体のセキュリティ態勢は向上します。

検出エビデンスの品質を表す Evidence Grade の詳細は、別記事で解説する予定です。

PentaTrail/CTEM で TER ベースの管理を始めたい方は、14日間無料で始める。