Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する
  • Twitter
  • Facebook
  • LinkedIn

増加するアタックサーフェスの保護 : 新常識の世界でのサイバーセキュリティの将来

増加するアタックサーフェスの保護 :  新常識の世界でのサイバーセキュリティの将来

リモートワークモデルの導入とビジネスクリティカルな機能のクラウドへの移行により、非常に多くの企業がより高いリスクにさらされている状況が新たな調査によって明らかになりました。

これから 18 か月間、世界中のサイバーセキュリティ企業は、今までにない形で対応力を試される時期に突入します。

COVID-19 のパンデミックに対応するためにリモートワークを可能にするシステムが導入されてアタックサーフェスが細分化されましたが、導入されたシステムは恒久化されつつあり、オフィスと自宅の境界は曖昧さを増しています。一方、SolarWinds や Kaseya の攻撃により、ソフトウェアサプライチェーンの完全性に対する懸念が高まりました。 また、クラウドはもはやオプションではなく、境界のない職場環境で業務上の最重要機能を動かす欠かせないソリューションとなっています。

このような変化はセキュリティリーダーにとって何を意味するのでしょうか? 何を「資産」と考え、「脆弱性」をどう定義するのか、そしてその両者に対する可視性をどのように向上させるのかを、従業員の生産性と安全を確保しながら考え直す機会です。 また、サイバーセキュリティとビジネス慣行の整合が必要なことに新たな重要性を提起しています。

Tenable の委託により Forrester Consulting が新たに実施した調査、境界を超える : 新常識の世界でのサイバーセキュリティの将来は、企業がパンデミック対策として導入した変更によって、企業のリスクレベルが上昇していることを明らかにしています。た。 また調査結果からは、平均的なホームネットワークの時に恐ろしい実態を垣間見ることができます。調査は 426 人のセキュリティリーダー、422 人のビジネス責任者、そして 10 か国からの 479 人のリモートワーカー (週に 3 日以上自宅で働く正規社員) を対象としたオンラインアンケートと、6 人のビジネス責任者とセキュリティ幹部に対して行った詳しい電話インタビューの結果に基づいています。

調査結果によると、リモートワークモデルに移行してビジネスクリティカルな機能をクラウドへと移行した結果、自社がより大きなリスクにさらされるようになったと述べているセキュリティリーダーとビジネスリーダーは 80% に上ります。 リモートワーク用ツールやクラウドツールの多くがセキュリティ制御のないまま投入されたのに加え、ツール自体が未完成で、成熟したセキュリティ制御が備わっていないケースもあったものと思われます。

このように急ぎで導入されたシステムにも、移り変わる職場そのものの変化に追従できる機敏さのあるセキュリティを確保できるように、戦略的な再検討が今、必要です。既に 1/4 近く (24%) のビジネスリーダーとセキュリティリーダーが、リモートワークへの移行を恒久的に認めるとしており、そうでないリーダーの 68% も、向こう 2 年以内に正式な業務形態とすると回答しています。

ソフトウェアサプライチェーンの拡大もまた、61% の回答者によってリスクを増加させる要因と見なされています。 必要に迫られて突貫で準備されたソフトウェアの拡張には、堅牢なサードパーティのセキュリティ制御が欠けているケースが多いと考えられます。

その結果、企業には実際に悪影響が生じます。 調査により以下が明らかです。

  • 92% の企業が、過去 12 か月間に少なくとも 1 件のビジネスに悪影響のあるサイバー攻撃または侵害を受けた。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失などの被害があった。

  • 回答者の 2/3 以上 (67%) が、攻撃はリモートワーカーを標的としていたと述べている。

  • 大多数の企業 (74%) が少なくとも 1 回、COVID-19 のパンデミック対応のために導入したシステムの脆弱性が原因で攻撃されている。

  • 3/4 近く (70%) の企業が、3 回以上攻撃の被害を受けている。 


その一方で、ホームネットワークと企業ネットワークの間の境界はなくなりつつあります。 リモートワーカーは単に企業の機密データに自宅からアクセスするだけでなく、頻繁に個人のデバイスを使用してアクセスしています。 調査結果によると、個人のデバイスを使用して顧客データにアクセスしていることを認めているリモートワーカーは半数以上に上ります。 企業支給のデバイスや個人のデバイス、アプライアンス、ウェアラブルデバイス、ゲーム機などを含め、リモートワーカー平均で 8 個のデバイスがホームネットワークに接続されており、平均 3 人の家族が同じホームネットワークにデバイスを接続していることを考えると、セキュリティリーダーは厳しい状況に直面していることが明白です。

単に自宅から接続するのと、企業向けセキュリティ制御のない過負荷状態の汎用ホームネットワークを介して個人のデバイスから接続するのとでは、全く話が違います。

調査結果は、個人用ネットワーク環境で何が起きているかを企業がまったくと言っていいほど可視化できていない状況も明らかにしています。 71% のセキュリティリーダーが、リモートワーカーのホームネットワークに対する高い、または完全な可視性を得られていないと回答しており、64% は従業員の個人デバイスに対しても同様であると答えています。 従業員のプライバシー尊重の観点から、雇用者は部分的にしかホームネットワークを監視することができないので、業務上不可欠なデータとそのアクセスに使用される資産のセキュリティ保護は、できるだけその付近に設ける必要があります。 一言でいえば、 デバイスとネットワークを把握できないのであれば、ユーザーのアクセス権を制御する必要があるということです。

これは非常に困難な課題に思えるかもしれませんが、進むべき道は明らかです。 企業は、リスクとは何か考え直し、ソフトウェアの欠陥やデバイスのコンプライアンスの枠にとらわれない形で定義し、動的かつ異種環境を包括した視点に変える必要があります。 また、ユーザーとデータの適応型リスクプロファイルに投資して、Active Directory とクラウドの設定ミスを把握することにより攻撃経路を遮断し、変化する条件や挙動、場所に応じてセキュリティをレベルアップさせる必要もあります。 そして、従来の境界に基づくセキュリティアーキテクチャの限界を詳しく調査し、企業データアクセスのリクエストを、その試行のすべてをデバイスからアプリ、ユーザー、ネットワークまであらゆるレベルで継続的に監視して検証する、より洗練されたオプションを検討する必要があります。 これは、一部の企業にとっては自社のサイバー衛生と脆弱性管理プラクティスの見直しになり、また別の企業にとってはリスクベースの脆弱性管理と Active Directory の継続的監視に移行する、効果的な攻撃経路遮断戦略を実現する機会となるかもしれません。そして最も進んだ企業にとっては、ゼロトラストへの道のりの第一歩となるかもしれません。

どのルートを選んだとしても、新常識の世界で機密データを保護する新たな方法を見つけ出すためには、ビジネスリーダーとセキュリティリーダーが連携する必要があるということを今回の調査結果が明らかにしています。

もっと詳しく

関連記事

最新のエクスプロイトに対して脆弱ですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

無料でお試し 今すぐ購入
Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスのご購入で、お得にご利用いただけます。 電話、コミュニティ、チャットによる 24 時間年中無休の拡張サポートオプションもご用意しています。 製品の詳細を見る

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

30 日間無料

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。