Tenable ブログ
ブログ通知を受信するサイバー・ディフェンダー・ストラテジーの成熟度を測定してみる
Tenable の最新の研究では、防御側の人々がサイバー衛生におけるこの重要な段階にどのようにして取り組んでいるのかを理解するため、2,100 社で実際の脆弱性評価の実施について調査しています。
Tenable の最新の研究「サイバー・ディフェンダー・ストラテジー:お客様の脆弱性評価の施行が明らかにしたもの」で私たちは、各組織が脆弱性評価 (VA) をどのようにして実践しているか、また、その内容がサイバー成熟度について何を示唆するのかを探ります。
Tenable の前回の研究「攻撃側の先行者利益を定量化する」では、機能している突破口へのアクセスを攻撃者が獲得するまでに平均5日間かかることが分かっており、私たちは、ここに興味をそそられました。反対に、私たちは、防御側が脆弱性を評価するのには平均 12 日かかることも分かっています。これら二つ所要時間の差異は、平均7日間の、防御側が無防備であることに気付くこともできない期間であり、攻撃者にとっては絶好の攻撃のチャンスになります。このことから、私たちは、この極めて重要な発見において防御側がいかに対応しているのかについて考え、Cyber Exposure ライフサイクルの評価段階について評価を行うことにしました。
Tenable のサイバー・ディフェンダー・ストラテジーレポートは、5 段階からなる Cyber Exposure ライフサイクルの Discover 並びに Assess ステージと関連する重要業績評価 (KPI) に特に重点をおいています。第一段階の Discover では、資産を特定し、あらゆるコンピューターの使用環境全域に及ぶ可視化のための地図作成を行いました。第二段階の Assess では、脆弱性および不適当な設定、その他の健全指標を含めた全資産のステータス理解を行います。これらは、より長い行程の中の二つの段階のみに過ぎませんが、それらを合わせると、優先順位付けや修復といった、後続する段階の範囲や速度がはっきりと決定します。
私たちは、エンドユーザーがどのようにして実世界における脆弱性評価を行っているか、そしてこれが利用者の全体的な成熟度水準に関して何を教示してくれるか、また、人口動態によりこれがどのように変化するかについて、更に学びたいと思っていました。
サイバー・ディフェンダー・ストラテジー : 脆弱性評価 KPI を理解する
弊社のサレポートでは、実世界におけるエンドユーザーの脆弱性評価行動に基づく重要業績評価指標 (KPI) を5つ分析しました。これらの KPI は、4 つの VA 成熟度スタイル:ディリジェント、インベスティゲイティブ、サーベイイング、ミニマリストと相互に関係しています。
私たちは、このデータセットに含まれる約半数 (48%) の企業が、非常に成熟した (ディリジェントまたはインベスティゲイティブスタイルを示す) 脆弱性評価戦略を実践していることを発見しました。一方で、残りの半数強 (52%) は、中 ~ 低水準の脆弱性評価成熟度 (サーベイイングまたはミニマリストスタイルを示す)を示しています。これがすべて、何を意味しているかについて今から説明したいと思います。まず第一に、これらの結果に到達するために私たちが適用した手法をざっと見ていきましょう。
弊社の 4 つの VA スタイルを特定するため、私たちは 66 ヶ国の 2,100 以上の個別の組織から入手した匿名のスキャンテレメトリーデータにより、原型分析(AA)と呼ばれる機械学習アルゴリズムを訓練しました。2018 年 3 月 ~ 5 月の 3 ヶ月間で 300,000 回強のスキャンを分析。このデータセットにおける多数の理想的 VA 行動を特定し、組織が最も関係する原型を基に組織のグループ分けをしました。各防御スタイルの脆弱性評価特性は、以下の表に解説されています。
4 つの脆弱性評価スタイル: それらが明らかにしたもの
VA スタイル |
VA成熟度スタイル |
特性 |
ディリジェント |
高水準 |
ディリジェントは、使用事例の要求に合わせてスキャンを調整し、包括的な脆弱性評価を行いますが、選択的にだけ認証を行います。 |
インベスティゲイティブ |
中 ~ 高水準 |
インベスティゲーターは、高い成熟度にて脆弱性評価を行いますが、選択的な資産の評価だけに留まります。 |
サーベイイング |
低 ~ 中水準 |
サーベイヤーは広範囲の脆弱性評価を頻繁に行いますが、主に遠隔でネットワークに接続している脆弱性を重視します。 |
ミニマリスト |
低水準 |
ミニマリストは、通常、コンプライアンス指令によって求められる最低限の脆弱性評価を実行します。 |
出典: Tenableのレポート:2018 年 8 月
以下は、脆弱性評価の各スタイルに関してわかったことです:
- 5%の企業だけが、ディリジェントスタイルを採用し、KPIの大部分において高水準の成熟度を示しています。ディリジェント採用者は、包括的な資産の範囲だけでなく異なる資産グループや事業単位に関する標的化・カスタマイズされた評価をもって、頻繁に脆弱性評価を行います。
- 43%の企業が、インベスティゲイティブスタイルを採用し、中 ~ 高水準の成熟度を達成しています。これらの組織は優れたスキャン頻度を呈し、標的化したスキャンテンプレートを活用して、その資産のほとんどの認証を行います。
- 19%の企業は、サーベイイングスタイルを採用し、低 ~ 中程度の成熟度を示しています。サーベイヤーは広範囲の評価を行いますが、使用するスキャンテンプレートは、ごくわずかな認証とカスタマイズが行われただけのものです。
- 33%の企業が、ミニマリストスタイルで低成熟度にあり、選択された資産の限定的な評価しか行なっていません。
Tenableのサイバー・ディフェンダー・ストラテジー・レポート : 主な調査結果
出典: Tenableのサイバー・ディフェンダー・ストラテジー・レポート 2018 年 8 月
脆弱性評価は、すべての成熟度レベルにおいて重要です
お客様は、ご自身の脆弱性評価がどの程度のものかについて既に一定の意見をお持ちかと思います。お客様の組織が低い成熟度のサーベイイングまたはミニマリストのスタイルに傾いていたとしても、心配には及びません。低い成熟度にあることは、全く問題でなく、問題はその状態に留まることです。
お客様が、より後期の採用者である場合、周囲に追い付くために多くの取り組みが必要になりますが、同時に、初期の採用者の間違いや経験から学ぶことができます。お客様の組織が、未検証で新手の、未成熟なソリューションの試験台となるよりも、既に検証・試験済みの商品を利用した方がいいでしょう。ご自身の戦略を一から構築していくよりも、既に確立された知識を活用した方がお得です。実験段階を省いて、最適化と革新へ向かって一直線に向かいましょう。
また、ここに示す最も成熟した脆弱性評価戦略を採用していても、安心してよいということではありません。最も優秀な防御者でさえ、自身の仕事に終わりはないことを知っています。<?p>
どのスタイルが最もお客様に合っているかにかかわらず、最終的な目標は、より高水準の成熟度に向かって常に進化し続けるということです。それが簡単でないことは、皆、承知しています。サイバーセキュリティの専門家は多くの歴史的手荷物を引きずっています。常に進化し台頭する技術のポートフォリオを管理する複雑さと並んで、レガシー技術とその依存性と戦っているのです。その一方で、ここ数年で、脅威の環境は著しく進展しており、このすべては競争社会の重圧を背景としたものなのです。
サイバーセキュリティに関して言えば、私たちは突破できる速度に達しており、今まさに、ほとんどの組織がそれを手に入れるところです。
Tenable のサイバー・ディフェンダー・ストラテジーレポートでは、お客様が次なる成熟度水準に進むための支援を行うため、各 VA スタイルに関する助言を行っています。私たちは、お客様が同業他社とご自身を比較できるよう、これら 4 つの VA スタイルが主要業界内や組織の規模によってどのように分布しているかについても調査を行っています。
詳細はこちらから
関連記事
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning