1.はじめに

生成AIの普及によるサイバー攻撃の高度化・巧妙化、ならびにクラウド環境の拡大や工場のDX推進に伴う監視対象の広がりにより、企業のセキュリティ運用は大きな転換点を迎えています。従来のように脆弱性を網羅的に対処するアプローチには限界が生じつつあり、現在は「実際に攻撃され得るリスク」を優先的に管理する考え方へと移行しています。
 本稿では、Gartnerが提唱するCTEM（Continuous Threat Exposure Management）の概念を踏まえ、従来の脆弱性管理が抱える課題と、それに代わる新たなアプローチについて解説します。あわせて、その実現を支援する現在提供準備中のArmis VIPR Proについてご紹介いたします。

2.なぜ今CTEMが注目されているのか ―“脆弱性管理の限界”―

これまで多くの企業では、脆弱性管理（Vulnerability Management）を中心にセキュリティ対策が行われてきました。しかし近年では、日々検出される脆弱性の件数が膨大となり、「すべて重要度が高く見え、どれから対応すべきか判断できない」「現場がパッチ対応に追われる」といった課題が顕在化しています。
またCVSSスコアやEPSSスコアなどの指標に基づく優先順位付けも、実際の攻撃リスクを十分に反映しているとは言えず、結果として「優先度の低い対応に時間を割き、本当に危険なリスクを見逃す」ケースが生じています。
これは、実際の攻撃者が単体の脆弱性のスコアではなく、「侵入可能な経路が存在するか」「重要資産に到達できるか」という観点で攻撃を行うためです。
こうした現実とのギャップを埋める考え方として、近年注目されているのが、2024年にGartnerが提唱したCTEMです。
CTEMは、脆弱性単体ではなく、攻撃経路（Attack Path）や到達可能性、ビジネス影響を踏まえた「Exposure（攻撃可能状態）」を管理することで、実効性の高いセキュリティ対策を実現する新たなアプローチです。

 3.攻撃者視点で見るリスク ―“つながることで危険になる”―

サイバー攻撃は、単一の脆弱性を突くだけでなく、前回の記事でも紹介したサイバーキルチェーンなど、複数の弱点を組み合わせて侵入経路を形成します。例えば、インターネット公開サーバの脆弱性を起点に内部ネットワークへ侵入し、資格情報の窃取や権限昇格を経て、最終的にActive Directoryや顧客データベースといった重要資産へ到達するといったシナリオが一般的です。
このように、個々のリスクは単体では重大でなくとも、「つながること」によって初めて重大な脅威へと変化します。これがAttack Pathの概念であり、企業が真に優先すべきは「重要資産に到達可能な経路」の遮断です。
つまり、セキュリティ対策の本質は「すべての脆弱性を修正すること」ではなく、「ビジネスに影響を与える経路を断つこと」にあると考えられます。CTEMは、この考え方を実現するためのフレームワークです。
このような攻撃経路を把握するためには、企業内の資産やその関係性を正確に可視化することが不可欠です。

4.CTEMの実現ステップ ―可視化から優先順位付けへ―

CTEMを実現するためには、① Scoping　② Discovery　③ Prioritization　④ Validation　⑤ Mobilization　の継続サイクルを回すことが重要です。
その中でもまず必要となるのが、企業内の資産を正確に把握し、それらがどのように接続・影響し合っているかを可視化することです。この工程に抜け漏れがあると、その後の分析や優先順位付けの精度が大きく損なわれ、適切な対策につながりません。
Armis Centrixでは、IT・OT・IoTを横断した資産の可視化を強みとし、エージェントレスでネットワーク上のあらゆるデバイスを識別・把握することが可能です。従来見えづらかったOT機器や未管理資産も含め、攻撃対象となり得る全体像を明らかにします。
それに加え、各資産に紐づく脆弱性、設定不備、リスク情報を統合し、「どこにどのようなリスクが存在するのか」をコンテキスト付きで提示します。さらに、VIPRによりそれらのリスクを整理・スコアリングすることで、リスク全体を俯瞰したExposure管理の基盤を提供します。

一方で、こうして可視化された膨大なリスクの中から「本当に対処すべきリスク」を見極めるためには、より高度な優先順位付けが必要となります。この課題を解決するのがVIPR Proであり、現在、提供開始に向けて準備を進めております。

5.VIPR Proがもたらす価値 ―“Fix What Matters”の実現へ―

VIPR Proは、複数のセキュリティデータを統合し、AIによる分析とビジネスコンテキストを用いて、本当に優先して対応すべきリスクを導き出すソリューションです。従来の脆弱性管理では、ツールごとに検出結果が分散し、評価基準も異なるため、現場では膨大なアラートの中から重要なリスクを見極めることが困難でした。VIPR Proはこの課題に対し、「データの統合」と「修復プロセスの自動化」という2つの観点から、セキュリティ運用を根本的に変革します。
 
① セキュリティデータの統合（点から面へ）
VIPR Proは、Tenable、Qualysなどの脆弱性スキャナに加え、クラウド、AppSec、コード、エンドポイントなどのセキュリティデータを一元的に集約します。その過程で重複排除や正規化を行い、大量の検出結果を対応可能な単位まで圧縮します。
これにより、リスクを「点」ではなく「面」として捉え、重要リスクの特定と優先的な対応を可能にします。

② 修復プロセスの自動化
VIPR Proは、複数の脆弱性を共通の修正アクション単位（例：OSアップデート、ライブラリ更新）で自動グルーピングし、一括対応可能なタスクに変換します。 
これにより、従来は個別に対応していた修復作業を大幅に効率化し、修復プロセスのスケール化を実現します。
さらにAIにより担当者を自動割当し、JiraやServiceNowと連携して対応状況やSLAの達成度を継続的に可視化することも可能です。

検出事項を具体的な対策へ繋げる（VIPR-PRO）

6.IIMが支援するExposure管理

IIMでは、管理すべきデバイスおよびセキュリティリスクの可視化・整理に加え、今後提供予定のVIPR Proにより、CTEMの考え方に基づいたより高度なExposure管理と効率的なセキュリティ運用の実現をご支援いたします。これにより、お客様の事業継続およびリスク低減に貢献してまいります。
VIPR Proにご興味をお持ちいただいたお客様におかれましては、実現されたいことやご関心事項について、ぜひお気軽にご相談ください。いただいたご要望を踏まえた最適なご提案や情報提供をさせていただくとともに、提供開始後は優先的にご案内いたします。

執筆者

萩川　義則

営業技術本部 戦略ビジネス統括部 セキュリティ営業部　

サイバースレッド＆セキュリティオペレーション担当​
「情報漏洩対策」ソリューションLANSCOPEの立ち上げから担当し、多くの導入に従事。
「サイバー攻撃の防御・検知」としてNGAV、EDR、メールセキュリティとラインナップを拡げ、２０２２年から「サイバー攻撃の対応」としてSOC、インシデントレスポンスサービスなど、セキュリティオペレーションソリューションも担当。​