データサイエンスチームのTenable Research、約半数の組織がサイバーリスク対策の基盤として 戦略的脆弱性評価ソリューションを使用していると発表

企業のサイバーリスクへの対応が大きく分かれていることが世界2,100社の調査で判明

本日、Tenable Researchは、サイバーリスクに対する組織の評価を分析した『The Cyber Defender Strategies Report』を公開しました。Tenable Researchは、企業の様々な情報資産の脆弱性を自動で容易に可視化、改善するソリューションを提供する『Tenable Network Security』（以下：テナブル、所在地：メリーランド州コロンビア、代表：Amit Yoran （アミット・ヨーラン）が組織するデータサイエンスチームで、本レポートは世界2,100組織を実際の遠隔測定データを使った分析結果です。本調査によると、世界の48 %近くの組織が戦略的脆弱性評価（業務の重大性に基づいて情報資産を正確かつ的確にスキャンし、コンピュータのリソースを優先させる成熟または適度に成熟したプログラムと定義される）を取り入れ、サイバーリスク対策の基本的な要素とし、またリスクを軽減するための重要ステップとしています。しかし、包括的な情報資産管理をプログラムの基盤とする組織のなかで、情報資産のサイバーリスクを正確に把握している組織はわずか5 %であることが判明しました。一方、組織の33％は脆弱性評価に対してミニマリスト的なアプローチで、コンプライアンス規則が定める最低限の対策しか講じておらず、事業に致命的影響を与えるサイバーリスクの危険性を高めています。

Tenable Researchが前回公開したレポート「Quantifying the Attacker's First-Mover Advantage」では、防御側が脆弱性を初めてつきとめるまでに約7日間かかることが判明しました。この間、攻撃側に脆弱性を悪用する機会を許していたことになります。この7日間のギャップは、企業が脆弱性評価をどう行っているかに直接関わるものです。このアプローチの戦略性と成熟度が高ければ、このギャップはその分小さくなり、事業へのリスクが低減します。

米国テナブル社の製品管理担当シニアディレクター、Tom Parsons氏は以下のように述べています。「近い将来、組織は2つのタイプに分かれるでしょう。すなわち、サイバーリスクを軽減する課題に立ち上がる組織と、現代のコンピューティング環境で絶えず進化し加速するサイバーリスクの脅威に適応できない組織の2つです。 この調査は、サイバー防御者の優位性を取り戻す行動を当業界が真剣に起こすよう呼び掛けています。そのためには、綿密で統制の取れた脆弱性管理を根幹に据えることから始め、最終的にはサイバー・エクスポージャーの基盤を整えることが重要です。」

Tenable Researchは、組織のサイバーリスク管理者を支援するために、60カ国以上の組織から3ヶ月以上に及ぶ遠隔測定データの収集、分析の結果、組織によるサイバーリスクの管理、測定、および究極的な軽減に役立つセキュリティの成熟化の明確な形と戦略的洞察を見極めました。その目的は、防御者の対処の仕方を改善するための分析を行い、最終的にこれを支援することです。

■主な調査結果

脆弱性評価には4つの際立った戦略があります。

• ◇Minimalist（ミニマリスト）コンプライアンス規制に従って、最低限の脆弱性評価を行います。このカテゴリに分類される組織は33%あり、一部の資産についてのみ限定的な評価を行います。これは、多くの企業がリスクにさらされ、何らかの取り組みがまだ必要であることを意味し、どのKPIを最優先するかという重大な決断が伴います。
• ◇Surveyor（サーヴェイヤー）広範囲の脆弱性評価を頻繁に実施しますが、スキャンテンプレートの柔軟性と信頼度が低いのが特徴です。このカテゴリに分類される組織は19%あり、情報資産管理の成熟度は低~中程度となります。
• ◇Investigator（インベスティゲイター）脆弱性評価の成熟度は高いものの、その評価が一部の資産でしか実施されていないことが特徴です。このカテゴリに分類される組織は43%あり、十分なスキャン頻度や的確なスキャンテンプレート、幅広い資産の査定、そして優先順位に基づく強固な戦略的脆弱性評価を実施していることを示唆します。このカテゴリーは、脆弱性管理や経営陣の承認確保、IT部門を含む多様な事業部門との連携、スタッフやスキルの維持、さらに規模の複雑さが絡む難しい課題をこなしていることを踏まえると、優れた実績を上げていると言え、成熟度をさらに向上させる下地があります。
• ◇Diligent（ディリジェント）脆弱性評価の成熟度は最高レベルで、資産が安全か危険か、そしてその度合いを高い評価頻度を通じて、ほぼ常時可視化することに成功しています。このカテゴリに該当する組織はわずか5 %で、ケースに応じて的確でカスタマイズされた包括的な資産管理を実施しています。
• それぞれの成熟度で共通するのは、組織が脆弱性評価への場当たり的アプローチを避け、それに代わって戦略的な意志決定を行い、頻度の高い、立証されたスキャンなど、より成熟した方策を採用することで、脆弱性評価プログラムの有効性を高めれば恩恵が得られるということです。

調査の詳細については、テナブル・リサーチのブログ記事をご参照ください。https://www.tenable.com/blog/how-mature-are-your-cyber-defender-strategies.

ラスベガスのBlack Hat USA 2018では、Tenableのブース（404）にお立ち寄り下さい。

【米国テナブル社プロフィール】
Tenable Network Security^®は、 企業の様々な情報資産の脆弱性を自動で容易に可視化、改善するソリューションを提供する会社です。世界中の24,000社を超える組織は、Tenableがサイバーリスクを熟知してそのリスクを減らし、総合的なセキュリティソリューションにより、将来のビジネスニーズに合わせてそのテクノロジーを変革し、企業組織の情報保護に向けた有効な対策を提供するよう期待しています。Nessus^®を開発したTenableは、脆弱性対策の技術をさらに発展させることで、あらゆる情報資産やデバイスの脆弱性を管理、保護する世界初のセキュリティプラットフォーム「Tenable.io®」を展開しています。Tenableのセキュリティプラットフォームは、米国ビジネス誌Fortuneが選定する『Fortune 500』（総収入に基づいた全米上位500社）企業の53%、世界の有力企業2000社の29%のお客様に導入されています。詳細はtenable.com へ。

連絡先:
Amit Yoran（アミット・ヨーラン）
[email protected]