Tenable、独立系調査会社により脆弱性リスク管理における業界リーダー企業に選出

Forrester Wave™: Vulnerability Risk Management, Q3 2023 では、「Tenable は事前対応的なセキュリティ態勢を構築しています」説明されています。

Forrester は、Tenable を 28 の脆弱性リスク管理基準に基づいて評価された 11 社の重要なベンダーの 1 つであり、現在の製品と戦略の両方のカテゴリで最高スコアを獲得したリーダー企業であるとレポートで紹介しています。 Forrester によるこのレポートには各プロバイダーの対応状況が示されているため、サイバーセキュリティとリスクの専門家が自身のニーズに最も適したベンダーを選択する際に役立ちます。 そしてこのレポートでは、Tenable がビジョン、ロードマップ、イノベーション、パートナーエコシステムなど、14 のさまざまな基準にわたって最高スコア (5.0) を獲得していることが示されています。

当社は、レポート内における当社の現在のサービスと戦略的ビジョンに対する評価だけでなく、脆弱性管理の実践がどのように進化しているのかに関して、Forrester の視点も紹介していることをうれしく思います。

Forrester Wave™: Vulnerability Risk Management, Q3 2023 では、「脆弱性管理は成長している」と 説明されています。「企業が自社の環境内で脆弱性スキャナーを実行し、多くの問題を発見して非難されたとしても、侵害につながる一般的な脆弱性やエクスポージャーが何も修正されないのが当たり前だった状況から、10 年も経っていません。 2018 年、Forrester は、組織が非現実的な量の修復項目に対して、共通脆弱性スコアリングシステム (CVSS) スコア (技術的な重大度を決定するためのスコア) に頼らずに適切な優先順位付けを行えるように、脆弱性リスク管理にリスクベースのアプローチを推奨しました。 それ以来、組織は Log4Shell や MOVEit などに対するパッチが適用されていない重大な脆弱性が引き起こすおそれのある大惨事も目の当たりにしてきました。 また、新たな種類の脅威や脆弱性が出現し続ける一方で、(従業員の自宅からクラウドまで) 技術的なフットプリントも拡大しています 。 脆弱性の定義には、アイデンティティの問題や設定ミスなど、CVE で定義された脆弱性を超えた弱点も含まれるようになりました。 こうしたトレンドに対応するため、VRM ベンダーは、環境内において資産が他の資産とどのように相互関与しているのか、修正作業にどのように優先順位を付けて運用していくのかについて、詳細に説明するようになりました」

「Tenable は、事前対応的なセキュリティプログラムを推進し、単一のサービスですべての脆弱性とエクスポージャーの修復の優先順位付けを行いたいと考えている企業に最適です」

— THE FORRESTER WAVE™: Vulnerability Risk Management, Q3 2023

このような進化は、Forrester の脆弱性リスク管理製品のスコアリング方法からも明らかに見て取れます。 Tenable では、次の 3 つの重要な機能をカバーしているかどうかが重要であると考えています。

1. 範囲の拡大。 この最新レポートでは、新しい資産タイプとエクスポージャーのサポートが重要な基準となっています。 最高のスコアを獲得するには、製品で CVE 以外の幅広いエクスポージャーを評価し、いくつかの種類の資産に関する貴重な情報を提供する必要があります。 サイロを打破して効率を向上させるには、優先順位付けの計算式、修復ワークフロー、分析に関するエクスペリエンスがさまざまな資産間で一貫していることも重要となります。
2. より優れたコンテキスト。 レポートでは、コンテキストが主な焦点となっています。組織がリスクに基づいたアプローチで優先順位付けを行うには、コンテキストが役立ちます。 脅威インテリジェンス、悪用されうる可能性、ビジネスのコンテキスト化、資産の重要度、攻撃経路のモデリングはすべて、セキュリティチームが実際のサイバーリスクに基づいて最も差し迫った問題を特定し、真っ先に対処するのに役立つ重要な要素となります。
3. サードパーティの統合。 ガバナンス、リスク、コンプライアンス (GRC) ツール、IT サービス管理 (ITSM)、チケット発行システムなどを介するかどうかです。また、他のセキュリティオペレーションセンター (SOC) ソリューションを使用する場合、VRM ソリューションの既存の IT およびセキュリティシステムとの統合により、脆弱性への対応の加速、レポートの合理化、プラットフォームの強化を行い、サイバーリスクに対する事前対応的な対処がよりしやすくなります。 高度にカスタマイズ可能であり、セキュリティ要件を満たすために一般的に使用されているプラットフォームを幅広くサポートするような統合である必要があります。

Tenable では、今日の複雑で動的な IT 環境のセキュリティを確保するには、脆弱性管理、ウェブアプリケーションセキュリティ、クラウドセキュリティ、アイデンティティセキュリティ、攻撃経路分析、外部アタックサーフェス管理を統合して、エクスポージャーを幅広く詳細に把握できるようにする必要があると考えています。 脆弱性管理とその他の事前対応的で予防的なサイバーセキュリティツールが、サイバーエクスポージャー管理と呼ばれる新しいパラダイムの中で統合されると考えています。

レポートでは、「Tenable は事前対応的なセキュリティ態勢を構築しています。 同社は、2000 年代初頭の Nessus 時代から攻撃の成功を防ぐことに注力してきました。 また、サイバーエクスポージャー管理の分類を最初に採用したプラットフォームの 1 つである Tenable One プラットフォームからも見て取れるように、増大する動的なアタックサーフェスを積極的に保護するという同社のビジョンは、今日でも変化していません。 ロードマップ項目には、サードパーティのソースを取り込むためのコネクタの設定に重点を置いていることが示されており、同社のプラットフォーム上での企業全体のすべてのサイバーリスク、資産タイプ、エクスポージャーのさらなる統合を目指しています。 AI 機能の提供に重点を置いているため、あらゆるスキルレベルのアナリストが攻撃経路モデリングとサイバーリスクのインサイトにおける機能の探索と理解がしやすくなるでしょう。 Tenable の知名度と、予防的な対策を統合する早期市場投入型のプラットフォームは、同社の優れた永続的なビジョンを支えており、これは現在の市場の方向性とよく合致しています」と説明されています。

当社は、サイバーセキュリティチームが起こり得る攻撃を防ぐための取り組みへのフォーカスとサイバーリスクの正確な伝達を支援して、最大限のビジネスパフォーマンスを発揮できるように Tenable One Exposure Management プラットフォームを設計し、 2022 年 10 月にリリースしました。 2023 年 8 月には ExposureAI が追加されたため、サイバーセキュリティチームは生成 AI 機能を用いることで、リスク軽減に向けた検索、分析、意思決定を加速させ、予防的なサイバーセキュリティを強化できるようになりました。 また、当社ではコンテキストに応じたエクスポージャーデータの Tenable Research リポジトリを活用して豊富な情報を提供しているため、組織は潜在的な脆弱性、脅威、設定ミスについて貴重な洞察を得られるようになりました。 最高品質の AI ベースの機能を提供するには最高品質のデータが必要ですが、Tenable は世界最大のコンテキストエクスポージャーデータのリポジトリを保持しています。 具体的には、ExposureAI は以下を網羅する、1 兆件の固有のエクスポージャー、資産、セキュリティの調査結果を活用しています。

• 600 億件のエクスポージャーイベント
• 8 億の異なるセキュリティ設定
• 10 億の資産

ExposureAI エンジンの原動力となるこの巨大なデータプラットフォームは Tenable Exposure Graph と呼ばれる、Snowflake が搭載された当社のデータレイクです。 

Forrester のレポートでは、「Tenable は、事前対応的なセキュリティプログラムを推進し、単一のサービスですべての脆弱性とエクスポージャーの修復の優先順位付けを行いたいと考えている企業に最適です」と説明されています。

もっと詳しく

• The Forrester Wave™: Vulnerability Risk Management, Q3 2023 をダウンロード