【シリーズ第一弾】【年1回のペネトレーションテストに潜む落とし穴!CTEMで始める新しいセキュリティアプローチとは
はじめに
本記事では、これまでの年1回のペースで外部に委託するペネトレーションテストの課題を明らかにし、「CTEM(継続的脅威エクスポージャー管理)」を活用した継続的かつ攻撃者視点のセキュリティアプローチの重要性について解説します。
ペネトレーションテストの実施を短期的な対応で終わらせるのではなく、継続的なセキュリティ検証を組むことが、組織全体の安全性を高めます。今こそ、継続的な仕組みを取り入れるタイミングです。
※シリーズ全4回を順次掲載予定
攻撃者は待ってくれない。年1回のペネトレーションテストで本当に守れるのか?
サイバー攻撃は、もはや“いつか起こるかもしれない”ではなく、“すでに起きている前提”で備えるべき時代に突入しました。
実際、サイバー攻撃の手法は日々進化し、新しい攻撃手法で企業の脆弱性を突いて、備えていたセキュリティ対応をすり抜ける巧妙な手口が次々と登場しています。ランサムウェア攻撃、不正アクセス、標準型攻撃、サプライチェーン攻撃などはもちろんだが近年ではAI・機械学習を悪用した攻撃、クラウド・コンテナ環境を狙う攻撃など最新のビジネス領域に対して攻撃されることもあります。つまり攻撃者も進化しているのが現実です。
情報セキュリティ 10大脅威 2025 [組織]
一方、企業のセキュリティ検証は「年1回のペネトレーションテスト」に依存しているケースが多く、現実とのギャップが広がっています。
そもそもペネトレーションテストとは、攻撃者の視点でシステムやネットワークに侵入できるかを検証するセキュリティ手法です。実際の攻撃シナリオを模倣し、脆弱性が悪用可能かどうかを確認することで、セキュリティ対策の有効性を評価します。専門家によるペネトレーションテストは特定のシナリオに対して深い洞察を得ることが可能ですが、外部委託となることが多く、以下のような課題が挙げられます。
これまでのペネトレーションテストの課題とは?
ペネトレーションテストは有効なセキュリティ対策の1つですが、継続的な運用を考慮するといくつかの課題が挙げられます。
① 外部委託によるコスト・時間の負担
ペネトレーションテストは専門性が高く、外部業者に委託するのが一般的です。しかし、依頼から報告までに数週間、数ヶ月を要することもあり、検証のタイミングが遅れることで、脆弱性が放置される期間が生まれてしまいます。
また、費用面でも数百万円から数千万円規模になることが多く、頻繁な実施が難しいという現実があります。もしもペネトレーションテストを専門知識がなくても実施できる環境を整えて、内製化ができれば、より頻繁にテストを行うことが可能になります。その結果、脆弱性が発見されるまでの期間を短縮することができます。
② 範囲の限定性
限られた予算と時間の中で、すべてのシステムやネットワークを網羅するのは困難です。従来のペネトレーションテストでは、予算や時間の制約から、重要な業務システムなど限られた範囲に対象を絞った上で実施されることもあります。しかし、これらのシステムは通常ファイアウォールなどで保護されており、外部から直接攻撃されることはほとんどありません。
そのため、実際の攻撃者はまずクライアントPCや外部公開されているサーバなどにまず侵入し、そこを足がかりにして内部の重要システムへと侵害を進めていくケースが多く見られます。より広範囲の資産をペネトレーションテストの対象に含めることができれば、このような侵入経路や手口もより網羅的に検出・評価できるようになります。
ペネトレーションテストにCTEMの概念を取り入れる|“年1回”から“継続的”へ
組織がサービスを新規公開したり、新しい脆弱性が発見されると、その瞬間から、サイバー犯罪者からの攻撃を受けるリスクが生まれます。
継続的な検証、つまりリスクの早期発見と対策を可能にする、CTEMと呼ばれる概念に即してペネトレーションテストを行うことで脆弱性の発見だけでなく、その脆弱性を悪用して実際に攻撃が成立するかまでタイムリーに確認できます。これにより、対策の優先順位が明確になり、限られたリソースを効果的に活用する事が可能となります。
CTEMとはなにか?セキュリティ運用の新しい考え方
CTEM(継続的脅威エクスポージャー管理)は、新しいセキュリティ運用モデルでありフレームワークです。これまでの「一時点での脆弱性の有無確認」から、「継続的に検証する」という視点で対策を講じるアプローチです。
CTEMの5ステップ:
スコープ設定
保護すべき資産(システム、データ、ユーザーなど)を明確にする
例:社内ADサーバ、クラウド環境、重要業務システム、クライアントPC、外部公開サーバなど
発見
脆弱性、構成ミス、不要なサービスなど、攻撃対象となる要素を洗い出す
例:公開ポート、古いソフトウェア、権限設定ミスなど
優先順位設定
ビジネスへの影響度や攻撃の現実性を踏まえ、対応すべきリスクを絞り込む
例:社外公開されているWebサーバの脆弱性は最優先
検証
実際の攻撃シナリオを用いて、リスクが本当に悪用可能かを確認する
例:認証回避、権限昇格、データ漏洩のシミュレーション
動員(対応と改善)
発見された脅威や攻撃経路に対して、迅速に対応、組織的に改善をしていく。
例: ADの設定修正、不要アカウントの削除、再テストによる攻撃経路の遮断
このプロセスを継続的なフローに組み込むことで、リアルタイムに近いセキュリティ対策が可能になります。
CTEMに即したペネトレーションテスト導入のメリット
ペネトレーションテストをCTEMの「検証」フェーズに組み込むことで、より効果的且つ実践的なセキュリティ運用を実現します。
CTEMにおけるペネトレーションテストの位置づけ:
年1回ではなく、自社の運用体制に合わせ継続的・定期的実施が可能。
防御が機能していることを継続的に検証。
検証だけでなくテスト結果の可視化までを製品のダッシュボードやレポートで実現。改善サイクルに組み込みやすい。
このように、ペネトレーションテストをCTEMのサイクルに組み込むことで攻撃者視点のセキュリティ検証を自社のセキュリティ運用に取り入れることができます。これまでのペネトレーションテストは、年1回などの特定の時点で、専門の外部業者が実施するのが主流でした。目的は、脆弱性が悪用可能かどうかを確認し、報告書をもとに対策を講じることです。
しかし、サイバー攻撃の高度化・多様化により、このような検証では“今”の脅威に対応しきれないという課題が浮き彫りになっています。つまりセキュリティは“一度守れば終わり”ではない。
企業のIT環境も日々変化しています。新しいシステムの導入、設定変更、ユーザー追加、外部連携など、環境の変化が新たな脆弱性を生む可能性があります。そのため、セキュリティ検証も“継続的に”行うことで、流れの早いサイバー攻撃の脅威や企業のIT環境の変化に即した対策が可能になります。
セキュリティアプローチは“継続的”が新常識
これまでのペネトレーションテストに限界を感じている企業こそ、今こそセキュリティ体制を見直しましょう。“継続的”に、“攻撃者視点”でセキュリティを見直すことが、これからの標準です。
サイバー攻撃の脅威は止まることなく進化しています。年1回のペネトレーションテストでは、もはや十分とは言えません。CTEMという新しい考え方を取り入れ、ペネトレーションテストを継続的な検証手段として活用することで、攻撃者視点のセキュリティアプローチが可能になります。
今こそ、セキュリティ対策の“新常識”を取り入れるタイミングです。まずは、自社のペネトレーションテストの実施状況を振り返り、CTEMの考え方を取り入れた検証体制の見直しから始めてみてはいかがでしょうか。
