Tenable ブログ
ブログ通知を受信する
険しい道を突き進む: 日本における予防的なセキュリティに関する人員・プロセス・テクノロジーの課題の克服
予防的なサイバーセキュリティの障害となるものや、日本の組織においてサイバーレジリエンスを構築する方法について、Tenable の委託により Forrester Consulting が2023 年に実施した委託調査の中からご紹介します。
脅威環境が進化を続ける中で、日本の組織はアタックサーフェスの包括的な把握がますます難しくなっているという事実に直面しています。 人員、プロセス、テクノロジーに関連する多数の障害に行く手を阻まれ、セキュリティチームによる予防的なサイバーセキュリティ対策の効果的な実施が非常に困難になっています。
新しいホワイトペーパー「古い習慣はなかなか消えない: 人員、プロセス、テクノロジーの課題がいかに日本のサイバーセキュリティチームの悩みの種になっているか」によると、平均的な組織では、過去 2 年間において遭遇したサイバー攻撃の 63% に対しては予防的な防御の備えができていたことが明らかになっています。 しかし、逆に言えばそれだけしかカバーできていないということであり、残りの 37% の攻撃に対しては脆弱なままで、完全な阻止はできず事後対応的な軽減策を取らざるを得ませんでした。
セキュリティ責任者と IT 責任者の 4 分の 3 (74%) が、自組織が予防的なサイバーセキュリティにもっと多くのリソースを割けば、より確実にサイバー攻撃を防ぐことができると確信しています。 このホワイトペーパーは、Tenable の委託により Forrester Consulting が 2023 年に実施した、日本からの回答者 50 名を含む 825 名のサイバーセキュリティおよび IT の責任者を対象とした委託調査に基づいています。
課題の概要
人員の課題: サイバーセキュリティチームと IT チームは、分断化されていることが多く、その業績も別々の相反する基準や目標をもって評価されています。 それぞれに染みついた考えがあるため、IT チームとセキュリティチームの間の調整は困難であり、多大な時間を要します。
この調査で発表された統計について特筆すべき点は、 10 人中 7 人近くの回答者 (68%) が、サイバーセキュリティチームは重大インシデントとの終わりなき戦いから抜け出せずにいるため、組織のサイバーリスク削減に向けた事前対応型のアプローチを導入するための時間がほとんど残らないという共通した意見を持っていることです。
プロセスの課題: 大量のサードパーティテクノロジーを適切なプロセスを経ずに管理することで、日本の組織が脆弱になる可能性があります。 今はクラウドベースのサービスやアプリケーションの時代であり、10 人中 7 人の回答者 (72%) が、SaaS のアプリやサービスのサードパーティプログラムを使用していると回答しています。 しかし、サードパーティ環境に対する「高い」または「非常に高い」可視性を備えているという回答は半数を若干下回っています (46%)。 このように可視性が不足していると、サイバー攻撃者が利用するおそれのある潜在的な盲点が生じ、それが時限爆弾となる可能性があります。
テクノロジーの課題: 専門家は、使うツールがサイロ化されているとユーザー、システム、ソフトウェア間の関係を見極めることができません。また、それらの異なるツールのすべてに別々の測定基準が存在することから、正確なリスク評価が困難です。 大半の回答者 (74%) が脆弱性の修正を優先順位付けする際にユーザーアイデンティティとアクセス権限を考慮していると回答している一方、3 分の 1 以上 (36%) は、自組織にはそうしたデータを予防的なサイバーセキュリティやサイバーエクスポージャー管理の業務に統合するための効果的な手段がないと回答しています。
サイバーエクスポージャー管理の課題への取り組み
こうした課題はありますが、希望の光もあります。 日本の組織には、現在のサイバーセキュリティの成熟度レベルに関係なく、サイバーリスク削減に向けた予防的な措置を講じる力があります。 これらの障害を乗り越える鍵は、堅牢なサイバーエクスポージャー管理プログラムの実行にあります。
サイバーエクスポージャー管理プログラムを活用すれば、組織は脆弱性を評価し、修正作業に優先順位を付けて、サイバーセキュリティ業務の合理化を実行できます。 事後対応型の対策から事前対策型の戦略へと焦点を移すことによって、サイバー脅威に先んじて防御を強化することができます。
これらの課題に正面から取り組み、サイバーセキュリティに対する事前対応型のアプローチを採用することで、日本の企業はデジタル資産の保護、顧客からの信頼や自社の総合的な評判の維持が可能です。 この調査は、緊急に対応策を講じるべきであると強調する注意喚起の役割を果たしています。 日本の組織は、今こそ古い習慣から脱却して、自組織のチームを強化し、予防的なサイバーセキュリティが全盛を誇る未来を受け入れる時なのです。
これらの課題のさらなる詳細、最も成熟度が高い組織がどのように課題に対処しているかについてのインサイト、課題を克服するための推奨事項についてご覧になりたい場合は、ホワイトペーパー「古い習慣はなかなか消えない: 人員、プロセス、テクノロジーの課題がいかに日本のサイバーセキュリティチームの悩みの種になっているか」をダウンロードしてください。
関連記事
How People, Process and Technology Challenges are Standing in the Way of Preventive Security in Australia
October 31, 2023Uncover the obstacles hindering preventive cybersecurity and ways to build cyber resilience for your Australian organisation in a commissioned study conducted in 2023 by Forrester Consulting on behalf of Tenable.
People, Process and Technology Challenges Stand in the Way of Preventive Security in Asia Pacific
October 31, 2023Uncover the obstacles hindering preventive cybersecurity and ways to build cyber resilience for your APAC organisation in a commissioned study conducted in 2023 by Forrester Consulting on behalf of Tenable.
Protecting the Atomized Attack Surface: Cybersecurity in the New World of Work
September 22, 2021A new study reveals how moving to a remote workforce model and migrating business-critical functions to the cloud are exposing the vast majority of organizations to increased risk. The next 18 months...
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program
May 3, 2024Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!
- Cloud
- Exposure Management
- APAC
- Cloud
- Exposure Management