Facebook Google+ Twitter LinkedIn YouTube RSS メニュー 検索 リソース - ブログリソース - ウェビナーリソース - レポートリソース - イベントicons_066 icons_067icons_068icons_069icons_070

最新のアタックサ―フェス

あらゆる規模の組織がデジタル変革により、新しいビジネスモデルとエコシステムを創造し、新製品や新サービスを提供しながら、デジタル経済のなかで業務を効率化してきました。クラウド、モバイル、SaaS、DevOpsなどの新しいデジタルコンピューティング プラットフォームと開発のシフトが、概念から日常的な機能への移行を可能にしました。今では、企業の会議システムから送電網まで、あらゆるタイプの物理デバイスとシステムがネットワーク接続され、プログラマブルになり、ますます多くのデジタル変革の機会を生み出しています。

これが未来のデジタルテクノロジーだと言う人がいますが、実は、未来はもうここに来ています。2019年までには、90億を超えるIoTデバイスが企業に導入されるでしょう。現在すでに90%を超える組織がクラウドでアプリケーションを実行しています。

外部の視点(原案)

デジタル変革はかつてない新しい機会を切り開く一方、新たなサイバーアタックサーフェスになり、防御が必要になります。

しかも、それは急激に拡大しています。

サイバーエクスポージャーの隙間

サイバーリスクを把握する目的で組織が使用してきたツールやアプローチは、単純でセキュリティを管理しやすい旧来のクライアント/サーバーやオンプレミスのデータセンター向けで、リニアなソフトウェア開発サイクルでは機能さえしません。資産はノートパソコンやサーバーだけではありません。新たなアタックサーフェスを象徴するデジタルコンピューティング プラットフォームでは、資産が複雑に混ざり合い、資産とそこに潜む脆弱性が、絶えず拡張収縮しながら、まるで生命体のよう進化を続けています。

エラスティックなアタックサーフェスは、組織がサイバーエクスポージャーを正確に把握する能力に対して、常に大きな隙間を作り出します。これを「サイバーエクスポージャ-の隙間」と呼んでいます。

ビジネスリスク図

サイバーエクスポージャ-の隙間が大きいほど、業務に影響を及ぼすサイバーイベントが発生する可能性が高くなります。

組織はサイバーエクスポージャ-の隙間を様々な方法を使って埋めようとしています。

ロックアイコン

何百ものセキュリティツールを問題に投入して「今週の脅威」から保護しようとしても、結果はサイロ化された可視化、管理のオーバーヘッド、受け身の消火作業でしかありません。

CMDBアイコン

資産とその構成を可視化するためにCMDB(構成管理データベース)に頼っていますが、こうしたプロジェクトの85%はデータの陳腐化が原因で失敗します。CMDBは、今日の最新資産を検出してマップを作成する目的で構築されたものではありません。

警告アイコン

「ネットワークのスキャン」アプローチを使用して脆弱性を発見します。これはサイバーエクスポージャ-の隙間を理解する基本ですが、古い画一的な手法やツールは最新のアタックサーフェスに対応していません。

最新のアタックサーフェスに適応し、サイバーエクスポージャ-の隙間を埋める可視化と絞り込みを提供できたソリューションはありませんでした。

そうです。これまでは。

サイバーエクスポージャーの新時代が到来しています。

サイバーエクスポージャ-は、サイバーリスクの正確な把握と低減を目的として、最新のアタックサーフェスを管理・測定する新しい分野です。サイバーエクスポージャ-はセキュリティを、静的でサイロ化された可視化から、最新のアタックサーフェス全体を見渡す動的な可視化へと変えます。サイバーエクスポージャ-は、セキュリティ専用のテクノロジーを活用してリアルタイムの可視化を提供します。サイバーエクスポージャ-を理解すると、脆弱性を並べただけの生データから、メトリクスを介したプログラムへとセキュリティを変革させることができます。サイバーリスクを定量化して他のビジネスリスクと共に測定し、それを基に経営に関する戦略的意思決定を行えるのです。サイバーエクスポージャ-を理解することは、デジタル変革の妨げにはなりません。それを実現します。

サイバーエクスポージャ-は、従来型のITアプリケーション、エンドポイント、システムの脆弱性管理を基盤として構築され、バグや構成ミスの発見だけでなく、より幅広い分野に適用することができます。

コンピューティング環境全体から新しい資産すべてをリアルタイムで検出

各資産が安全かどうか、脅威にさらされている場合はどの程度か、継続的な可視化を提供

エクスポージャ-にコンテキストを加えた優先順位を付け、適切な対処方法を選定

サイバーリスクをビジネス用語で的確に表して経営者に通知

サイバーエクスポージャ-のデータを主要なリスク指標として活用し、戦略的意思決定を支援

サイバーエクスポージャ-のライフサイクル

Tenable-Process-v2b
詳細を見るには、マウスカーソルを図の上に移動してください

評価

組織とサプライチェーン全体のサイバーエクスポージャ-を定量化する客観的な方法を提供します。

モデル

テクノロジーに関する決定を知らせて、全体的なIT戦略の定義を助けます。たとえば、クラウドテクノロジーの採用はリスクを高めるかどうか、または旧式プラットフォームをサポートする場合のリスク対費用はどうか。

比較する

組織のサイバーエクスポージャ-を業界の同業他社と比べて、自社の状況を把握します。

検出

いずれかの環境の全資産を特定してマップを作成します。ここから現在の運用状態と理想的な運用状態のベースラインを作成できます。

診断

変更が加わるたびに、自動的に現在の状態を環境のベースライン状態と比較して、構成ミスや脆弱性のほか、期限切れのアンチウイルスや高リスクユーザーなど、セキュリティ正常性の主要指標を評価します。

分析

資産のエクスポージャ-にコンテキストを加え、業務に及ぼす影響の重要性と脆弱性の深刻度に基づいて優先順位を付けます。

修正

最初にどのエクスポージャ-を修正するか優先順位を決め、一時的なセキュリティ制御であれ完全な修正であれ、適切な対処方法を選択します。

サイバーエクスポージャ-にはセキュリティの運用ライフサイクルがあり、セキュリティチームとITチームに共通の可視化を提供して、セキュリティ上の問題点を素早く能率的に特定して修復することを目指しています。また、サイバーエクスポージャ-は戦略的ベースラインを作成し、セキュリティに関する情報を技術的ではない表現で提供します。CISO、CIO、ビジネス部門等でのビジネスディスカッションでリスクについて検討することができます。

規模の大小を問わず、すべての組織が
3つの質問に対する回答を常に求められています。

1
我々は
安全か?
2
エクスポージャ-は
どの程度か?
3
どうすれば事前にエクスポージャ-を減らせるか‽

増大するサイバーエクスポージャ-の隙間をただ計器に頼って飛行しているだけでは...
...防御は不可能です。

皆で啓蒙活動に参加しましょう。

Tenableは、技術革新に追随します。Nessusから始まり、世界で最も広く導入されている脆弱性評価ソリューションを開発しました。高性能であることは勿論のこと、今日の新しい資産に特有の要件にも適応する柔軟性を備えています。Tenable.ioで、世界初のサイバーエクスポージャ-プラットフォームを実現し、あらゆるコンピューティング プラットフォームのあらゆる資産に可視化を提供しました。Tenableの取り組みは続きます...

製品一覧を見る ブログの投稿を読む