はじめに
企業のセキュリティチームは今、深刻な問題に直面しています。
脆弱性の数が、多すぎる。
NVD(National Vulnerability Database)に登録されるCVEは年間 25,000件以上。多くの企業では数万〜数十万の脆弱性がスキャンで検出されます。
しかし現実は明確です。
すべてを修正することは不可能
この状況を背景に、ガートナーは新しいセキュリティの考え方を提示しました。
それが Exposure Management(エクスポージャー管理) です。
本記事では、この概念をわかりやすく整理します。
従来の脆弱性管理の限界
これまでのセキュリティ運用は、次のような流れで行われてきました。
脆弱性スキャン → CVSSスコアで優先順位付け → パッチ適用
長年使われてきたこのアプローチですが、現代のIT環境では 3つの大きな壁 にぶつかっています。
1. 脆弱性の数が多すぎる
スキャンを実行するたびに、数千〜数万の脆弱性が検出されます。
- どれから直すべきかわからない
- 開発チームの負担が増大
- セキュリティチームが疲弊
結果として、アラート疲れ(Alert Fatigue) が蔓延します。
2. CVSSだけでは優先順位が決められない
CVSSは脆弱性の「技術的な深刻度」を示しますが、実際のリスクとは必ずしも一致しません。
たとえば以下のケースを考えてみてください。
| ケース | CVSSスコア | 実際のリスク |
|---|---|---|
| 外部公開されていないサーバの脆弱性 | 9.8 | 低 |
| 使用されていないライブラリの脆弱性 | 8.5 | 低 |
| 攻撃コードが存在しない脆弱性 | 9.0 | 低〜中 |
| 外部公開 + Exploit公開済み | 7.5 | 極めて高い |
CVSSスコアだけを見ていると、本当に危険なものを見落とす可能性があります。
3. IT環境が複雑になりすぎた
現代の企業環境には、多種多様な資産が存在します。
クラウド(AWS / Azure / GCP)
├── VM / サーバ
├── Kubernetes / コンテナ
├── サーバレス
├── SaaS
├── ID / IAM
├── エンドポイント
└── IoT / OT
攻撃対象領域(Attack Surface)は急速に拡大しており、脆弱性管理ツールだけでは全体像が見えないという根本的な問題が生じています。
Exposure(エクスポージャー)という考え方
そこで登場したのが Exposure という概念です。
Exposureとは、単なる脆弱性の存在ではなく、
「実際に攻撃される可能性」
を意味します。
次の要素を組み合わせて、総合的に評価します。
Exposure
─────────────────────────────
= Vulnerability(脆弱性)
+ Asset Importance(資産の重要度)
+ Exploitability(攻撃可能性)
+ Threat Intelligence(脅威情報)
+ Attack Path(攻撃経路)
つまり、問いの本質が変わります。
- 「この脆弱性のCVSSスコアはいくつか?」
+ 「この脆弱性は本当に攻撃されるのか?」
Exposure Management とは
Exposure Managementは、組織の攻撃対象領域全体のリスクを統合的に評価・管理するアプローチです。
主に3つのステップで構成されます。
Step 1:資産の可視化
すべてのリスク評価の出発点は 「何を守るべきか」の把握 です。
対象となる資産は多岐にわたります。
| カテゴリ | 例 |
|---|---|
| クラウド | AWS EC2, Azure VM, GCP Compute |
| コンテナ | Kubernetes Pod, Docker Image |
| SaaS | Salesforce, Slack, Microsoft 365 |
| ID / アクセス権限 | IAMロール, サービスアカウント |
| エンドポイント | 社用PC, モバイルデバイス |
| IoT / OT | 工場設備, ネットワーク機器 |
Step 2:リスク情報の統合
Exposure Managementでは、異なるソースからのリスク情報を一元化します。
- 脆弱性(CVE)
- 設定ミス(Misconfiguration)
- IDリスク(過剰な権限、未使用アカウント)
- 攻撃面(外部公開資産、シャドーIT)
これらを サイロのまま管理するのではなく、統合して全体像を把握 するのがポイントです。
Step 3:リスクの優先順位付け
以下の要素を考慮して、本当に対処すべきリスクを特定します。
これにより、数万件の脆弱性の中から 「今すぐ対処すべき数十件」 を見極められるようになります。
Exposure Assessment Platform(EAP)
ガートナーは、この新しい市場カテゴリを Exposure Assessment Platform(EAP) と定義しています。
EAPは以下の機能を統合的に提供するプラットフォームです。
┌────────────────────────────────────────┐
│ Exposure Assessment Platform │
├────────────┬────────────┬──────────────┤
│ 攻撃対象 │ リスク │ 修復 │
│ 領域の発見 │ 分析 │ 管理 │
├────────────┼────────────┼──────────────┤
│ 資産発見 │ 優先順位 │ ワークフロー │
│ 分類・管理 │ 付け │ チケット連携 │
└────────────┴────────────┴──────────────┘
なぜ今 Exposure Management なのか
その背景には、攻撃者の思考があります。
攻撃者はCVSSスコアや脆弱性の一覧を見ているわけではありません。彼らが見ているのは 攻撃経路(Attack Path) です。
外部公開サーバ(初期侵入)
│
▼
既知の脆弱性を悪用(権限取得)
│
▼
内部ネットワークへ横展開(Lateral Movement)
│
▼
重要資産へ到達(データ窃取・ランサムウェア展開)
Exposure Managementは、この 攻撃者視点 でリスクを評価するアプローチです。
防御側も攻撃者と同じ目線でリスクを見ることで、限られたリソースを最も効果的に配分できるようになります。
Sysdigが実現するExposure Management
ここまでExposure Managementの概念を整理してきましたが、クラウドネイティブ環境においてこのアプローチを実践しているプラットフォームの一つが Sysdig です。
Sysdigの最大の特徴は Runtime Insights(ランタイムインサイト) にあります。
Runtime Insights とは
従来の脆弱性スキャンは「静的な情報」に基づいています。イメージに含まれるパッケージをスキャンし、既知のCVEと照合する方式です。
しかし、Sysdigはここに ランタイムの実行情報 を加えます。
実行中のワークロードを観察し、どのパッケージが 実際にロードされているか を把握します。これが Risk Spotlight(In Use) と呼ばれる機能です。
In Use:脆弱性ノイズの95%を削減
ある統計によると、コンテナイメージの 87% が高・クリティカルな脆弱性を含んでいます。しかし、実際にランタイムでロードされているパッケージに紐づく脆弱性は わずか15% です。
検出された脆弱性 ████████████████████ 100%
↓
In Use フィルタ適用後 ███ 15%
つまり、85%の脆弱性は実際には実行されていないコードに存在 しています。Sysdigの「In Use」フラグを使うことで、対処すべき脆弱性を大幅に絞り込むことができます。
Exposure Managementの5要素とSysdig
先ほど紹介した優先順位付けの要素に対して、Sysdigは次のように対応しています。
| 判断基準 | Sysdigの対応 |
|---|---|
| Exploitの存在 | 脅威フィードとの照合 |
| インターネット公開 | ネットワークポリシー・公開ポートの検出 |
| 資産の重要度 | ワークロードのラベル・メタデータ活用 |
| 攻撃経路 | ランタイム行動プロファイルによる分析 |
| 脅威インテリジェンス | Sysdig Threat Research Teamの知見を統合 |
Sysdig Sage:AIによるリスク評価と修復提案
さらにSysdigは Sysdig Sage というAIエージェントを提供しています。
Sysdig Sageは、重大度・In Use・公開状況・悪用可能性といったリスク要素を総合的に評価し、98%以上の低リスクノイズをフィルタリング します。さらに、ビジネスコンテキストを理解した上で具体的な修復手順を提案するため、脆弱性への対応時間を大幅に短縮できます。
なぜSysdigなのか
Exposure Management市場には多くのベンダーがいますが、Sysdigの差別化ポイントは明確です。
ランタイムの実行情報を持っている
多くのツールは「静的な脆弱性情報 + 脅威インテリジェンス」で優先順位を判断しますが、Sysdigは 実際に動いているもの を知っています。これにより「本当に攻撃可能な脆弱性」をより正確に特定できます。
クラウドネイティブ環境でExposure Managementを実践するなら、ランタイムインサイトは不可欠な要素と言えるでしょう。
まとめ
Exposure Managementの本質は、次の3点に集約されます。
| 従来のアプローチ | Exposure Management |
|---|---|
| CVEの数を数える | 実際に攻撃される可能性を評価する |
| CVSSスコアで優先順位付け | 攻撃経路・脅威情報を含めた総合判断 |
| 脆弱性管理ツール単体で運用 | 攻撃対象領域全体を統合管理 |
市場は今、大きな進化の途上にあります。
- Vulnerability Management(脆弱性の管理)
+ Exposure Management(リスクの管理)
セキュリティの世界は、「脆弱性の数」から「リスクの優先順位」へシフトしています。
この流れを理解し、自社のセキュリティ戦略に取り入れることが、今後ますます重要になるでしょう。