Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サイバー・ディフェンダー・ストラテジーの成熟度を測定してみる

Tenable の最新の研究では、防御側の人々がサイバー衛生におけるこの重要な段階にどのようにして取り組んでいるのかを理解するため、2,100 社で実際の脆弱性評価の実施について調査しています。

Tenable の最新の研究「サイバー・ディフェンダー・ストラテジー:お客様の脆弱性評価の施行が明らかにしたもの」で私たちは、各組織が脆弱性評価 (VA) をどのようにして実践しているか、また、その内容がサイバー成熟度について何を示唆するのかを探ります。

Tenable の前回の研究「攻撃側の先行者利益を定量化する」では、機能している突破口へのアクセスを攻撃者が獲得するまでに平均5日間かかることが分かっており、私たちは、ここに興味をそそられました。反対に、私たちは、防御側が脆弱性を評価するのには平均 12 日かかることも分かっています。これら二つ所要時間の差異は、平均7日間の、防御側が無防備であることに気付くこともできない期間であり、攻撃者にとっては絶好の攻撃のチャンスになります。このことから、私たちは、この極めて重要な発見において防御側がいかに対応しているのかについて考え、Cyber Exposure ライフサイクルの評価段階について評価を行うことにしました。

Tenable のサイバー・ディフェンダー・ストラテジーレポートは、5 段階からなる Cyber Exposure ライフサイクルの Discover 並びに Assess ステージと関連する重要業績評価 (KPI) に特に重点をおいています。第一段階の Discover では、資産を特定し、あらゆるコンピューターの使用環境全域に及ぶ可視化のための地図作成を行いました。第二段階の Assess では、脆弱性および不適当な設定、その他の健全指標を含めた全資産のステータス理解を行います。これらは、より長い行程の中の二つの段階のみに過ぎませんが、それらを合わせると、優先順位付けや修復といった、後続する段階の範囲や速度がはっきりと決定します。

私たちは、エンドユーザーがどのようにして実世界における脆弱性評価を行っているか、そしてこれが利用者の全体的な成熟度水準に関して何を教示してくれるか、また、人口動態によりこれがどのように変化するかについて、更に学びたいと思っていました。

サイバー・ディフェンダー・ストラテジー : 脆弱性評価 KPI を理解する

弊社のサレポートでは、実世界におけるエンドユーザーの脆弱性評価行動に基づく重要業績評価指標 (KPI) を5つ分析しました。これらの KPI は、4 つの VA 成熟度スタイル:ディリジェント、インベスティゲイティブ、サーベイイング、ミニマリストと相互に関係しています。

私たちは、このデータセットに含まれる約半数 (48%) の企業が、非常に成熟した (ディリジェントまたはインベスティゲイティブスタイルを示す) 脆弱性評価戦略を実践していることを発見しました。一方で、残りの半数強 (52%) は、中 ~ 低水準の脆弱性評価成熟度 (サーベイイングまたはミニマリストスタイルを示す)を示しています。これがすべて、何を意味しているかについて今から説明したいと思います。まず第一に、これらの結果に到達するために私たちが適用した手法をざっと見ていきましょう。

弊社の 4 つの VA スタイルを特定するため、私たちは 66 ヶ国の 2,100 以上の個別の組織から入手した匿名のスキャンテレメトリーデータにより、原型分析(AA)と呼ばれる機械学習アルゴリズムを訓練しました。2018 年 3 月 ~ 5 月の 3 ヶ月間で 300,000 回強のスキャンを分析。このデータセットにおける多数の理想的 VA 行動を特定し、組織が最も関係する原型を基に組織のグループ分けをしました。各防御スタイルの脆弱性評価特性は、以下の表に解説されています。

4 つの脆弱性評価スタイル: それらが明らかにしたもの

VA スタイル

VA成熟度スタイル

特性

ディリジェント

高水準

ディリジェントは、使用事例の要求に合わせてスキャンを調整し、包括的な脆弱性評価を行いますが、選択的にだけ認証を行います。

インベスティゲイティブ

中 ~ 高水準

インベスティゲーターは、高い成熟度にて脆弱性評価を行いますが、選択的な資産の評価だけに留まります。

サーベイイング

低 ~ 中水準

サーベイヤーは広範囲の脆弱性評価を頻繁に行いますが、主に遠隔でネットワークに接続している脆弱性を重視します。

ミニマリスト

低水準

ミニマリストは、通常、コンプライアンス指令によって求められる最低限の脆弱性評価を実行します。

出典: Tenableのレポート:2018 年 8 月

以下は、脆弱性評価の各スタイルに関してわかったことです:

  • 5%の企業だけが、ディリジェントスタイルを採用し、KPIの大部分において高水準の成熟度を示しています。ディリジェント採用者は、包括的な資産の範囲だけでなく異なる資産グループや事業単位に関する標的化・カスタマイズされた評価をもって、頻繁に脆弱性評価を行います。
  • 43%の企業が、インベスティゲイティブスタイルを採用し、中 ~ 高水準の成熟度を達成しています。これらの組織は優れたスキャン頻度を呈し、標的化したスキャンテンプレートを活用して、その資産のほとんどの認証を行います。
  • 19%の企業は、サーベイイングスタイルを採用し、低 ~ 中程度の成熟度を示しています。サーベイヤーは広範囲の評価を行いますが、使用するスキャンテンプレートは、ごくわずかな認証とカスタマイズが行われただけのものです。
  • 33%の企業が、ミニマリストスタイルで低成熟度にあり、選択された資産の限定的な評価しか行なっていません。

Tenableのサイバー・ディフェンダー・ストラテジー・レポート : 主な調査結果

Tenableのサイバー・ディフェンダー・ストラテジーレポート: 主な調査結果 2018 年 8 月

出典: Tenableのサイバー・ディフェンダー・ストラテジー・レポート 2018 年 8 月

脆弱性評価は、すべての成熟度レベルにおいて重要です

お客様は、ご自身の脆弱性評価がどの程度のものかについて既に一定の意見をお持ちかと思います。お客様の組織が低い成熟度のサーベイイングまたはミニマリストのスタイルに傾いていたとしても、心配には及びません。低い成熟度にあることは、全く問題でなく、問題はその状態に留まることです。

お客様が、より後期の採用者である場合、周囲に追い付くために多くの取り組みが必要になりますが、同時に、初期の採用者の間違いや経験から学ぶことができます。お客様の組織が、未検証で新手の、未成熟なソリューションの試験台となるよりも、既に検証・試験済みの商品を利用した方がいいでしょう。ご自身の戦略を一から構築していくよりも、既に確立された知識を活用した方がお得です。実験段階を省いて、最適化と革新へ向かって一直線に向かいましょう。

また、ここに示す最も成熟した脆弱性評価戦略を採用していても、安心してよいということではありません。最も優秀な防御者でさえ、自身の仕事に終わりはないことを知っています。<?p>

どのスタイルが最もお客様に合っているかにかかわらず、最終的な目標は、より高水準の成熟度に向かって常に進化し続けるということです。それが簡単でないことは、皆、承知しています。サイバーセキュリティの専門家は多くの歴史的手荷物を引きずっています。常に進化し台頭する技術のポートフォリオを管理する複雑さと並んで、レガシー技術とその依存性と戦っているのです。その一方で、ここ数年で、脅威の環境は著しく進展しており、このすべては競争社会の重圧を背景としたものなのです。

サイバーセキュリティに関して言えば、私たちは突破できる速度に達しており、今まさに、ほとんどの組織がそれを手に入れるところです。

Tenable のサイバー・ディフェンダー・ストラテジーレポートでは、お客様が次なる成熟度水準に進むための支援を行うため、各 VA スタイルに関する助言を行っています。私たちは、お客様が同業他社とご自身を比較できるよう、これら 4 つの VA スタイルが主要業界内や組織の規模によってどのように分布しているかについても調査を行っています。

詳細はこちらから

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加