パラダイムシフト

組織の抱えるアタックサーフェスは常に変化しています。 アタックサーフェスを定義していた従来のパラメータ（主にソフトウェアとハードウェア）は、クラウド、サードパーティベンダー、IoT、ソーシャルネットワーク、さらには人間の脆弱性といった、現代のセキュリティ戦略に必要なすべての複雑性や要素を考慮するものではなくなっています。

組織の攻撃面を測定、監視、保護するには、このような脅威の複雑性と巧妙さに適合するまったく新しいアプローチが必要です。

そこで登場するのがエクスポージャー管理です。

エクスポージャー管理とは、サイバーセキュリティリスクを包括的かつ高度な視点で捉えるものです。 セキュリティを単独で孤立した目的と捉えるのではなく、企業はリスクと利益のバランスを慎重に考慮しながら、ビジネス目標を含む広範な目標全体にわたって脆弱性とリスクを評価します。

サイバーセキュリティと経営のリーダーたちは、エクスポージャー管理はサイバーセキュリティリスクを管理するためのより進化したアプローチであると考えています。それは、企業が直面する脅威の状況はあまりにも広範かつ複雑であるからで、常にすべての脅威から防御することは現実的でも持続可能でもありません。

Ivantiの調査によると、セキュリティ専門家は幅広いセキュリティリスクと攻撃ベクトルを懸念しています。これは、ランサムウェアやフィッシングからソフトウェアの脆弱性やサプライチェーンの脅威まで、さまざまです。

また、この調査結果は、現在のセキュリティに対する備えのレベルに大きなギャップがあることも明らかにしています。 （ギャップとは、脅威のレベルが備えのレベルを上回っている領域のことです。）例えば、ランサムウェア攻撃やAPI関連の脆弱性に対する備えは、脅威のレベルと比較して特に低い状況です。

これらの不備は、前述の脅威がすべて生成AIによって増幅される可能性が高いことを考えると、特に懸念すべき事項です。 例えば、3人に1人以上（38%）の回答者が、AIによって強化されたランサムウェアはさらに危険になると述べています。

良いニュース：サイバーセキュリティをビジネスの優先事項として捉えること（エクスポージャー管理の主要原則）は、セキュリティの専門家と経営幹部の両者によって、まだ一貫して実践されていないとしても、概念としては十分に理解され、広く支持されているようです。

そして、サイバーセキュリティは経営幹部レベルで高い支持を得ており、取締役会レベルでも広く認知されています。

• セキュリティ専門家および組織のリーダーの89%が、サイバーセキュリティは取締役会レベルで議論されていると回答しています。
• 81%が、取締役会にはサイバーセキュリティの専門知識を持つ人物がいると回答しています。
• 88%が、自社の最高情報セキュリティ責任者（CISO）が、事業上の意思決定や組織計画に関するハイレベルな戦略会議に招待されていると回答しています。
• ほぼ4分の3が、サイバーセキュリティ予算は増加していると回答しています。 さらに注目に値するのは、81%が、2025年のセキュリティ予算は2025年のセキュリティ目標を達成するのに十分であると回答していることです。

あまり良くないニュース：幹部たちはエクスポージャー管理を理解し、重要視していると述べていますが、組織のリスク全体像を包括的に把握できる統合戦略ではなく、ばらばらの個別製品を使用して部分的にアプローチしていることがよくあります。 調査では、このような不均一なアプローチが指摘されています。

エクスポージャー管理は、投資の主要分野として最下位にランクされていますが、サイバー資産アタックサーフェス管理（CAASM）や外部アタックサーフェス管理（EASM）などのエクスポージャー管理の要素は、多くの企業が優先事項として考えています。 より成熟した企業、つまり脅威を撃退する能力が高度であると自らを評価する企業は、エクスポージャー管理に投資する可能性がはるかに高く、1.6倍となっています。

Ivantiの調査によると、サイバーセキュリティ成熟度のより高い組織（例えば、高度な脅威を撃退する能力を自ら報告し、証明できる組織）は、エクスポージャー管理への投資を増やしていると回答する可能性が大幅に高いことが示されています。

レベル4の高度な組織の26%が投資を増やしているのに対し、成熟度が最も低い（例えばレベル1）組織では16%にとどまっています。 （Ivantiの成熟度モデルについては、セクション4「技術的負債への取り組み」で詳しく説明しています。）

全体として、業界はエクスポージャー管理の原則を支持しているように見えますが、多くの企業は、エクスポージャー管理の採用と実行に向けた実行可能な段階には至ってはいないようです。

企業は、サイバーセキュリティに対する異なるアプローチを検討し、エクスポージャー管理の必要性と効果的な実装の間のギャップを埋める必要があります。 エクスポージャー管理に本格的に取り組むことで、組織は信頼性の高いデータを使用してリスクを評価し優先順位付けを行い、最大のリスクをもたらすエクスポージャーにチームの努力を集中させることができます。 エクスポージャー管理は、サイバーセキュリティの運用をビジネスの全体的な優先事項と一致させるものであり、サイバーセキュリティが単なる技術的な機能としてではなく、より幅広いビジネス目標をサポートすることを保証します。

マイク・リーマー
Ivanti 上級副社長兼ネットワーク セキュリティ グループ (NSG) ＆フィールドCISO

エクスポージャー管理は、業界にとって破壊的なパラダイムシフトをもたらすものです。

ITやサイバーセキュリティの領域外にある無数の圧力も含めた、包括的かつ統合的なサイバーセキュリティリスクの視点が必要です。 そして、組織のセキュリティ対策とリスク/利益のトレードオフについて、高度に統合された状況に応じた見方が必要となります。

エクスポージャー管理を採用するということは、リスクを測定、管理、報告するための新しい方法を学び、実行するということです。また、セキュリティ責任者は、既存のチーム、プロセス、ソリューションを再考する必要に迫られるでしょう。それは、既存のものを破壊し、同時に非常に大きな影響を与えるような方法でです。

サイロ化されたデータは脅威に対する可視性を制限し、インシデント対応を妨げ、企業全体のセキュリティポリシーと実践に一貫性を欠く状況を生み出します。 年々進歩は見られますが、それでも大半の組織（55%）は、セキュリティとITデータのサイロ、およびそれらに関連する大きな課題を報告しています。

また、この調査ではサイロの及ぼす影響も明らかになりました。62%がサイロがセキュリティ対応時間を遅らせていると答え、53%がサイロが自社のセキュリティ体制を弱体化させていると答えています。

また、セキュリティの専門家は、データや洞察が不足している、あるいは不十分である分野が数多くあると報告しています。例えば、シャドーITの検出（45%）、既存のデータに基づく特定の脆弱性の自信を持った特定（41%）、パッチのコンプライアンスの決定とパッチSLAの遵守（37%）などです。 これらはすべて、企業のアタックサーフェスに対する理解、エクスポージャーの特定、規制への準拠に関連する深刻なセキュリティ上の盲点を生み出します。

サイロ化されたデータの問題は、特にITとセキュリティの関係において顕著です。 44%が、セキュリティとITの関係がうまくいってないため、セキュリティリスクの管理に苦労していると回答しており、40%が、ITチームとセキュリティチームが異なるツールを使用していることが問題を悪化させていると指摘しています。

セキュリティの専門家は、ITチームの考え方やトレーニングについても懸念しています。 セキュリティ専門家の46%が、サイバーセキュリティの問題に関して、ITチームに緊急性が欠けていると回答し、40%がITチームが組織のリスク許容度を理解していないと回答しています。

これらの問題を解決することは簡単ではありません。

経営陣やセキュリティの専門家は、組織内の既存のサイロを打破するには平均で6年かかると推定しています。

サイロは効果的なエクスポージャー管理の敵ですが、ここで言及しているのは、単なるサイロ化されたデータ以上のものです。 組織のサイロとは、ITとセキュリティの部門間、あるいは組織全体にわたるあらゆる相違や分離の現れなど、企業全体の管理/構造における孤立の形態のことです。 そして、それらは同等の被害をもたらす可能性があります。 例：

経営陣のサイロ：

経営と事業の相反するアプローチは、焦点の欠如とリソースの非効率的な利用につながります。 ITおよびセキュリティの場合、責任者のサイロ化は障害となり、各チームの目標達成能力を低下させます。 また、重複した取り組み、重複する技術投資、人材の非効率的な活用などにより、予算が圧迫されます。

 

業務プロセスとワークフローのサイロ：

ITやサイバーセキュリティなどの部署は、連携が限られた状態で互いに独立して作業することが多く、その結果、優先事項の競合、生産性の低下、さらには従業員の満足度の低下につながる可能性があります。

 

テクノロジーのサイロ：

組織内のテクノロジーに関する意思決定は、特定の問題を解決するために、部門レベルや場当たり的に行われることが多くあります。 ITとセキュリティの関係においては、可視性と効率性の低下、技術的負債の増加など、影響は甚大です。

結局のところ、セキュリティはビジネスの推進力でなければなりません。これがエクスポージャー管理戦略の基礎です。 セキュリティチームは、ダウンタイムの最小化や脅威に対する組織の回復力の強化など、期待される責任領域以外にも、次のようなより幅広いビジネス全体の優先事項にも責任を負う必要があります。

• 信頼を構築し、イノベーションをサポートし、組織が新しい規制のある新しい市場に参入できるよう支援することで、収益を促進。
• リモートワークと柔軟性を優先事項としている組織のサポート。
• 潜在的なリスクから保護するためのセキュリティ対策が実施されていることを認識して、組織が新しいデジタルイニシアチブに取り組むことができるようにすることで、デジタル変革を推進。

セキュリティチームと他の部門との間のサイロを解消するには、各チームがそれぞれの分野のリスクの特定と管理を支援し、知識を共有して可視性を高める必要があります。 多くの場合、CISOとCIOの間には壁が存在します。 CIOは通常、ビジネスの生産力を重視しますが、CISOはセキュリティを重視するため、両者の間で対立が生じる可能性がるのです。 彼らは、サイロを越えて、資産、リスク、およびそれらのリスクを軽減するための行動について包括的な全体像を提示するために、セキュリティリスクの統一された見解を必要としています。 エクスポージャー管理は、可視性を高めることにより、これらの業務をビジネス戦略に整合させる機会を拡大します。

カール・トリーブス
Ivanti 最高製品責任者

エクスポージャー管理は、次のようなリスクを評価するための高度に洗練されたアプローチに依存しています。

• 組織のアタックサーフェス全体を総合的に把握する…サードパーティのリスクを軽減する方法や、IoTデバイスのセキュリティ確保も含める。 （調査対象グループの51%が、2025年には管理するIoTデバイスの数が2024年と比較して増加すると回答しています。）
• 悪用可能な脆弱性、攻撃方法、侵害経路を継続的に特定する。
• さまざまな種類のサイバー攻撃の潜在的な影響を事前に予測し、リアルタイムデータと分析に基づいてアクションの優先順位を決定する。
• サイバーセキュリティへの取り組みをビジネス目標と一致させること、つまり、リスク低減の決定はセキュリティの責任者がすべてを担うのではなく、セキュリティとビジネスの両方の利害関係者が共有すること、そして、組織のリスク許容度に関する共通理解に基づいていることが重要です。

Ivantiの調査によると、セキュリティの専門家はリスクへのエクスポージャーを測定する能力について高い自信を持っていることが示されていますが、その一方で、こうした高い評価は正当ではない可能性があることも示唆されています。 80%が、自らのリスクエクスポージャーの測定能力を「良い」または「優れている」と評価しています。

ビジネスリスクを正確に定義し、定量化することは依然として課題です。 83%がリスク許容度を特定するための文書化された枠組みを持っていると答えているのにもかかわらず、そのうちの半数強（51%）が、現在のリスク許容度枠組みは厳密に守られていないと回答しています。これは、枠組みをまったく持っていない場合とほぼ同等の効果しかありません。

企業がリスク許容度に関する枠組みに厳密に従わない場合、その影響は、財務上の損失や評判の低下、規制上の罰金など、広範囲に及ぶ可能性があります。

Ivantiの調査によると、経営幹部もセキュリティ専門家も、リスクへのエクスポージャーを測定して伝えることに苦労していることが明らかになっています。 彼らは次のように述べています：

測定の課題：組織は、明確かつ客観的にリスクを定量化し、測定することに苦労しています。

コミュニケーションの課題：また、組織は、明確なリスクエクスポージャーを組織の幅広い経営幹部に理解させるという課題にも直面しています。

幹部の48%が、セキュリティ責任者はリスクをより広範な幹部に非常に効果的に伝えていると答えている一方で、セキュリティ専門家のうち同じ回答をしたのは40%にとどまりました。

企業では、戦略的なビジネスアドバイスをCISOに求めることが増えていて、これにはAIの導入やサプライチェーンリスクの管理に関するガイダンスなどが含まれます。 取締役会の関与も高まっています。 弊社の調査によれば、サイバーセキュリティはすでに取締役会水準のトピックとなっています。 89%の企業が、取締役会においてサイバーリスクが議論されていると答えています。また、88% がビジネスの意思決定や計画といった高水準の戦略会議にCISO が同席している、と答えています。

にもかかわらず、多くの CISO が全体像の把握よりもダウンタイムのリスクを主眼とした対策を講じています。

戦略的なプレーヤーとなるには、セキュリティ責任者が CEO や取締役会と同じ言語を操るようにならなければなりません。攻撃による財務や評判への影響、データ侵害による法・規制上の影響など、テクニカルなノウハウがビジネスの優先事項に翻訳されなければなりません。

現在、経営幹部とセキュリティチームは同じ考えを持っていません。 例えば、サイバーリスクの中で最も重要で影響の大きい分野は何かという質問に対して、経営幹部は収益の損失や経費の増加といった財務上の影響を最も多く挙げる傾向にあり、一方でセキュリティ専門家はダウンタイムや生産性の低下などの運用上の影響を挙げました。

この隔たりを埋めるには、セキュリティ組織は、最新の脅威から企業を保護することから、企業の成長、イノベーション、および持続可能性をサポートすることへと、考え方を変える必要があります。 エクスポージャー管理のアプローチを強力なデータ管理手法と組み合わせることで、セキュリティチームは以下が可能になります。

• リスク管理を適正規模にする — 脅威の規模と影響に効果的に対応する規模と緊急性を備えた対応策を講る。
• ビジネスの状況に基づいてレイヤーを構築し、セキュリティ以外の意思決定者が、サイバーリスクが組織の目標 (財務、規制、評判などのリスク) にどのように影響するかを理解し、それに応じてリソースを割り当てられるようにする。

サイバーセキュリティをビジネスの枠組みに真に統合するには、CISOは技術的な専門知識とビジネス戦略の間のギャップを埋める必要があります。 これは、サイバーリスクを具体的なビジネスへの影響に置き換え、部門間の連携を促進し、セキュリティ対策を組織の目標と整合させることを意味します。 そうなって初めて、サイバーセキュリティはコストではなく、イノベーションと成長を可能にするものとして捉えられるようになります。

ブルック・ジョンソン
Ivanti 最高法務責任者、人事兼セキュリティ担当上級副社長

Ivantiの調査では、セキュリティやリーダーシップの専門家の3人に1人が、技術的負債を深刻な懸念事項であると回答しています。 懸念の度合いは業界によって大きく異なります。 40%が「非常に深刻」または「極めて深刻」な負債レベルであると報告する医療業界に従事する人々が最も高い懸念度を報告していて、製造業とテクノロジー業界がそれに続きます。

技術的負債の原因はさまざまですが、セキュリティの専門家が主に挙げる要因は2つあります。既存のシステムの相互依存度が高いこと、そして要件が急速に進化するシステムのセキュリティを確保する必要性です。 (業界関係者にとっては驚くべきことではありません。調査対象となった企業の半数の51% が、サポートが終了したソフトウェアを使用していると回答しています。)

技術的負債がもたらす影響は広範囲に及びます：

• サイバーセキュリティへの影響： 回答者全体のうち、少なくとも3人に1人は、レガシーシステムによってセキュリティ上の立場が深刻な危機にさらされていると同意しています。 実に37%が、自社の技術インフラストラクチャが複雑すぎて基本的なセキュリティ対策を維持できないと回答し、43%が、技術的負債の蓄積によってシステムがセキュリティ侵害を受けやすくなっていると回答しています。


• ビジネスへの影響：全体として、39%が、技術的負債は成長を著しく鈍化させると回答しています。 自社における「極めて深刻な」懸念事項として技術的負債を挙げた回答者のうち、71%が成長の鈍化を報告しています。 また、43%が技術的負債がイノベーションの妨げになっていると述べています。 （この数字は、技術的負債が最高レベルの人では56%に跳ね上がります。）


• ユーザー体験への影響：おそらく最も驚くべきことは、深刻な技術的負債がセキュリティ専門家の仕事に与える影響でしょう。35%が技術的な複雑さのために仕事で燃え尽きたと感じていて、同じ割合の人が技術的な複雑さがITやセキュリティの専門家にとって職場の危険危険要因であると答えています。

セキュリティおよびビジネスリーダーは、予算と目標を調整して、投資の安全で戦略的な管理を確保し、技術的負債の悪影響を回避する必要があります。 重大な課題は、組織が技術スタックを定期的に評価・管理できず、セキュリティ脆弱性に対するパッチが適用されていない時代遅れのソリューションに頼ってしまう場合に発生します。

デニス・コザック
Ivanti 最高経営責任者

ソフトウェアサプライチェーンの管理

組織がサードパーティのソリューションやコンポーネントを採用する場合、これらの投資は適切に管理されないと技術的負債を生み出す可能性があります。 なぜなら、サプライチェーンのコンポーネントが老朽化した場合、定期更新やパッチ適用を行わないと、技術的負債が積み重なる可能性があるからです。

ベンダーの乱立は、問題を悪化させます。 非常に多くの異なるツールを把握する必要があり、組織のソフトウェアサプライチェーンにおけるサードパーティコンポーネントが攻撃対象領域の延長であることを考えると、技術的負債はセキュリティ対策に悪影響を及ぼすもう一つの要因となります。

セキュリティ専門家の大多数（84%）が、ソフトウェアサプライチェーンの監視が「非常に重要」であると答え、73%はソフトウェアサプライチェーンの監視に「非常に効果的」であると答えています。 しかし、半数近く（48%）は、自社のサプライチェーンにおける最も脆弱なコンポーネントを未だ特定できていません。

ソフトウェアサプライチェーンのベストプラクティスとはどのようなものでしょうか？ この調査では、サイバーセキュリティ業務に従事している回答者に、サイバーセキュリティ成熟度モデルを開発するために、組織のサイバーセキュリティ準備レベルを基本 (レベル 1) から上級 (レベル 4) までの尺度で評価してもらいました。

このモデルを使用すると、最も先進的な組織が、成熟していない組織と比較して、ソフトウェアサプライチェーンを保護するためにどのような取り組みを行っているかを理解できます。

• レベル4 (最も成熟した) の組織の71%%は、すべてのソフトウェアベンダーのセキュリティを確認しており、これはレベル2の組織の2倍以上の割合です。


• 43%のレベル4は、ベンダーに社内ペネトレーションテストの証拠の提出を求めています。 レベル2では、これを要求しているのはわずか24%です。


• レベル4の49%が、新規購入の際にはベンダーのセキュリティ評価アンケートに回答しています。これに対してレベル2では27%です。

Ivanti社の調査に回答した組織は、ソフトウェアセキュリティの「所有者」に対するアプローチが異なりますが、レベル4の組織は、ソフトウェアベンダーと顧客の間で責任を共有していると回答する可能性が最も高いです。

成熟度の低い組織 (レベル2) は、成熟度の高い組織よりも、ベンダーがセキュリティ責任を完全に所有していると回答する可能性が非常に高いです。 この観点は、リソースの制約、特定の責任に対処するための技術的専門知識の欠如、さらには、サイバー攻撃は機密データを持つ大企業のみを標的にするという誤った安心感によって引き起こされている可能性があります。

理由は何にせよ、セキュリティはベンダーが全面的に守るべきだと信じていると、誤った安心感につながる可能性があります。 さらに、これらの組織はベンダーが提供するソリューションに過度に依存するようになり、多層的なセキュリティ対策やベストプラクティスの実施を怠る可能性があります。

ソフトウェアのセキュリティは共有されるべき責任です。

ベンダーは、ソフトウェア開発ライフサイクル全体を通じて、定期的なコードレビュー、脆弱性スキャン、侵入テストなどの安全な開発プラクティスを実施する責任があります。 また、新たに発見された脆弱性に対処するためのセキュリティアップデートやパッチをタイムリーに提供しなければなりません。

さらに、購入者は、セキュリティ更新プログラムとパッチを迅速に適用し、組織全体でそれらを追跡および展開するための体系的なプロセスを導入することにコミットする必要があります。 また、役職ベースのアクセスやユーザー権限の定期的な見直しなど、強力なアクセス制御を導入し、維持する必要があります。 そして、脆弱性スキャンや侵入テストなどのセキュリティ評価を定期的に実施して、潜在的なセキュリティ脆弱性を継続的に特定する必要があります。

組織のデジタルフットプリントが増加し続けるにつれ、オンプレミスのインフラストラクチャとクラウドベースのサービスの複雑なネットワーク網をカバーするアタックサーフェスも、かつてないほどの速さで拡大しています。 しかし、問題はアタックサーフェスの規模や大きさだけではありません。

現在の環境下では、組織が現実的にすべてのリスクを軽減することは不可能なのです。 脅威の状況は絶えず進化しており、複雑な技術システムは本質的に脆弱であり、組織はリソースの制約の中で活動しなければなりません。

この状況では、サイバーセキュリティに対するより洗練された適応性の高いアプローチが求められています。それは、セキュリティを、ビジネスリスクと利益のトレードオフという複雑なバランスを保つ行為と捉えるものであり、あらゆるコストをかけて保護するという戦略とは異なります。

エクスポージャー管理は、リスクを管理するためのよりインテリジェントなアプローチを約束します。

Ivantiの調査によると、エクスポージャー管理の概念は十分に理解されていることが示されています。例えば、セキュリティ専門家の49%が、自社の経営陣はエクスポージャー管理について高いレベルの理解を持っていると述べています。 しかし、このプラクティスを採用する段階に踏み込んでいる組織はほとんどありません。2025年にエクスポージャー管理への投資を増やすと回答したのはわずか22%でした。

リスク管理は、リスクを管理するためのより繊細で効果的なアプローチを組織に提供します。 これは、サイバーリスクという狭い視野ではなく、ビジネスリスクの全範囲を考慮に入れることで実現されます。

しかし、エクスポージャー管理を採用するには、組織は次のような困難なプロセスに取り組まなければなりません。組織のアタックサーフェスのすべての側面を真に網羅するようにデータを集約し、組織のリスク許容度を含めたデータに基づくリスク評価を実施し、組織にとって最大のリスクとなる脆弱性を軽減するために限られたリソースを集中させるというプロセスです。

そして、エクスポージャー管理を運用化するためには、組織は最終的にサイロを解消しなければなりません。単にセキュリティ領域内のサイロではなく、組織全体にわたるサイロもです。 これにより、セキュリティチームは、重大度、可能性、および影響に基づいて、組織全体の潜在的な脅威を特定、評価、および分類できるようになります。

ほとんどの組織は、データの分析や組織のサイロ化を克服するにあたり、従来通りのやり方をそのまま継続しています。 例：

• 88%のセキュリティ専門家がデータに関する重大な盲点（情報に基づいてセキュリティに関する意思決定を行うにはデータが不十分な領域）を報告していて、これにはシャドーIT、パッチのコンプライアンス、ベンダーのリスク管理情報、依存関係のマッピングなどが含まれます。
• 44%は、セキュリティとITの関係が良好でないため、セキュリティリスクの管理に苦労していると述べています。
• 40%は、ITチームとセキュリティチームが異なるツールを利用して同じ作業をしていると述べています。

今日の脅威の状況は極めて複雑であるため、新しいアイデアやアプローチが必要であり、セキュリティリーダーがこの取り組みを主導しなければなりません。

サイバーセキュリティチームは、重要な資産の保護、顧客の信頼の保護、グローバルなコンプライアンスの維持、ビジネス継続性の維持...つまり、組織のレジリエンスと競争力の強化といった、より戦略的な役割を担う時期に来ているのです。 これには、セキュリティ責任者と経営幹部の間の新しいレベルのコラボレーションとコミュニケーションが必要になります。多くの組織にとって、真の意識改革、さらには文化の変革さえも必要となるでしょう。