Black Hat USA 2024 に参加しました!
~CTEM はペネトレーションテストと本当に競合するのか?~

  • お役立ち情報

2024年10月15日

  • セキュリティー
  • AI

今回は、世界有数のセキュリティー関連イベントであるBlack Hat USA 2024の現地レポートをお届けします。海外出張は3回目で、Black Hat USAは今回初参加となります。
世界中のセキュリティー関係者がさまざまなテーマを胸にラスベガスの会場(マンダレイベイコンベンションセンター)に集まったと思いますが、筆者は以下を確認するために現地入りしました。

CTEM はペネトレーションテストと本当に競合するのか?

最近、CTEM(Continuous Threat Exposure Management)とペネトレーションテスト(以下、PENテスト)の各メーカーが「エクスポージャー」に目を向けていると感じる機会が増えてきたため、上記のテーマを胸にBlack Hat USA 2024 に参加しました。
2024年5月の海外出張でRSAカンファレンス(以下、RSAC)に参加した際にも同じことを申しましたが、Black Hat USA 2024もブースの出展数やセッション数が非常に多く、すべてを見るのは物理的に不可能なため、テーマを持って参加した方がよいのは間違いありません。興味はあってもテーマに合わないセッションは多少犠牲にしつつ、スケジュールを組まざるを得ません。このあたりは、RSACでの経験を生かせたと思います。
本記事では、多くの皆さまにセキュリティーへ関心を持っていただけるよう、エンジニアではない筆者の言葉でBlack Hat USA 2024の現地レポートをお届けします。外部へ情報発信する機会をいただいた際に都度お伝えしていることですが、セキュリティーは難しくて敬遠したいものではなく、働く皆さま一人一人を守る身近なものと感じていただけたら嬉しく思います。

参考:RSA Conference 2024に参加しました!

目次

1.Black Hatとは?

まず、Black Hat USA 2024の概要を記載します。

開催期間
2024年8月3日(土)~8日(木)
開催場所
ラスベガス マンダレイベイコンベンションセンター
参加人数
19,000人前後 ※コロナ禍前の人数に戻ったという噂
出展社数
約350社
セッション数
140 ※キーノートとスポンサー企業のセッションをあわせた数

図1 会場看板前で同行したSEと一緒に
図1 会場看板前で同行したSEと一緒に

(1)日本からの参加状況

2024年5月に参加したRSAC 2024では、有志の方々が企画開催したJapan Nightというイベントで、たくさんの日本人の方々と挨拶することができました。しかし、Black Hat USA 2024では同様のイベントは見つからず、会場で日本人を見かける機会がRASC 2024ほどありませんでした。RSAC 2024と比べると、日本人参加者は少ないように感じました。
一方で、現地で待ち合わせした東京エレクトロンデバイス様、トレンドマイクロ様、兼松エレクトロニクス様をはじめ、お会いした皆さまとは貴重な意見交換をすることができました。ご対応いただいた皆さまに、この場を借りて感謝申し上げます。

(2)Passの買い方

Black Hatに参加するには公式サイト から該当するイベントを探して、Passを購入する必要があります。今回は、EventsタブからBlack Hat USAをクリックし、次にREGISTER NOWをクリックして、Passを購入しました。なお、REGISTER NOWに進む前に、ATTENDタブからPASS COMPARISONを開くと、Passの比較ができてよいと思います。
Training Pass以外のPassは、購入時期が早ければ早いほど割引されます。これはRSACと同様で、海外のカンファレンスに慣れると、このあたりの仕組みの理解が早くなりますね。
すでにBlack Hat USA 2024のREGISTER NOWのページはクローズされており、割引の詳細が掴めませんが、私のメモによると、2024/5/24までに購入する場合が最安値で、2024/8/8までに現地オンサイトで購入する場合が最高値となっていました。例えば、Briefing Pass 1名分あたりの最安値と最高値の金額差は700ドルとなっており、Black Hatへの参加が決まったら、なるべく早めにPassを購入した方がお得です。
早い時期に購入するかどうかとは別の観点で、RSAC参加時と同様、現実的な買い方を模索し、今回はBriefing Passをやめて、AI SummitとBusiness Passの組み合わせで購入しました。同時期にBriefing Passを購入した場合に比べ、1,000ドルほど節約できました。
さらに、私はISC2※1のコミュニティー内でPromo Codeを見つけ、Business Passに50ドルの割引を適用しました。Briefing Passであれば、200ドルの割引が適用できるようです。CISSP※2を取得したことで、ISC2まで目が届くようになりました。
あくまで2024年の情報を基にしていますが、2025年以降のBlack Hatに参加予定の皆さまのご参考になれば幸いです。

2.AI

今回の筆者のテーマであるCTEMとPENテストに触れる前に、素通りできない「AI」について少しだけ語らせてください。

(1)The AI Summitで気になったAI関連ワード

Black Hat USA 2024で初めて開催されたThe AI Summitに今回参加しました。

図2 The AI Summit会場
図2 The AI Summit会場

筆者が特に気になったのは、キーノートで語られていた「Secure Elections」というワードです。
2024年5月に参加したRSACでもアメリカの選挙にかける情熱を感じましたが、今回のBlack Hat USA 2024でも同じくらい情熱を感じました。日本より選挙のデジタル化が進んでいることが背景にあるかもしれませんが、AIが生成するディープフェイクの映像などでアメリカ国民を騙し、投票先が変わるなど許されないことなのでしょう。投票先を意図的に変えさせる行為はアメリカの未来を変えてしまうリスクと考えられているのかもしれません。
余談ですが、宿泊先のホテルでテレビをつけると、ネバダ州の投票用アプリのCMやライバルの候補者を露骨に批判するCMが普通に流れていて、日本だと考えられないな、と思いました。そういえば、RSACに行った際のサンフランシスコの宿泊先でも、同じようなCMを見た記憶があります。
もう1つ取り上げるとしたら、皆さまご存じのOpenAIによるセキュリティー運用におけるプロンプトエンジニアリングになるでしょう。「You are an expert application security engineer…」とプロンプトを書き出して、ログ解析する様子を伝えていました。また、GitHubにインシデントレスポンスSlackbotを公開中とのことです。

(2)ほかに気になったAI関連のワード

ここからはAI関連で気になったワードをいくつかご紹介します。

  • i.AI-SPM
    • 筆者がずっと気にしているCNAPPの雄 Wizは、「AI-SPM」というワードを打ち出していました。AI保護のためのセキュリティーポスチャーマネジメントとなりますので、Security for AIと言えるでしょう。
  • ii.MDDR(Managed Data Detection and Response)
    • RSAC 2024以来気になり始めたDSPM(Data Security Posture Management)を手掛けるVaronisは、「MDDR」というワードを話されていました。マネージド型でデータのDetection & Responseを行なうサービスで、AIにとって重要なデータの保護となりますので、これもSecurity for AIと言えるでしょう。
  • iii.ReGenAI
    • Dataminrは「ReGenAI」をプレゼンテーションしていました。数ヶ月前、世界規模で発生したWindows端末障害に対して、ReGenAIがどう回答を重ねていったかを時系列で紹介し、徐々に情報量が増え、回答精度が上がっていく様子が伝えられました。
  • iv.その他
    • VENABLEの「AI Impact Assessment」、Darktraceの「Cyber AI Analyst」も心に残ったワードです。

3.CTEMとPENテスト

いよいよ今回筆者が掲げたテーマである「CTEMはPENテストと本当に競合するのか?」について、書いていきます。先に結論を述べますと…

CTEMはPENテストと競合ではなく、共存する

今のところはこのように感じています。

(1)CTEMとPENテストは起点が異なる

CTEMのEはExposureのことで、元々は金融用語から来ているようですが、サイバーセキュリティーにおいては、リスクにさらされているITアセット(IT資産)全般を指しています。今ではオンプレミスからクラウドまで、サーバー、クライアント、ネットワーク、OT、IoTなどの物理デバイスから、ソフトウエア、ID、データなどの情報資産まで、インターネットにつながるあらゆる場所にITアセットは配置され、人の数以上に存在します。
こうなると、管理しきれない未把握のITアセットがあると考えるのはとても自然なことです。仮に、未把握のITアセットがリスクの高いExposureとなっていた場合、それを放置したら、その組織は攻撃者の侵入を許してしまうわけです。
CTEMは、未把握のITアセットを発見するプロセス・機能を有しており、PENテストは把握しているITアセットの脆弱性を発見するプロセス・機能を有しています。
ITアセットの発見を起点にするCTEMに対し、把握しているITアセットの脆弱性の発見を起点にするPENテストを競合として並べるのは、少し違うかなと感じます。
CTEMでExposureや脆弱性を管理できている前提で、その管理に穴が無いかどうかを確認するのがPENテストであると理解するのが正しいと思います。

(2)CTEMとPENテストの近しい思想

一方で、すべてのITアセットを発見するということは、見つかる脆弱性の数もかなり多くなります。あまりに脆弱性が見つかりすぎると、多くの人は立ち止まってしまいます。つまり、「10個くらいならまだしも、1,000個もの脆弱性に対処するのは不可能だし、経営層に報告できない」と考えるユーザーが一定数いらっしゃいます。これでは本末転倒な気もしますが、企業体力によっては仕方のないことかもしれません。
これは筆者の推測ですが、おそらくPENテストは、一度でも立ち止まってしまった経験のあるユーザーに支持され始めているのではないでしょうか。考え方によっては、何もできずに立ち止まるくらいなら、未把握のITアセットより、把握しているITアセットを優先して脆弱性に対処する方が、前向きにリスクを減らせていると考えられます。
ここまで書くとご理解いただけると思いますが、CTEMとPENテストで近しい思想とは、特にここ最近のトレンドでもある「脆弱性に優先順位をつける考え方」になります。立ち止まってしまいそうなシステム管理者に脆弱性の優先順位を提示し、前向きにリスクを減らす行動を促します。
Black Hat USA 2024でCTEMのCの字を意識したContinuous Comprehensive Pentestingというワードを目にしたり、最近Adversarial Exposure ManagementというCTEMのサブカテゴリー(広義のCTEMの仲間)の領域にBlack Hat USA 2024に出展していたPENテストメーカーの名前が挙がっていたり、PENテストがCTEMを意識した取り組みをしていることは分かりました。

(3)CTEMとPENテストのどちらがよいか

結局、CTEMとPENテストはどちらがよいでしょう。
良し悪しの話をするより、そのメーカーのルーツを探り、自組織の哲学を信じて、選択すべきではないかと思います。
サプライチェーンリスクが高まる中、グループ企業や関連企業を含め未把握なアセットがあることが致命傷になりかねないと考える組織はCTEMを選択し、システム担当者の異動に伴う引継ぎなど、ITアセット管理やパッチ適用が全網羅的に運用できている組織は継続的(Continuous)なPENテストを選択するのがよいのではないでしょうか。もちろんCTEMとPENテストは補完関係で、両方採用することに越したことはありません。
それでも、あえてどちらかを採用するとしたら、これまでの大企業を含めた国内外で起きたインシデントを思い返してみると、未把握のITアセットを放置するリスクの方が非常に高いと考えられるため、CTEMを優先すべきではないでしょうか。
いずれにせよ、Exposureに目を向け、継続的に脆弱性を管理する文化が根付くことが、日本のセキュリティーレベルをもう一段階上げるうえで重要です。

4.まとめ

  • 今回で3回目の海外出張となりました。毎回同じ思いに駆られますが、海外には新しいテクノロジーに楽しさや喜びを見出し、世界を変えていこうとする気概のようなものを感じます。日本のイベントで、新しいテクノロジーの発表をスタンディングオベーションで迎え入れる光景は、あまり想像できません。最近のAIの発展は、人々の気概やその国の文化が支えているのではないかと思います。一方で、政府主導のさまざまな取り組みも、テクノロジーの発展において見逃せない重要な要素であると思います。
  • ゼロトラストの考えに基づけば、従来通りのシステム運用を疑いもせず信用するのはリスクが高いでしょう。以前より発見される脆弱性の数が増え、オンプレミスからクラウドまでIT環境が広がり、脆弱性管理の対象が爆発的に増えました。未把握のITアセットの数も確実に増えました。数が増えすぎたことへの対応として、脆弱性に優先順位をつける考えが生まれたと推察されます。思わぬところから攻撃されないよう未把握のITアセットを見落とさずに発見し、網羅的に脆弱性管理を行なっていくCTEMで次世代システム運用へと進化しましょう。脆弱性管理をきちんと継続できるか心配な場合は、まず小規模環境でCTEMによる運用フローを確立し、徐々に適用範囲を広げていくのも1つの手です。そして、CTEMの運用にもゼロトラストの考えを持ち込み、盲点がないかをチェックするために、PENテストの採用を検討する順番がよいでしょう。

ユニアデックスは今後も国内外の最新トレンドをお届けします

ユニアデックスは、できる限り無駄なく隙間なく、ソリューションを取り揃える取り組みを続けており、最新トレンドを掴むための海外出張や海外駐在員との情報交換を適宜行っております。
セキュリティーに終わりはなく、継続的に攻撃者と戦うことが求められます。もし、CTEMとマイクロセグメンテーションなど他のソリューションとの相互補完的な組み合わせの最適解・現実解でお悩みのお客さまがいらっしゃれば、マルチベンダーを得意とするユニアデックスへご一報ください。
ユニアデックスはインフラだけの会社ではありません。「ユニアデックスに任せれば、セキュリティーも安心だ」と皆さまからご評価いただけるよう、日々取り組んでいます。クラウドでもセキュリティーでも、ユニアデックスまでご相談ください!

※1 ISC2 :米国の非営利団体で、情報セキュリティーに関する資格を認定する機関
※2 CISSP :米国規格協会に認められた国際的な情報セキュリティーに関する資格

佐藤 大介(さとう だいすけ)

ユニアデックス株式会社
ソリューションマーケティング本部 企画開発部 クリエイト室

CISSP(2024年6月~)

IT ANNEX+

関連情報

関連ソリューション

関連コラム

お問い合わせ

お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。