エクスポージャー【exposure】
概要
金融分野では保有する金融資産がリスクに晒されている度合いをエクスポージャーというが、この概念をセキュリティ分野でも援用することがある。機器やソフトウェアの脆弱性そのものではなく、無防備な状態によって重要な情報資産が危険に晒されている度合いを示している。
例えば、内部の重要なシステムにアクセスできるVPN機器の持つ脆弱性や、アクセス制御が不十分なクラウドストレージが存在する場合などは、攻撃者から観測されやすく、エクスポージャーが高い状態になる。一方、重大な脆弱性があってもインターネットから完全に隔離されていたり、乗っ取られても何の権限も持たないユーザーアカウントなどはエクスポージャーが低いと評価される。
エクスポージャーはIT資産の所在、公開範囲、外部との接続状態、運用上の設定など、複数の要因によって変動する。機器やソフトウェアの脆弱性も考慮すべき要素の一つに含まれるが、それだけでなく、データ漏洩に繋がるクラウドサービスの不適切な設定の放置など、潜在的な脅威に繋がる様々な要素や要因の評価が必要になる。
企業などが、IT資産のエクスポージャーを調査・把握し、リスクを分析・評価して重大性の大きさに応じた対策を講じることを「エクスポージャー管理」という。特に、専用の管理システムなどを用いて、組織全体のエクスポージャーを継続的に監視・対策することを「CTEM」(Continuous Threat Exposure Management)と呼ぶことがある。
(2025.11.30更新)
共有ボタンをタップ