Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

CISO が対策を計画する必要のあるサイバーセキュリティに関する 4 つの課題

サイバーセキュリティ戦略の改善をテーマにお届けする全 6 回にわたるブログシリーズの第 1 回目では、業界の極度にサイロ化されたアプローチへの依存がいかに安全性を低下させているかを取り上げ、CISO が対策を計画する必要のある 4 つの課題について説明します。

IT インフラストラクチャは多くの場合、企業の成長とともに拡大します。新しいツール、アプリケーション、システム、およびユーザープロファイルは、通常、戦略的検討が十分になされないまま、ニーズがある度に全体システムに追加されてしまいます。新規ツールを導入、維持するために新しいスキルが必要となる場合、組織のサイロ化が生じてしまいます。やがて、このような組織運営は全て、新しい住人が住むたびに増築を続けた住居のようにガタガタになってしまうかもしれません。

脅威は見えない隅に潜んでいます。予期しない脆弱性、年代物の技術、分散したデータセンター、不規則に広がるネットワーク、貪欲な会社関係者、そして無防備なユーザーが増え続けています。 コンパートメント化されて散在した企業の IT インフラストラクチャでは、個人はもちろんのこと、チームであってもネットワーク全体の総合的な可視化を実現することは困難です。

Cyber Exposureブログシリーズを読む(一部の記事は英語です。ご了承ください。)

CISO が対策を計画する必要のあるサイバーセキュリティに関する 4 つの課題

組織のサイバーエクスポージャーギャップを特定するための 3 つのヒント

リスクに基づいて脆弱性に優先順位を付けるための 5 つのヒント

メトリクスと成熟度:Cyber Exposureの経時的ベンチマーク

同業の他社と比べて貴社のサイバーエクスポージャープラクティスはどうですか?

Cyber Exposure:脆弱性管理に対する総合的なアプローチ

可視性をないがしろにすると、これらのサイロ化された脅威のベクトルの検出が困難になり、発見された脅威ベクトルへの対処が厳しくなります。これは利用できるツールや方策の大部分が、統合されていない特定の懸案事項に対処するためにのみ設計されているからです。組織全体でセキュリティツールがでたらめに導入している事案をよく見かけます。運営、アプリケーションセキュリティ、DevOps、ネットワークセキュリティ、機械学習、ハイパフォーマンスコンピューティング、セキュリティオペレーションセンター (SOC)、監査とコンプライアンスのチームがそれぞれ独自のツールを追求し導入している事案もよく見かけます。そして市場は十分過ぎるほどのセキュリティツールで溢れています。RSA Conference 2018 への出展企業は実に 600 社以上にも上りました。

こうした問題は目新しいものではなく、アタックサーフェスが拡大し続けている今、これまでになく喫緊の課題となっています。私たちは、企業全体で使用されているあらゆる隔離されたアプリ、分散したコンピューティングやストレージプラットフォームの保護における課題についてITおよびサイバーセキュリティの専門家からよく耳にします。オペレーショナルテクノロジー(OT)およびモノのインターネット(IoT)デバイスなどのインターネットに接続されたソリューションは、多くの場合、IT組織の支援の外にあるため、独自の問題をもたらします。

このような組織では、API を介してアプリケーションを統合し、たくさんのクラウドを 1 つの管理プラットフォームの下に置くことで、それらを一元管理しようとするケースがほとんどです。ですが、このアプローチも一時しのぎに過ぎません。ネットワーク全体の可視性を重視し、その中に潜んでいる可能性のある脅威に細かいインサイトを適用することで組織が優先順位の高いものから順に効果的に対処できるようにする総合的なサイバーセキュリティ戦略に代わるものではないのです。当社ではこのようなアプローチを Cyber Exposure と呼んでいます。

Cyber Exposure は、デジタル時代におけるサイバーセキュリティリスクを管理し測定する新たな分野です。Cyber Exposure は、セキュリティを静的でサイロ化した可視性から最新のアタックサーフェイスにおける動的で総合的な可視性に変換します。これは、最新のアタックサーフェス全域に対応するサイバーセキュリティ戦略を構築するための基盤となります。

CISO が対策を計画する必要のある 4 つの課題

Cyber Exposure の規律を使用して総合的なサイバーセキュリティ戦略を構築すれば、いつの時点でも、貴社が抱える以下の 4 つの課題にどのような対策を講じるべきか、その答えが分かります。

  • セキュリティ体制はどうなっているか? この質問に答えるには、クラウドリソース、コンテナ、産業用制御システム、モバイルデバイスなど、IT部門が確認していない組織の攻撃対象領域のあらゆる側面を把握する必要があります。そのためには、自社に対する特定の脅威が存在する場所のインベントリを作成する必要があります。たとえば、組織がパッチの適応に特に熱心であれば、7年以内にシステムにパッチを適用していない企業と比べて、最新のWindowsの脆弱性は大きな懸念事項ではないでしょう。サイバーエクスポージャーがどこにあるのか、または、どこにある可能性が高いのかを把握することにより、リスクの全体像が明らかになります。
  • どの分野を優先させるべきか?この質問への答えは、問題が悪用される可能性を理解するための脅威に対するインテリジェンスと、ビジネスにおける資産の位置付けを理解するための資産の重要性とを組み合わせて導き出す必要があります。営業努力、リソース、および予算を最適化するためには、ビジネス状況を考慮に入れて脆弱性を効果的に優先順位付けることが必要です。これにより、労働、罰則、時間、回復、評判の観点から最も貴社に被害をもたらすと考えられる脆弱な分野の保護に焦点を当てることができます。また、チームは影響を受ける資産がビジネスにとってどの程度重要か、そして特定の脆弱性が悪用される可能性はどの程度あるのかに基づき、脆弱性に優先順位を付けて対応することが可能になるので、アラート疲れの軽減にもつながります。
  • 脅威への露出を低減させていくためにはどうすればよいか?この質問に答えられるかによって、お客様の理解度を測ることが出来ます。営業努力を測定するための指標と KPI を特定する必要があります。このような指標は、ビジネスユニット、地域、資産の種類ごとに目に見える形にすることが必要です。これによって、お客様のエクスポージャープロファイルが 1 ヶ月ごと、四半期ごと、1 年ごとにどのように変化するかを理解し、貴社のサイバーセキュリティへの投資に見合う結果が出ているかを、実務部隊の同僚や経営幹部に理解してもらうことを目標とします。
  • 同業他社とどのように比較すればよいか?この質問は、社内の状況だけに目を向けるのではなく、お客様のサイバーセキュリティのプラクティスが同業他社や他の業界企業と比較してどうであるかを理解するのに役立ちます。貴社が同業他社や最高クラスのセキュリティに対してどこにランク付けされているかは、各取締役会で今まで以上に戦略的に議論しなければならない重要なトピックであり、取締役会が適切なリスク監視を行う受託者責任を確実に全うすることにつながります。サイバーリスクは他のビジネスリスクと何ら変わらず、同じ方法で管理され、測定される必要があります。

これら 4 つの課題に対して的確に対応する能力は、トータルでリスクにさらされるレベルとサイバーセキュリティ対策の有効性を把握する上で不可欠です。しかし、IT インフラストラクチャが重度にコンパートメント化されている場合は、より総合的な戦略に移行するためにどこから始めれば良いかを見極めることすら気が萎えると感じるでしょう。

4つの質問

今日から導入できる 3 つのサイバーセキュリティのプラクティス

今日から始められる、包括的なサイバーセキュリティ戦略への移行を開始する際に役立つ 3 つのヒントをご紹介します。

    1. フィッシング詐欺から魚に至るまで、より深く広い範囲で脆弱性を見つけ出す必要性があります。次の攻撃は、認知していない予期せぬ方向から来る可能性があります。インターネットに接続したセンサー経由でカジノにハッキングして 10GB のデータを盗みとった悪名高いカジノの水槽ハッキングは、その完璧な例です。実に様々な IoT デバイスが急速な広がりを見せる中、それに従い悪人が侵入する機会も増大するので、セキュリティチームは脆弱性情報を常に最新の状態に更新する必要があります。しかしながら、IoT デバイスの他にも光を当ててその脅威から保護すべき死角が存在します。クラウドサービスやクラウド環境、コンテナ、ビデオ監視システム、産業用制御機器、POS 端末、HVAC システム、そしてその他のインターネットに接続されたシステムで、通常 IT/SecOps チームでは扱わないものにも注意をしてください。例えば、Tenable の研究者は 9 月に、インターネットに接続された何十万台ものビデオ監視システム用カメラに影響を与える可能性を持つ脆弱性Peekaboo を発見したことを明らかにしました。お客様のセキュリティチームがあらゆる場所をしっかりと監視し、新しい場所に現れる脆弱性をいち早く検出するために設計されたツールを備えていることを確認する必要があります。
    2. すべての資産が同じように作られている訳ではありません。脅威に対し強硬な姿勢で適切に対応するためには、どの資産が事業にとって不可欠であるかを知る必要があります。お客様の会社の CFO がお使いの iPad は、受付で訪問者がサインインする際に使用する iPad よりも価値の高いターゲットになり得ます。まずは、お客様の最重要資産に重点が置かれていることを確認してください。この機会に、各資産の重要度を判定し、それを応答時間別にランク付けしましょう。そしてこの情報を定期的に更新してください。重要度に基づいた資産のインベントリを作成するには資産のタグ付けから始めることをお勧めします。資産の重要度評価の一環として、GDPR、HIPAA、PCI などのコンプライアンス要件を含めることを覚えておきましょう。
    3. 修復に優先順位を付ける。毎年何千もの脆弱性が公開されていますが、実際に悪用されるのはそのうちのわずか数パーセントです。ですので、現在悪用されている脆弱性がどれであるかというインサイト、そして近い将来にどの脆弱性が攻撃対象になり得るかを早い段階で警告することが必要になります。このような情報を利用できれば、セキュリティチームは、資産の重要度、脅威に対するインテリジェンスおよび確率分析に基づいて、脅威に優先順位を付けて対処することが可能となります。

もっと詳しく

Cyber Exposureブログシリーズを読む(一部の記事は英語です。ご了承ください。)

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

アラブ首長国連邦を除くすべての地域で作成された Tenable Vulnerability Management のトライアルには、Tenable Lumin とTenable Web App Scanning も含まれます。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

アラブ首長国連邦を除くすべての地域で作成された Tenable Vulnerability Management のトライアルには、Tenable Lumin とTenable Web App Scanning も含まれます。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

アラブ首長国連邦を除くすべての地域で作成された Tenable Vulnerability Management のトライアルには、Tenable Lumin とTenable Web App Scanning も含まれます。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning をお試しください

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加