Gartner® レポートからエクスポージャー管理の詳細について学ぶ

Tenable では、DX 時代のアタックサーフェスを保護するためにサイバーエクスポージャー管理が必要であると考えています。 しかし、そう考えるのは私たちだけではありません。 Gartner のレポート「Predicts 2023: Enterprises Must Expand from Threat to Exposure Management (2023 年の予測：企業は脅威の管理からサイバーエクスポージャー管理への拡張が必要)」は、サイバーエクスポージャー管理プログラムとプラットフォームを採用するサイバーセキュリティチームにとって必読であると Tenable は考えます。 

Tenable では、サイバーセキュリティのリーダーと話をする中で、ある状況が毎日のように話題に上がります。 それは、IT 環境がますます動的になり複雑化、分散化するにつれて、その保護もますます困難になってきたため、さまざまな種類の資産やエクスポージャーを評価するために無数のポイント製品を導入する結果となっている、という状況です。 

そのため、 サイバーセキュリティチームは DX 時代のアタックサーフェスを保護するうえで、以下を提供することで侵害を未然に防止するサイバーエクスポージャー管理プログラムを導入する必要があると Tenable は考えます。

• すべての資産、脆弱性、設定ミスの包括的な可視化
• 最初に対処すべき脅威を予測し、優先順位を付ける機能
• 伝達の容易な、一元管理型のサイバーリスクのビュー 

サイバーエクスポージャー管理に関する Gartner のインサイト

2022 年 12 月、Gartner はレポート「Predicts 2023: Enterprises Must Expand From Threat to Exposure Management (2023 年の予測：企業は脅威の管理からサイバーエクスポージャー管理への拡張が必要)」を発行しました¹ このブログでは、本レポートの 3 つのトピックを取り上げ、それぞれについて Tenable の見解をご紹介します。

1. 特に重要な調査結果：
2. 推奨事項
3. 戦略計画の前提

これらのインサイトは、Gartner レポートの一部を反映したに過ぎません。サイバーセキュリティのリーダーや担当者は、サイバーエクスポージャー管理に基づいてサイバーセキュリティプログラムを確立するにあたって、このレポート全文を読むべきであると私たちは考えています。

レポートの主な調査結果

• 「パートナーによってアクセスまたは所有される重要なデータが増えるにつれ、修正の責任はセキュリティチームを超えて拡大し、場合によっては、企業のコントロールの枠を超えることもあります」

• 「フルリモートワーカーは、大抵の場合、社内ネットワーク内のスタッフと同等のセキュリティコントロールを受けていませんが、多くのセキュリティチームはリモートアクセスのセキュリティ問題は解決済みと考えています」

• 「企業の脅威エクスポージャーは、(事実上) 自動的にパッチを適用できることが多いソフトウェアの脆弱性だけにとどまりません。」

• 「クラウドサービス導入の拡大や業務上の習慣の進化により、脅威の検出や対応策の成熟のスピードを上回る勢いでアタックサーフェスが拡大しています」

報告書の主な調査結果に関する Tenable の見解

オンプレミス資産のソフトウェア上の欠陥をパッチで修正する従来の脆弱性管理を超えて、企業がセキュリティプログラムを進化させ、拡張する必要があることは明らかです。

たとえば、リモートワーカーの在宅勤務環境においては多くの場合セキュリティコントロールが脆弱ですが、そのことによって脅威が生じ、複雑化するアイデンティティとアクセス権限を Active Directory などのシステムできめ細かく管理することの重要性が高まっています。

攻撃者がソフトウェアの脆弱性だけでなく、クラウドの設定ミスや前述のアイデンティティの欠陥など、現代の動的な IT 環境におけるあらゆるギャップや盲点を悪用しようとする中で、サイバーセキュリティチームは次のような重大な課題に直面しています。

• 広範囲にわたり、一定の形を持たないアタックサーフェスを十分に可視化できない
• 組織のサイロ化とツールの無秩序な増加に起因して文脈が断片化されている
• スキル不足と予算の制約
• 包括的な指標がない
• リスク評価と経営陣や取締役会への伝達が困難である

今日のエクスポージャーが深く幅広い範囲で存在していることを理解し、予防的かつ正確な措置を講じるためには、サイバーセキュリティチームは包括的なアプローチを取り、次のような分野を 1 つのサイバーエクスポージャー管理プログラムにまとめる必要があると Tenable は考えます。

• 脆弱性管理
• ウェブアプリケーションのセキュリティ
• クラウドセキュリティ
• オペレーショナルテクノロジーのセキュリティ
• アイデンティティセキュリティ
• 攻撃経路分析
• 外部アタックサーフェス管理

Gartner レポートの推奨事項

レポートの「Recommendations (推奨事項)」セクションには、次の内容が示されています。

「脅威に対する現在および将来の企業のエクスポージャーの管理を担当するセキュリティおよびリスク管理のリーダーは、以下を行う必要があります。

• セキュリティ態勢検証アプローチを利用して優先順位付けのワークフローを増補し、サイバーセキュリティへの備えを強化する。

• ビジネス上重要でありながらおそらく IT 部門によって所有されていない、またはビジネス部門によって管理されていないシステムやサブスクリプションを含めるよう、セキュリティの可視性を広げる。

• 継続的な脅威エクスポージャー管理の原則、特にパッチを適用できないエクスポージャーを含めることを、段階的にスコープに組み込む。

• アクセス管理の考え方から、継続的なアダプティブトラスト (CAT) のアプローチに移行するための長期戦略に投資する」

レポートの推奨事項に関する Tenable の見解

Tenable では、セキュリティチームが迅速な意思決定を行い、最初に対処すべきエクスポージャーの優先順位を付けるためには、すべての資産とそのセキュリティ上の弱点を完全に可視化することが重要であると考えています。 これには、承認された資産や従来型の資産だけでなく、従業員が IT 部門の許可なく業務に使用する一般向けのクラウドアプリケーションなどの「シャドー IT」製品も含まれます。

サイバーエクスポージャー管理を使用すれば、セキュリティチームは、アタックサーフェスの最新の状況を包括的かつ継続的に可視化して、ビジネスへのリスクに基づいて何を優先すべきかを決定する際に必要なデータを取得できます。

Tenable では、効果的かつ包括的なサイバーエクスポージャー管理プログラムを作成するには、次の 5 つのステップに従う必要があると考えています。

• 自社のセキュリティテクノロジーを評価し、そのテクノロジーが、統一され一元化されたセキュリティデータセットから得られる、エクスポージャーに関する包括的なインサイトを提供しているかどうかを判別する

• アタックサーフェス内の盲点、特にインターネットに接続しており、外部からアクセス可能な資産を特定する

• 予防措置の優先順位を付ける最適な方法を決定する

• 修正プロセスを評価し、改善の機会を特定する

• セキュリティリーダーから取締役会まで、すべてのステークホルダーに対してリスクを明確に伝える能力を評価する

Gartner レポートの戦略計画の前提

• 「2026 年までに、パッチを適用できないアタックサーフェスは、企業の全エクスポージャーの 10% 未満から半数以上に増加し、自動化された修正手法の効果が減少することが予想されます。

• 2025 年までに、サイバーエクスポージャー管理プログラムの一環としてチームをまたがる動員を実施するセキュリティリーダーは、自動化された修正のみを優先するセキュリティリーダーと比べて、セキュリティをさらに 50% 最適化できる見込みです。

• 2027 年までに、リモートアクセスのアーキテクチャとプロセスを継続的に管理できない企業では、侵害の可能性が 3 倍に高まることが予想されます。

• 2026 年までに、脅威の検出、調査、対応 (TDIR) 機能の 60% 以上がサイバーエクスポージャー管理データを活用して、検出された脅威の検証と優先順位付けを行うようになると予想されています。これは、現在の 5% 未満から大きく増えます」

レポートの戦略計画の前提に関する Tenable の見解

サイバーエクスポージャー管理のプログラムとプラットフォームを導入することで、企業は無秩序なツールの増加やデータの断片化がネックとなる事後対応的なサイロ化されたアプローチから、事前対応型で包括的な予防的戦略に移行できます。

サイバーセキュリティチームは、サイバーエクスポージャー管理によってエンドポイントからクラウドまでアタックサーフェスを完全に可視化することで脅威を予測し、修正の優先順位を付け、リスクを削減することができます。

私たちは、Tenable One サイバーエクスポージャー管理プラットフォームのようなサイバーエクスポージャー管理プラットフォームを採用することでさまざまなメリットが得られることを確認してきました。これは、あまり、あるいはまったく相互運用できない「ベストオブブリード」ツールを集めたものとは対照的です。 

• セキュリティ態勢の向上
• 複雑性の軽減
• エクスポージャーの修正の優先順位付けの改善
• 管理の簡素化
• ツールの統合性の向上
• レポートの一元化
• 高い費用対効果

Gartner レポート「Predicts 2023: Enterprises Must Expand from Threat to Exposure Management (2023 年の予測：企業は脅威の管理からサイバーエクスポージャー管理への拡張が必要)」の詳細を確認するには、こちらでダウンロードしてください。

サイバーエクスポージャー管理プログラムとプラットフォームを採用するメリットについて詳しくは、以下の Tenable リソースを参照してください。

• リスクベースの脆弱性管理からサイバーエクスポージャー管理へ (インフォグラフィック)

• サイバーセキュリティ企業が直面している 3 つの課題 サイバーエクスポージャー管理プラットフォームがどのように役立つか (ホワイトペーパー)

• サイバーエクスポージャー管理: DX 時代のアタックサーフェスのリスクを削減 (ブログ)

• サイバーエクスポージャー管理: 最新のアタックサーフェスを保護するための Tenable のビジョン (ブログ)

• Find Out How The 7 Benefits of a Unified Exposure Management Platform Improve Security Posture, Reduce Cyber Complexity & Help You Save Money (一元化されたサイバーエクスポージャー管理プラットフォームの 7 つの利点がどのようにセキュリティ態勢を改善し、サイバー攻撃の複雑さを軽減し、コストを削減させるか) (ウェビナー)

¹Gartner「Predicts 2023: Enterprises Must Expand From Threat to Exposure Management」2022 年 12 月 1 日、Jeremy D'Hoinne、Pete Shoard、Mitchell Schneider、 John Watts 著。

GARTNER は、Gartner, Inc. および / または米国とその他の国の関連会社の登録商標およびサービスマークであり、許可を得た上で使用しています。 不許複製・禁無断転載。