Tenable ブログ
ブログ通知を受信する
サイバーエクスポージャー管理: DX 時代のアタックサーフェスのリスクを削減
サイバーセキュリティ企業にとって、事後対応型でサイロ化したセキュリティ対策や、ほんの少しのインサイトしか得られない断片化されたデータを大量に生成するポイントツールの無秩序な増加は、大きな悩みの種になっています。 このブログでは、包括的な可視化によって、脅威の予測、修正作業の優先順位付け、リスクの削減を可能にするサイバーエクスポージャー管理プラットフォームが必要な理由について説明します。
オンプレミスの境界が明確に定義されていた IT 環境は、ダイヤル式の電話機と同じように過去のものとなりました。 なぜなら、その要因は、 クラウド、モバイル化、継続的なソフトウェア配信、IoT、さらにはここ数年で普及したその他すべての新しいテクノロジーやプロセスにあると考えられます。
結果的に、IT 環境の複雑化、分散化、ハイブリッド化、疎結合化が進み、セキュリティの確保が非常に困難になっています。 拡大し続ける複雑なアタックサーフェスでは、サイバー犯罪者が悪用できる盲点やギャップが数多く生み出されています。
この新しい世界においてサイバーセキュリティ企業は、事後対応型でサイロ化したセキュリティ対策や、断片化されたデータを大量に生成するポイントツールの無秩序な増加に悩まされています。断片化されたデータは多くの場合、容易に関連付けることができず、事業がさらされているリスクの判断ができるような有益な洞察を導き出すのが困難です。
必要なのは、 サイバーエクスポージャー管理を始めること
IT 環境の進化と複雑化に伴い、すべての資産に対するセキュリティの確保や保護に必要なツールや手法も進化し、複雑化しています。 脆弱性管理は、サーバー、ワークステーション、ネットワークデバイスといった従来の IT 資産のセキュリティ態勢の理解を深めるために活用されてきました。 しかし、クラウドプラットフォーム、マイクロサービス、ウェブアプリケーション、ネットワークに接続されたオペレーショナルテクノロジーデバイス、アイデンティティサービスへの移行には、それぞれのテクノロジーを安全に正しく評価して、何がリスクをもたらす可能性があるのかを判断できる、より一層専門化されたツールが必要となります。
サイバーエクスポージャー管理は、個別の評価ツールや評価手法によるデータを集約して分析し、得られた結果の関係性を確認します。これは、サイロ化した評価手法に取って代わる新しい方法であり、何が攻撃にさらされる可能性があるのかという本質が理解できるようになります。 攻撃者はよくある種類の脆弱性から別の種類の脆弱性へと狙いを変えるため、防御側はすべての脆弱性や設定ミスのデータが互いに与える影響を理解する必要があります。 従来、関係性に焦点を当てた集約的なこの種の分析は、手動によって外部のデータストアで行われていたもので、セキュリティチームはリスクの関係性を独自に見いだし、インフラに関する属人的な見解に頼らなければなりませんでした。 その結果、環境の全体像が把握できず、問題に対処するためのプロセスが非常に面倒で困難なものとなっていました。
この困難なシナリオへの解決策が、従来の脆弱性管理の枠を超えるサイバーエクスポージャー管理プログラムです。サイバーエクスポージャー管理プログラムには、認証管理ソリューション、クラウド環境の設定とデプロイメント、ウェブアプリケーションなどのさまざまな資産やテクノロジーにわたる設定上の問題、脆弱性、攻撃経路に関するデータが含まれています。
エクスポージャーの把握、対応、修正に必要となるプロセスと、テクノロジープラットフォームを基盤としたサイバーエクスポージャー管理プログラムは、以下を実現します。
- 現代のアタックサーフェス全体の包括的な可視化
- 脅威を予測し、攻撃を防ぐための作業の優先順位付け
- より適切な判断を可能にする、サイバーリスクの伝達
サイバーエクスポージャー管理は必要だろうか
以下の質問で、サイバーエクスポージャー管理プログラムを導入する必要があるかどうかをご確認いただけます。
- セキュリティスタック内のツールは連携して機能し、エクスポージャーに対するインサイトを提供していますか。
- エンドポイントからクラウド、オンプレミス環境まであらゆる領域にわたって、アタックサーフェスを完全に可視化できていますか。
- 優先的に実行すべき施策を常に把握できるように、予測に基づいていつでも修正作業に優先順位を付けることができますか。
- 脅威状況を把握するために脅威インテリジェンスを活用していますか。
- 最も重要な資産にサイバー犯罪者が到達する可能性がある攻撃経路をすべて分析できますか。
- 業界のベンチマークを満たす、または上回る方法で、タイムリーに、正確かつ継続的に問題を修正していますか。
- 次の質問に自信と根拠を持って答えられますか。 「会社のセキュリティは大丈夫 ?」
- 経営幹部とセキュリティチームの両方に、セキュリティ状況を明確に伝えることができますか。
- セキュリティ部門のリソース配分は、データに基づいて決定されていますか。
すべてまたはほとんどの質問への答えが「いいえ」の場合、サイバーエクスポージャー管理によってメリットを得られる可能性がかなり高いといえます。
主な利点
包括的なサイバーエクスポージャー管理プログラムは、さまざまなステークホルダーの業務を支援します。 ここでは、サイバーエクスポージャー管理プログラムが 3 つの主要グループにもたらすメリットについてご紹介します。
-
セキュリティ担当者
- アタックサーフェス全体の完全な可視化と把握
- すべての資産の一元的な表示。盲点の排除
- すべての種類の脆弱性とエクスポージャーに対する修正の正確な優先順位付け
- 効果的なリスク管理のベースライン構築のための明瞭性
- リスクに関するより適切な意思決定
-
セキュリティマネージャー
- 脅威、資産、権限についての包括的なインサイトと関係性の把握
- リスクの削減と、必要とされる修正と対応リソースの削減
- アタックサーフェス全体にわたる資産とユーザーの繋がりを踏まえた表示による、攻撃の影響の予測
- 長期的な対策効果の追跡とベンチマークによる比較のための、明確で容易に伝達できる主要パフォーマンス指標 (KPI)
-
CISO、事業情報セキュリティ責任者 (BISOs) その他のセキュリティ幹部
- 投資や保険適用に関するより適切な意思決定、コンプライアンス要件の遵守、組織改善の推進を行うための正確なリスク評価
- サイバーリスクを測定、比較し、IT チームやセキュリティチーム、技術者ではない経営幹部や運用チームに伝達する際に役立つ、すぐに活用できる指標
- 対策効果を測定し、ベンチマーキングによって競合他社や社内の部門間との比較ができる、明確な KPI を使用したサイバーリスクの統一表示
- 最も基本的な質問「会社のセキュリティは大丈夫 ?」に回答できるようになる
サイバーエクスポージャー管理プラットフォームの 3 つの重要ポイント
効果的なサイバーエクスポージャー管理プラットフォームには、以下の 3 つの主な機能が必要があります。
包括的な可視性
企業のサイバーリスクとアタックサーフェス全体をすみやかに、かつスムーズに理解して管理し、盲点を排除するのに必要な機能:
- オンプレミスとクラウド上にあるすべての資産と関連ソフトウェアの脆弱性、設定上の脆弱性、アクセス許可の脆弱性などの統一表示
- 外部に露出しているすべての資産を迅速に検出して特定することによって、既知のものだけでなく未知のセキュリティリスクが存在する領域を取り除くための、インターネットの継続的な監視
予測と優先順位付け
セキュリティチームが最小限の労力でサイバー攻撃を想定してその影響を把握し、作業に優先順位を付け、リスクを削減できるようにするのに必要な要素:
- さまざまなポイントツールから得られる大量のデータセットを活用し、攻撃経路全体において相互に関連する資産、エクスポージャー、権限、脅威の関係性を繋いだ情報の提供
- 攻撃者に悪用された場合に最大のリスクをもたらす攻撃経路を継続的に検出し、その対処に優先的に取り組めるようにすること
- 正確かつ予測に基づいた修正のガイダンスとインサイトの提供
サイバーリスクの伝達のための効果的な指標
セキュリティ幹部やビジネスリーダーが、サイバーリスクをビジネスニーズに応じて明確な KPI とともに一元的に表示し、ベンチマーク機能を使用するのに必要な要素:
- 企業の全体的なサイバーリスクについて、その対策に直結する情報の提供 (日々行われている事前対応型の取り組みの有用性なども含む)
- ユーザーが部門、事業ユニット、地理的なロケーション、テクノロジータイプ、その他の事業運営区分領域ごとの詳細を画面から調査できるインターフェース
- 社内の部門間での情報伝達や連携の向上に全体的に貢献できる機能
- リスクを目に見える形で削減しながら、時間の節約、投資に関する意思決定の改善、サイバー保険の取り組みのサポート、改善の推進などに役立つ、すぐに活用できる指標の提供
Tenable が支援します
Tenable は本日、Tenable One サイバーエクスポージャー管理プラットフォームを提供開始しました。このプラットフォームは、さまざまなデータソースを単独のエクスポージャービューに統一して、企業に必要な可視性、作業の優先順位付け、サイバーリスクの伝達を促進する機能を提供します。
実績のある Tenable 製品を基盤として構築されている Tenable One は、さまざまな種類の脆弱性、設定ミス、その他のセキュリティ上の問題を一元的に集約し、すべての調査結果にわたるリスクの文脈を統合し、最もリスクにさらされている領域を状況に沿って把握できるようにします。 これにより、パッチ適用漏れ、SQL インジェクション脆弱性、コンテナの設定ミスのそれぞれのリスクを平等に評価し、ビジネスに影響を与える可能性の高いリスクを把握できるようになります。 Tenable One を使用すれば、Tenable と ServiceNow などのパートナーとのこれまでの連携の利点を活かすことができます。 Tenable One は、ほとんどの企業ですでに実装されている他のセキュリティツール、プロセス、サービスと共に、サイバーエクスポージャー管理プログラムの基盤を形成するように作られています。
もっと詳しく
- ホワイトペーパーをダウンロード: サイバーセキュリティ企業が直面している 3 つの実世界の課題に対してサイバーエクスポージャー管理プラットフォームがどのように役立つか
- インフォグラフィックにはこちらからアクセス: リスクベースの脆弱性管理からサイバーエクスポージャー管理へ 変化する「良好なサイバーハイジーン」の定義
- こちらのブログもご覧ください。Tenable One サイバーエクスポージャー管理プラットフォームのご紹介
関連記事
OpenAI’s ChatGPT and GPT-4 Used as Lure in Phishing Email, Twitter Scams to Promote Fake OpenAI Tokens
March 17, 2023Hoping to cash in on the massive interest around OpenAI’s GPT-4 – ChatGPT’s new multimodal model – scammers have launched phishing campaigns via email and Twitter designed to steal cryptocurrency. Check out how they’re carrying out the scams and how you can avoid becoming a victim.
Cybersecurity Snapshot: CISA Pinpoints Vulnerabilities in Critical Infrastructure Orgs that Ransomware Groups Could Exploit
March 17, 2023Learn about CISA’s new program to help critical infrastructure organizations stamp out vulnerabilities associated with ransomware attacks. Plus, a U.S. government advisory with the latest on LockBit 3.0. Also, find out why the U.K.’s cyber agency is warning users about ChatGPT. And much more!
Microsoft’s March 2023 Patch Tuesday Addresses 76 CVEs (CVE-2023-23397)
March 14, 2023Microsoft’s March 2023 Patch Tuesday Addresses 76 CVEs (CVE-2023-23397) Microsoft addresses 76 CVEs including two zero-days exploited in the wild, one of which was publicly disclosed. 9Critica...
Tenable Cyber Watch: A Look at the U.S. National Cybersecurity Strategy, A Powerful AI Tech Gears Up for Prime Time, and more
March 20, 2023This week’s edition of the Tenable Cyber Watch unpacks the White House’s National Cybersecurity Strategy and explores how artificial intelligence will help cyber teams with complex attacks. Also covered: Why software vendors should prepare to submit letters of attestation to the GSA.
OpenAI’s ChatGPT and GPT-4 Used as Lure in Phishing Email, Twitter Scams to Promote Fake OpenAI Tokens
March 17, 2023Hoping to cash in on the massive interest around OpenAI’s GPT-4 – ChatGPT’s new multimodal model – scammers have launched phishing campaigns via email and Twitter designed to steal cryptocurrency. Check out how they’re carrying out the scams and how you can avoid becoming a victim.
Cybersecurity Snapshot: CISA Pinpoints Vulnerabilities in Critical Infrastructure Orgs that Ransomware Groups Could Exploit
March 17, 2023Learn about CISA’s new program to help critical infrastructure organizations stamp out vulnerabilities associated with ransomware attacks. Plus, a U.S. government advisory with the latest on LockBit 3.0. Also, find out why the U.K.’s cyber agency is warning users about ChatGPT. And much more!
- サイバーエクスポージャー管理
