CTEMとは?従来の脆弱性管理との違いと導入メリット
目次
CTEMとは
CTEM(Continuous Threat Exposure Management) は、2022年にGartnerが提唱したセキュリティフレームワークです。組織の攻撃対象領域(アタックサーフェス)を継続的に発見・評価・対処するアプローチを指します。
従来の脆弱性管理が「見つけた脆弱性をパッチで塞ぐ」という受動的なものだったのに対し、CTEMは攻撃者の視点でリスクを先回りして管理します。
CTEMの5つのステップ
CTEMは以下の5段階のサイクルを継続的に回すことで、組織のセキュリティ態勢を強化します。
1. Scoping(範囲定義)
保護すべき資産とビジネスリスクの範囲を定義します。IT 資産だけでなく、SaaS・クラウド環境・サプライチェーンまで含めた広い視点が必要です。PentaTrail では、保有するオリジンドメインの登録と、各アセットへの BI タグ付け(用途・データ分類・可用性要件)がこのフェーズに該当します。詳しくは ビジネスインパクト(BI)スコア を参照してください。
2. Discovery(発見)
定義した範囲内のすべての資産を自動的に発見します。ドメイン・サブドメイン・IP アドレス・ポート・使用技術・クラウドストレージなど、攻撃者が発見しうるあらゆる要素を洗い出します。把握できていなかった資産が見つかると、それは「シャドー IT」のリスクとして可視化されます。詳しくは ASM 入門 と シャドー IT を参照してください。
3. Prioritization(優先順位付け)
発見した脅威やリスクに、ビジネスインパクトと悪用可能性に基づいた優先順位を付けます。PentaTrail では CVSS と EPSS から TDL(脅威ディスカバリレベル)を算出し、アセットタグから BI スコアを算出し、両者を組み合わせて TER バンド(S/A/B/C/D)に分類します。詳しくは TER、TDL、補正項に関わる CVSS・EPSS・KEV を参照してください。
4. Validation(検証)
優先順位の高い脅威について、実際に悪用可能かどうかを検証します。PentaTrail の AI ディープスキャンは、業界標準の検証テンプレートと AI ガイダンスを組み合わせて高優先度の所見を能動的に検証し、「確認できた所見」と「確認できなかった所見」に分類します。この結果は TER バンドに双方向で反映されます(確認できた所見は Evidence Grade A 維持、確認できなかった所見は TDL を 1 段階引き下げ)。
5. Mobilization(対応推進)
検証結果に基づき、具体的な対応策を実行に移します。PentaTrail は所見ごとに AI による修復ガイダンスを生成し、担当グループ・担当者を割り当てた対応タスクに展開します。経営層には週次で AI が要約したインサイトが届き、対応の進捗とリスク態勢の変化を一目で把握できます。
従来の脆弱性管理との違い
| 項目 | 従来の脆弱性管理 | CTEM |
|---|---|---|
| アプローチ | 内部スキャンが中心 | 外部からの攻撃者視点 |
| 対象範囲 | 既知のIT資産 | シャドーIT、クラウド、SaaSを含む全資産 |
| 実施頻度 | 定期的(月次・四半期) | 継続的・リアルタイム |
| 優先順位 | CVSSスコアベース | ビジネスインパクト+悪用可能性 |
| 検証 | なし(スキャン結果のみ) | 実際の悪用可能性を検証 |
| 対応 | パッチ適用が中心 | 組織横断的な対応推進 |
なぜ今CTEMが必要なのか
攻撃対象領域の急拡大
クラウド移行、リモートワーク、SaaS利用の拡大により、組織の攻撃対象領域は急速に広がっています。従来の「社内ネットワークを守る」アプローチでは対応しきれません。
攻撃者のスピードに追いつけない
脆弱性が公開されてから攻撃に悪用されるまでの時間は年々短くなっています。四半期ごとのスキャンでは、攻撃者に先を越されるリスクが高まっています。
セキュリティリソースの最適化
すべての脆弱性に同じ労力をかけるのは非効率です。CTEMは「本当に危険なもの」を見極め、限られたリソースを最も効果的に配分します。
PentaTrail で CTEM を実践する
PentaTrail/CTEM は CTEM フレームワークに基づいて設計されたセキュリティサービスです。各フェーズに対応する主な機能と、深掘り記事は次の通りです。
| フェーズ | PentaTrail の主な機能 | 関連記事 |
|---|---|---|
| Scoping | オリジンドメイン登録、アセットへの BI タグ付け(用途・データ分類・可用性要件) | BI スコア |
| Discovery | サブドメイン自動発見、ポート・技術スタック検出、シャドー IT 可視化 | ASM 入門 / シャドー IT |
| Prioritization | TER バンド(S/A/B/C/D)、TDL、BI スコア、KEV ブースト、Evidence Grade | TER / TDL / CVSS / EPSS / KEV |
| Validation | AI ディープスキャン、確認/非確認に応じた TDL 反映 | (別記事で解説予定) |
| Mobilization | AI 修復ガイダンス、対応タスク管理、AI 週次インサイト | (別記事で解説予定) |
継続的な攻撃面管理を始めたい方は、14日間無料で始める。