Tenable Lumin でプロセスの整合性におけるリスクを把握
成熟したリスクベースの脆弱性管理を実践するには、ビジネスシステムのリスクとプロセスの整合性のリスクを評価する 2 つのリスク指標が不可欠です。Tenable Lumin の新しい評価成熟度スコアは、両方に対する知見を提供します。
リスクベースの脆弱性管理では、以下の 2 種類のリスク指標を評価します。
- ビジネスシステムにおけるリスク
- プロセスの整合性におけるリスク
ビジネスシステムにおけるリスクを軽減するには、組織にとって最も重要な資産を特定し、それらの資産で悪用される可能性が最も高い脆弱性を把握する必要があります。ビジネスシステムのリスク測定は、当初から Tenable Lumin の基盤です。
一方、プロセスの整合性におけるリスクは、不適切な脆弱性管理手順により組織が直面する危険性で、これを把握することにより、次のような質問に答えることができます。
- どの重要なプロセス(スキャン頻度や深度など)を改善する必要があるか
- どのような新しいプロセス/ディレクティブに着手する必要があるか
- 自社のプロセスは、業界のものと比較してどうか
- 事業単位、地理的な領域、資産グループごとに評価を最適化しているか
プロセスの整合性におけるリスクを低減するには、修復の有効性と評価の成熟度を把握する必要があります。これは、脆弱性が存在する環境にどの程度対処しているかを定量化および比較する測定法です。
残念ながら、多くの組織はプロセスの整合性に対して成熟したアプローチを採用していません。Tenable Research の サイバー・ディフェンダー・ストラテジー レポートによると、52%の組織は、脆弱性評価に関して成熟度が低から中程度です。高い評価頻度で包括的な資産を対象にターゲットを絞ったカスタマイズされた評価を実践している成熟度の高い組織はわずか5%でした。
出典: サイバー・ディフェンダー・ストラテジー:お客様の脆弱性評価の実態が明らかにするもの
脆弱性評価プロセスの頻度と完全性が万全ではな くても、運良く深刻な侵害から免れている可能性がありますが確実なアプローチをとるのが賢い方策ではないでしょうか。
評価の成熟度: 脆弱性管理プロセスにおける整合性リスクの尺度
現在、Tenable Lumin には成熟度スコアが組み込まれているので、プロセスの整合性におけるリスクを評価し、ポリシーやプロセスを改善できます。貴社の Cyber Exposure の状態に影響を与える環境を把握し、侵害リスクを低減させるために役立つ知見やアクションを得ることができます。具体的には、スキャン頻度、プラグインのカバレッジ、および認証を増やす必要がある度合いに関する情報が提供されます。また、組織内および業界の同業者との違いを特定します。
評価の成熟度の指標
評価の成熟度は、Tenable Lumin が提供する新しい指標であり、組織が環境をどの程度スキャンしているかを定量化します。この知見は、以下の2つの要素に基づきます。
- スキャンの頻度:ネットワーク内の各資産をスキャンする頻度。この指標は、特定の時間枠内で資産がスキャンされた一意の日数に基づいて計算されます。
- スキャンの深度: 各資産の脆弱性をどの程度深く徹底的にスキャンするか。この指標は、スキャンに含まれるプラグインの数、および、資産が正常に認証されたかどうかに基づきます。
評価成熟度スコアは、スキャン頻度とスキャン深度を組み合わせた単一の数値です。資産グループの評価成熟度スコアは、個々の資産の評価成熟度スコアの平均です。
評価成熟度グレード
Tenable Lumin は組織におけるスキャンの頻度、スキャンの深度、全体的な評価成熟度スコア、および業界の同業者や全体的な人口との比較に基づいて組織にグレードを割り当てます。このグレードは、貴社のプロセスを他社と比較し、改善するために役立ちます。
推奨されるアクション
Tenable Lumin は、ポリシーテンプレート、スキャンの頻度や深度のスケジュールなどを介してプロセスの整合性リスクを軽減する方法について明示的な推奨事項を提供します。
修復の有効性(未修復の脆弱性の存在期間)
プロセスの整合性リスクを軽減するには、修復の有効性も検討する必要があります。修復プロセスの有効性に関する重要な指標の1つは、組織に存在する未修復の脆弱性の存在期間です。Tenable Lumin は、資産の重要度と脆弱性の優先度評価に関する情報を使用し、脆弱性がシステムに存在する期間に関する知見を提供します。
Cyber Exposure スコアを低減させるために推薦されるアクション
また、リスクを効果的に軽減するために Tenable Lumin は、Cyber Exposure スコアの削減に効果的に影響を与えるように優先順位が付けられた一連の推奨アクションのリストを提供します。
Tenable Lumin でサイバーリスクを管理
貴社のビジネスシステムとプロセスの整合性におけるリスクを評価するには、今すぐ Tenable Lumin の無料トライアルをお試しください。
Kevin Flynn
Tenable、シニアプロダクトマーケティングマネージャー
ハイテクとサイバーセキュリティ分野で 25 年を超える経歴のある Kevin Flynn は、Tenable のシニアプロダクトマーケティングマネージャーです。彼のハイテクのキャリアは Apple Computer のアドバンスドテクノロジーグループでプロダクトマネージャーを務めたところから始まり、その後 Cisco でセキュリティテクノロジー部門に在籍し、プロダクトマネージャーとマーケティングマネージャーとして 12 年以上活躍しました。Cisco 退社後、Fortinet、Blue Coat、Skybox Security の各社でプロダクトマーケティングの役職を務め、Tenable 入社しました。 Kevin は世界中のカンファレンスでサイバーセキュリティについて講演し、関連問題について記事を多数執筆しています。関連記事
Shifting the Paradigm: Why the Cyber Insurance Industry Should Focus on Preventive Security
As claims and losses climb, it’s clear that preventive security should be prioritized more when designing a cyber insurance policy. Here’s why preventive security investments are cost effective and can lead to lower premiums. ...
Cybersecurity Snapshot: Log4j Anniversary, CI/CD Risks, Infostealers, Email Attacks, OT Security
Get the latest on the anniversary of the Log4j crisis; OWASP’s top CI/CD risks; a surge of infostealer malware; the fund transfer fraud — business email compromise connection; and more! ...
A Recipe for Success: CISOs Share Top Tips for Successful Board Presentations
With the right ingredients, you can nail your board presentation every time. Check out these recommendations from seasoned Fortune 1000 CISOS. Presenting to the board can seem like the most daunting task to CISOs - but it doesn't have to be. It's as much about the preparation as it is having the ...
- Metrics
- Vulnerability Management
- Vulnerability Scanning