CTEM（Continuous Threat Exposure Management：継続的脅威公開管理）と呼ばれる、継続的に、そして攻撃者の視点から自社のIT環境を評価し、リスクを管理していくアプローチが注目されています。この概念の実現を支援する有効な選択肢の一つが、今回ご紹介するXM Cyberです。

自己紹介
1. XM Cyberとは？攻撃シミュレーションで「攻撃者の視点」を手に入れる
2. CTEMの5ステップとXM Cyberの連携
3. 高い評価と実績：XM Cyberが選ばれる理由
4. 実際に触ってみた！PoC環境での気づき
5. まとめ：XM Cyberでセキュリティの課題を解決し、確かな安心を
- 0-WANについて
- 一緒に働いて頂ける仲間も募集しています

自己紹介

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。

今日のサイバー攻撃は、日々巧妙化し、その手口も多様化しています。従来のセキュリティ対策では、多くの企業が「どこに、どんな脆弱性があるのか」を正確に把握できず、漠然とした不安を抱えているのではないでしょうか。

このような状況の中、CTEM（Continuous Threat Exposure Management：継続的脅威公開管理）と呼ばれる、継続的に、そして攻撃者の視点から自社のIT環境を評価し、リスクを管理していくアプローチが注目されています。CTEMについてはこちらのブログ記事で詳しく解説していますが、この概念の実現を支援する有効な選択肢の一つが、今回ご紹介する XM Cyber です。 techblog.ap-com.co.jp

XM Cyber は、企業が自社のデジタル資産を「攻撃者の視点」でチェックし、先手を打って対策を講じるための強力なツールと言えるでしょう。

1. XM Cyberとは？攻撃シミュレーションで「攻撃者の視点」を手に入れる

XM Cyberは、エクスポージャー管理（Exposure Management） を変革するセキュリティプラットフォームです。単に個々の脆弱性を検出するだけでなく、AWS、Azure、GCPといったクラウド環境からオンプレミス環境まで、攻撃者が設定ミス、脆弱性、IDの露出などをどのように悪用・組み合わせ、重要資産を侵害するかを攻撃者の攻撃手法をシミュレートすることで実証します。

ここで、セキュリティにおける重要な2つの視点、「リスクオン」と「リスクツー」について考えてみましょう。

リスクオン（Risk-On） とは、特定の資産「に存在する」個別の脆弱性を指します。例えば、「このサーバーにパッチ未適用の脆弱性がある」といったものです。もちろん、これらも対処すべきですが、これだけでは攻撃者全体の動きは見えません。
対して、リスクツー（Risk-To） とは、攻撃経路が最終的に「につながる」脆弱性のことです。つまり、個々の脆弱性（リスクオン）がどのように組み合わされ、最終的に最も重要な資産への侵害を許してしまうのか、という攻撃者視点でのリスクを意味します。

XM Cyberは、この「リスクツー」の視点に重点を置きます。個々の脆弱性（リスクオン）だけでなく、それらが集まって最も重要な資産に至る攻撃チェーン全体を遮断するために必要な対策を正確に特定できるため、最小限の労力でエクスポージャー（露出しているリスク）を修正すべき箇所を特定できるのが大きな特徴です。最終的には、チームの時間と労力を最適化しながら、リスクを低減、あるいは完全に排除することにつながります。

www.youtube.com

2. CTEMの5ステップとXM Cyberの連携

XM Cyberは、CTEMの5つの段階すべてに対応する包括的なアプローチを提供することで、企業のセキュリティ態勢強化を支援します。

1. スコープ (Scoping)： 重要なビジネスプロセスを基盤となるIT資産にマッピングし、ビジネスへのリスクに基づいて露出の優先順位を付けます。

2. 検出 (Discovery)： オンプレミスとクラウド環境、そして内部と外部の攻撃対象領域全体にわたる、CVEだけでなく非CVE（設定ミス、IDリスク、過剰な権限）を含む全ての露出を検出します。

3. 優先順位付け (Prioritization)： 独自のAttack Graph Analysis™ を活用し、脅威インテリジェンス、攻撃経路の複雑さ、侵害される重要な資産の数、そして複数の攻撃経路の要所（Choke Point）であるかどうかに基づいて、より迅速かつ正確な優先順位付けを行います。

4. 検証 (Validation)： 特定された問題が特定の環境で悪用可能かどうか、そしてセキュリティコントロールがそれらをブロックするように構成されているかどうかを検証します。大規模な環境全体で運用上の問題や誤検知のリスクなしに、安全かつ包括的にエクスポージャーを検証する独自のアプローチを採用しています。

5. 動員 (Mobilization)： Choke Pointへの重点的な対応、コンテキストに基づいた証拠、修復ガイダンスと代替案により、修復を改善します。プラットフォームは、修復の進捗状況を追跡するために、チケッティング、SIEM、SOARツールとも統合されています。

このように、XM CyberはCTEMの5つの段階すべてにわたって、組織がサイバーリスクを正確に把握し、優先順位をつけ、効果的に対処できるよう支援します。「どこに、どんな問題があるのか」だけでなく、「どのように悪用され、どのように対策すべきか」までを具体的に示すことで、セキュリティ対策の効率を飛躍的に向上させることができます。

info.xmcyber.com

www.youtube.com

3. 高い評価と実績：XM Cyberが選ばれる理由

XM Cyberは、その革新的なアプローチと実用性から、世界中の著名なアナリスト企業や顧客から高い評価を獲得しています。

Frost & Sullivanによるリーダー選出： アナリスト企業であるFrost & Sullivanが発行した2024年のASV (Automated Security Validation) Radar Reportにおいて、XM Cyberはリーダーに選出されました。これは、Automated Security Validation市場におけるXM Cyberの強力な地位と、その革新性が認められた証拠です。

info.xmcyber.com

Gartner Peer Insightsでの高評価： Gartner Peer Insightsは、実際に製品を利用したエンドユーザーからの評価をまとめたものです。XM Cyber Exposure Management Platformは、このGartner Peer Insightsにおいて、多くの顧客から高い評価を獲得しており、その製品の有効性と満足度が実証されています。

www.gartner.com

これらの信頼できる評価は、XM Cyberが実際に企業のサイバーセキュリティ態勢を強化し、実用的な価値を提供していることの強力な証拠と言えるでしょう。

4. 実際に触ってみた！PoC環境での気づき

今回、実際にXM CyberのPoC（概念実証）環境を触る機会を得ました。第一印象は、その直感的なUI/UXです。複雑なセキュリティツールにありがちな難解さがなく、初めて触るユーザーでも比較的スムーズに操作できると感じました。

特に印象的だったのは、「攻撃経路の可視化」機能です。ダッシュボードには、実際に検出された攻撃経路がネットワーク図のように表示されます。サーバーやデバイス、ユーザーアカウントなどがノードとして配置され、それらを結ぶ線が攻撃者が辿りうる「道筋」を示しているのです。たとえば、「このパッチ未適用サーバーの脆弱性を踏み台に、Active Directoryの設定ミスを悪用し、最終的に機密データのあるファイルサーバーに到達する」といった具体的な経路が、まるで地図を見るように一目で理解できます。さらに、シミュレーションの様子は動画として確認でき、攻撃の詳細な動きをじっくりと観察することが可能です。

さらに驚いたのは、個々の脆弱性（リスクオン）だけでなく、その脆弱性がどの攻撃経路（リスクツー）の一部になっているのか、そしてその経路を遮断するために「何を」「どのように」修正すれば良いのかが、優先度付きで具体的に示される点です。これにより、膨大な数のアラートの中から、本当に喫緊に対応すべきリスクと、その対策方法が明確になるため、セキュリティチームの作業効率が格段に向上すると感じました。