CREMって、なに?!
こんにちは!早速ですが昨年、Trend Microから発表されたCyber Risk Exposure Management(CREM)という製品を皆様ご存知でしょうか。過去にはAttack Surface Risk Management(ASRM)という名称で展開されていた製品で、2025年の2~4月頃に現在の製品名に整理・変更されたものです。
このCREMは、近年セキュリティ分野で注目されている「エクスポージャー管理」の考え方を、実際の現場でそのまま活用できる形に落とし込んだ Trend Micro のソリューション。
?エクスポージャー管理
組織の資産の中で「本当に攻撃につながりうるのはどこか?」を、攻撃者視点で評価し、優先順位をつけていくためのアプローチを指します。
この考え方は2023年頃からGartnerが強調していたものの、一般的な認知度はまだ高くありませんでした。そんな中、昨年おきた “おいしい🍺の会社” のランサムウェア被害は、多くの企業にとって「なぜ今この考え方が必要なのか」を一気に自分ごと化させた象徴的な出来事でした。
ということで、今話題のエクスポージャー管理を実現する製品「Trend Micro Cyber Risk Exposure Management」を実際に触ってみたので、その所感をまとめてみました。Trend MicroのCREMをどこをどう見て、どう活用したらよいのか、感想を交えつつ紹介していきます。
- CREMって、なに?!
- CREMを使う前に準備しておくこと
- CREMのUIは使いやすい?主要機能は何なのか?
- Cyber Risk Overview
- Attack Surface Discovery
- Threat and Exposure Management
- まとめ
CREMを使う前に準備しておくこと
今回のブログではCREMの機能について説明していきますが、すごく大雑把に言うと組織のリスクを“可視化”するための仕組みです。しかし、CREMそのものには情報を集める機能がありません。CREMはTrend Micro Vision Oneの中で動く“分析エンジン”のような存在であり、エンドポイントの状態・脆弱性・構成情報は別の製品や機能が行います。
情報を集めるには、たとえば次のような方法があります。
- EntraIDやOkta等のIdaasとの連携
- Vison One Endpoint Secutity(SEP・SWP)等のトレンドマイクロ製品の導入
- ADとの連携
- ドメイン情報の登録
自社環境でCREMを利用する場合は、上記のどれか、もしくはすべての設定を事前に完了させておく必要があります。今回は、上記の設定が既にされているデモ環境をお見せしながら、ご紹介していきます!
CREMのUIは使いやすい?主要機能は何なのか?
頻繁に利用するシステムでは UI のわかりやすさや操作性が非常に重要です。また、機能が多すぎると使いこなすのが難しくなるため、どれだけ整理されて提供されているかも大切なポイントになります。
それでは早速CREMの画面を見ていきます。まずはTrend Vision Oneにポチっとアクセス。
さて、左側のメニューより「Cyber Risk Exposure Management」タブを開くと、複数の項目が表示されます。
この中でも、CREM の主要機能を確認できる画面は、赤枠で囲った 3 つの項目。
- Cyber Risk Overview
→組織全体の“サイバーリスク”を一目で把握 - Attack Surface Discovery
→組織が保有する“攻撃されうる資産”を攻撃者の視点で確認 - Threat and Exposure Management
→発見した脆弱性の“どれが本当に危険か”を判断し、対処を導く
今日はせめて、この3つの項目で何ができるのか!だけでも覚えてから退勤してください。
基本的にCREMのUIは日本語にローカライズされています。一部、まだ翻訳が完了していない箇所はありますが、ブラウザの翻訳機能で十分補える範囲です。また、操作性も直感的で、画面構成を追っていくだけで必要な機能にたどり着けるため、初めて触った際の印象としても「かなり使いやすい」という感想を持ちました。
では、各項目についてもう少し詳しく見てみましょう。
Cyber Risk Overview
Cyber Risk Overview は、組織全体のリスク状況を俯瞰的に把握するための最初の入口となる画面です。
ポイント1.リスクを点数化し他社と比較
Cyber Risk Overviewでは、組織のリスクを「サイバーリスク指標」として見える化している部分が代表的な機能です。
サイバーリスク指標とは、組織全体のセキュリティリスク1〜100の数値で表す総合スコアです。4時間ごとに自動更新される動的なスコアで、検出された脆弱性に対応すると最大1時間でスコアに反映、手動再計算も可能でリアルタイム性に優れています。
対応結果がすぐにスコアへ反映されるため、きちんと改善できているかをその場で確認できるのが嬉しいポイントです。
また、経営層がつい気にしがちな “あるある” といえば、「うちの環境って、他社と比べてどうなん?」 ですよね。ご安心ください。CREM なら、他社環境との比較指標も提示してくれるので、自社の立ち位置をパッと把握できます。
ご覧ください。デモ環境が組織規模、地域、業界と比較していかにリスクが高いかを確認することができました。こうした比較が可能なのは、トレンドマイクロが各種製品から継続的に情報を収集し、膨大なデータを保持しているからこそ実現できる機能です。
ポイント2.リスクを分類して整理
「リスクの概要」セクションでは、CREMが組織内の資産を次の5つのカテゴリに整理し、カテゴリごとにリスクレベルや重要なポイントを分かりやすく可視化します。
カテゴリは以下5つに分類分けされています。
- デバイス
- インターネットに接続するアセット
- アカウント
- アプリケーション
- クラウドアセット
これにより、企業の攻撃対象領域(Attack Surface)がどの要素で構成され、どの部分がどれだけ危険なのかを直感的に把握できるようになっています。資産を細かく分類して可視化することで、“何が危ないのか” が一目でわかり、対応の優先順位づけや判断のミスを防ぐことができる、これがCREMの大きな強みです!
ポイント3.露出・攻撃・設定の3側面からリスクを分析
Cyber Risk Overviewには「リスクの概要」だけでなく、「露出の概要」「攻撃の概要」「セキュリティ設定の概要」といった追加のセクションも用意されています。
・露出の概要
攻撃者から見える “資産の露出状況” を整理し、どの資産がどれだけ外部に晒されているかを可視化するセクションです。
・攻撃の概要
攻撃者の視点で “実際にどのように攻撃が成立しうるか” をまとめたセクション。経営層へ「今すぐ対処すべきリスク」を客観的に伝えるのに最適な内容です。なお、このセクションだけ英語コンソールなのはご愛嬌というところ。
・セキュリティ設定の概要
セキュリティ設定の不備やコンプライアンス違反を視覚的に整理し、“構成ミスによるリスク” をまとめて表示するセクションです。
これら4つのセクションをあわせて確認することで、「どこが露出しているのか」「どのように攻撃が成立しうるのか」「どこに構成ミスがあるのか」を立体的に把握でき、攻撃者にやられるよりも早く対策することが可能になります。
Cyber Risk Overviewは、組織全体のリスク状況を素早くつかむのに最適なダッシュボードです。一方で、具体的にどのデバイスが危険なのか、どの設定を改善すべきなのかといった詳細は、後述する「Attack Surface Discovery」や「Threat and Exposure Management」で掘り下げられる構成になっています。
Attack Surface Discovery
Cyber Risk Overviewで組織全体のリスク状況をつかんだら、次に重要なのは“そのリスクがどの資産に起因しているのか”を特定することです。それを可視化してくれるのがAttack Surface Discovery!
ポイント1.攻撃対象となり得る資産を一網打尽に可視化
脆弱性管理と聞くとサーバーやPCなどのマシンが真っ先に思い浮かび、ASMと聞けばインターネット上に公開された資産を想像しますよね。ですが、注意すべき対象はそれだけではありません。ユーザー、利用しているアプリケーション、クラウド、APIポイントなど全部気にする必要があります。Attack Surface Discoveryでは、攻撃者が悪用し得る全てのアセットを自動で発見してくれます(事前設定は必要です)。
なお、これらの資産が本当に自社に属するものかどうかは、以下の情報源を用いて検証されています。
ポイント2.アセット詳細分析
それでは試しにリスクの高い資産を一つ取り上げて、どのようなビューでどのような情報を確認できるかご紹介します。今回は「アカウント」セクションから「ドメインアカウント」に関するビューを取り上げます。
左上のグラフにはドメインアカウントの総数が表示され、右上の表ではそのアカウント情報を取得したデータソースが示されています。さらに、中央下の表には各ユーザーアカウントごとのリスクスコアや詳細なユーザー情報が一覧化されています。
それでは如何にもやばそうなAdeleさんをクリックしてみます。
リスクスコアは95点。攻撃してください、と言わんばかりの危険なスコアです。画面中央では、このアカウントがどの国からログインされたのかが一目でわかるようになっており、グレーがログイン失敗、ブルーがログイン成功を示しています。ひとつ前のキャプチャでも分かる通り、Adele さんの勤務場所は米国なのですが、実際にはさまざまな国から不正アクセスを受けています。どうやら目黒区の誰かも試しにログインしてみたようですね。
「パブリッククラウドのアクティビティ」タブでは、Adeleさんが「どんなクラウドアプリを使っているか」「どんなカテゴリのアプリに偏っているか」「信頼されていないアプリを使っていないか」などの利用状況の可視化が行えます。
パブリッククラウドアクティビティ helps you!
- シャドーITの発見
→会社が許可していないクラウドアプリ利用を可視化 - 情報漏えいリスクの早期発見
→評判の低いクラウドストレージやSNSが使われていれば警戒 - ユーザの危険な行動の可視化
→外部アプリへの大量アクセスなど - ポリシー(承認/非承認アプリ)の運用
→カテゴリごとに禁止リストを作成・管理
自分が見られていると思うと背筋が凍りますが、弱点をつぶすためには非常に便利な機能と言えます。
さて、最後にアセットプロファイルタブを見てみます。
ここではアセットの重要度、そして基本情報を確認できます。
アセットの重要度はどのように決まるのか?
CREM が自動的に集めた情報(=プロファイルタグ)を使って判断します。
例)“Production” “PaaS” “外部公開” “管理者アカウント” “金融データを取り扱う”
タグに「重要なシステム要素」が含まれていれば、重要度は上がるという仕組みです。データソースが少ない=重要度の判断が曖昧になるという課題につながります。多くのデータソースと接続していただくことでCREM本来の力を発揮します!
今回はアカウントセクションを取り上げてご紹介しましたが、セクションごとに表示される詳細情報は異なります。他にも気になるセクションがありましたら、またの機会にぜひ取り上げたいと思いますので、ご意見いただけますと幸いです。
ポイント3.利用しているアプリケーションを把握
エクスポージャー管理製品を探されている方の中には、「一緒に資産管理もできますか?」とご質問いただくパターンも非常に多いです。資産管理機能ではないのですが、環境内で実際に使われているアプリケーションを可視化する機能がありますので、簡単にご紹介いたします。
画面上部のタブから「アプリケーション」セクションを開きます。
このセクションでは、組織で使われているすべてのアプリケーションを自動で見つけて、セキュリティ的に危ないものがないかチェックできます。
発見できるアプリの種類は以下の3つです。
- パブリッククラウドアプリ
→例:Microsoft 365, Dropbox, Salesforce の Web サービス - 接続されたSaaSアプリ
- ローカルアプリ
→例:Chrome, Zoom, SlackなどPCやスマホにインストールされているもの
「パブリッククラウド」タブの「パブリッククラウドアプリリスト」では、過去30日以内に社内のユーザーが実際にアクセスしたクラウドアプリの一覧が表示されます。
「レピュテーション」列は、そのアプリの危険度を表します。しかしこれは、このアプリが技術的に危険(脆弱性がある)かどうかを評価するものではなく、そのクラウドアプリが信頼できるかどうかを判断する軸となります。
Trend Micro が国際規格・セキュリティ機能・過去のリスク・コンプライアンス基準をチェックし、そのクラウドサービスの“セキュリティ成熟度”をスコア化したイメージです。
試しに「Microsoft Edge」のレピュテーションプロファイルを確認してみます。
Microsoft Edgeのレピュテーションは「1」で極めて安全であることを確認できます。また画面右側に緑色で大量のチェックがついている→これは、セキュリティフレームワークや監査基準に準拠していることを示します。ここからこのアプリは信頼性も安全性も高く、企業利用に適した正常な状態と判断できます。
もし危険なアプリを利用していた場合は、Trend Micro の機能を使って、そのアプリへのアクセスを監視したりブロックしたりすることも可能です。
※この機能を利用するには Zero Trust Secure Access(ZTSA)ライセンスが必要です。
「ローカルアプリ」タブでは組織で過去30日間に利用されたアプリを収集し可視化しています。
こちらではコンプライアンス観点の評価ではなく、技術的な評価を行い、その結果をスコア化しています。
ここでローカルアプリの棚卸しを行うことで、危険なアプリを利用している場合でも、すぐに発見して迅速に対処できます。
Threat and Exposure Management
Attack Surface Discoveryで組織内の “攻撃されうる資産” がすべて洗い出されました。しかし、見つかったリスクをただ一覧で眺めていても、どれから対処すべきか?は判断できません。そこで最後に登場するのがThreat and Exposure Managementです。
ポイント1.リスク要因をカテゴリ別に可視化
左上のカラフルな円グラフは、「アカウントの侵害」や「脆弱性」「アクティビティ挙動」といったカテゴリ別に、組織のサイバーリスクスコアをどれほど押し上げているか、視覚的にわかるようになっています。
「ああ、ウチはセキュリティ設定周りが弱そうだな」
「脆弱性対応はできているけど、アカウントの管理真剣にやっていかないとな」なんてことを一瞬で判断できます。このデモ環境ですか?全部だめです。
さて、下にスクロールすると「リスク削減策」を確認できます。ここでは、上の図で示した「サイバーリスク指標」を効率よく下げるために、どのリスクイベントから優先して対処すべきかを明確に示してくれるナビゲーションが提供されています。
各カテゴリをクリックすると、そのカテゴリ内で何を優先して対応すべきかを表示してくれます。
このように最初からカテゴリ分けされていることで、毎回フィルターを使って検索する手間が省け、1日あたり約50秒ほどの業務効率化につながりそうですネ。
ポイント2.お助けAI機能搭載
トレンドマイクロ製品は何年も前からAIを活用して製品を開発しています(イベントで聞いた)。なんとそのAIを活用したチャット機能がTrend Vision Oneにも搭載されております。
画面右上にある💫みたいなマークをクリックすると~
以下のような画面が開き、親身に相談に乗ってくれます。
正直、現時点では“今後に期待”といった精度ではありますが、今後のバージョンアップでより実用的なレベルに進化していくことを期待しています。
また、本機能については Threat and Exposure Management セクションでご紹介しましたが、Trend Vision One 内であればもちろんどこからでも利用できますのでご安心ください。
まとめ
今回は、組織が抱える“本当に危険なリスク”を優先度付きで可視化し、効率よく対処につなげられる強力なソリューション「Cyber Risk Exposure Management」をご紹介しました。今回触れたポイントはCREMのほんの一部。是非皆さんも実際にCREMを利用し、その良さを体感してみてください。
また、CREMは取得したデータをもとにスコアリング・可視化・優先度判定を行う“分析エンジン”であるため、Vision Oneの他機能や外部サービスとの連携が鍵になります。こちらの連携手順についてもまたご紹介させていただきます。
エクスポージャー管理は今後ますます重要性が高まる分野です。
少しでも気になった方は、ぜひ弊社ネットワールドまでお問い合わせください。
