平均修復時間 (MTTR)

MTTR（Mean Time to Remediate:平均修復時間）は、脆弱性やセキュリティ問題を検出して完全に修正するまでにかかる平均時間を測定します。 MTTR には、検証、優先順位付け、パッチ適用、構成変更など、セキュリティギャップを埋めるために必要なすべてのステップが含まれています。 サイバーエクスポージャーに対するセキュリティチームの迅速な対応とその排除について理解する上で、最も重要な指標のひとつです。

セキュリティ運用において、MTTR は、平均修正時間（機能の修正に重点を置く）や平均解決時間（インシデントのライフサイクル全体を対象とする）といった類似の用語よりも包括的です。 MTTR は、特に脆弱性や設定ミスを完全に修正することに重点を置いているため、 セキュリティ対策の有効性を評価し、進捗を追跡するために使用することができます。

MTTR を計算することで、組織の修正プロセスにおけるボトルネックを特定することができます。 例えば、長時間の遅延は、資産の可視性の低さ、自動化の欠如、優先順位付けの不十分さを示している可能性があり、そのような課題を認識することは、全体的なセキュリティ態勢を成熟させる第一歩と言えます。

主要業績評価指標（KPI）とそれがサイバーセキュリティ戦略に与える影響について詳しくは、サイバーセキュリティプログラムの有効性を測定する方法のブログ投稿をご覧ください。

急速に進化する今日の脅威環境では、攻撃者は脆弱性が公開されてから数時間、あるいは数分以内に脆弱性をスキャンして悪用する可能性があります。 これらの脆弱性を迅速に検出し、優先順位をつけて修正する能力は、組織のリスクエクスポージャーに直接影響します。

MTTR は、セキュリティプログラムがどれだけ効果的にアタックサーフェスを減らしているかを示す重大な指標です。 MTTR の値が小さいということは、攻撃者が脆弱性をエクスプロイトされる可能性を最小化するために、チームがギャップをより早く封鎖していることを意味し、 重大度資産、知的財産、顧客データが保護されていることを表します。

リスク低減だけでなく、MTTR の向上は規制コンプライアンスにもつながります。 NIST サイバーセキュリティフレームワークや CIS Controls の ようなフレームワークでは、脆弱性や設定ミスをタイムリーに修正することを推奨しています。 MTTR を定期的に削減する組織は、コンプライアンスを維持し、驚くことなく監査に合格することが容易になります。

多くのチームは、MTTR を主要業績評価指標（KPI）やサービスレベル合意書（SLA）に組み込むことで、全員が説明責任を果たし、長期的な改善に集中できるようにしています。

MTTR を他の指標と一緒に追跡すれば、セキュリティ態勢と、プレッシャーの中でチームがどの程度機能しているかを明確に把握することができるからです。

MTTR の計算は簡単です。 脆弱性の修正に費やした時間の合計を、特定の時間内に修正した総数で割るだけです。

MTTR = 総修復時間 ÷ 修復された問題数

例えば、1 か月の間に 200 時間で 20 件の脆弱性を解決した場合、 脆弱性 1 つにつき MTTR は 10 時間になります。 つまり、1 つのセキュリティ問題を最初から最後まで完全に修正するには、通常約 10 時間かかるということです。

有用な MTTR データを得るには一貫性が最も重要です。 トラッキングを始める前に、何を起点とし、何を終点とするかを正確に決めます。 多くのチームは、脆弱性を検出したり、アラートを受け取ったりした時点から、完全な修正または完了までを測定しています。

ツールやプロセスによって測定値が多少変わることもあります。 チケットの作成から解決までを追跡するチームもあれば、最初のスキャンからパッチデプロイメントまでを追跡するチームもあります。 重要なのは、長期間にわたってパフォーマンスを正確に追跡できるよう、1 つの方法にこだわることです。

各業界、インフラの複雑さ、セキュリティの成熟度によって、MTTR のベンチマークは異なる可能性があります。

迅速なデプロイメントを行うクラウドネイティブ環境の積極的な目標は、重大な脆弱性を 24 時間以内に修正することでしょう。 一方、複雑なレガシーシステムを持つ大企業は、重要でない問題については、より長い修正期間を受け入れることができます。

FedRAMP、NIST SP 800-53、PCI-DSSなどのフレームワークは、リスクレベルに応じて、重大度の高い問題を 30～90 日以内に修正することを推奨していますが、 これらの数値は義務化された上限を反映したものであり、実際の平均値ではありません。

最終的には、ベンチマーキングは組織のリスク許容度、能力、ビジネスへの影響を反映するものでなければなりません。 現実的でしかも特に高い目標を設定することで、改善が促されます。

さまざまな要因が MTTR を高くして修正を遅らせます。

• 不完全な資産の可視性: セキュリティチームがすべてのネットワーク デバイス、ソフトウェア、または構成を把握していない場合に発生します。 不明な資産やシャドー資産は盲点を生み出し、検出と修復を遅らせます。
• 脆弱性データ、資産インベントリ、チケッティングシステムがシステムと統合されていないため、ツールとデータがサイロ化されて隔離され、手作業による相関は対応を遅らせます。
• チケットの割り当て、パッチのデプロイメント、検証を自動化しないと、チームは管理作業に過剰な時間を費やすことになります。
• リスクベースの脆弱性の優先順位付けを行わないと、 チームは重大な脆弱性が未対処のままであるにもかかわらず、低リスクの問題に時間を浪費してしまいます。
• チーム横断的なコラボレーションがなければ、セキュリティチーム、IT チーム、開発チームの優先順位が異なることが多く、遅延や摩擦の原因となります。

これらの要因に対処するには、可視化、優先順位付け、自動化を組み合わせた統合プラットフォームが必要であり、修正を合理化する必要があります。

資産検出と在庫精度を向上させると、MTTR が短縮できます。 資産データベースを継続的にスキャンし、更新するツールは、デバイスやアプリが隙間に入り込まないようにします。

次に、リスクに基づく脆弱性の優先順位付けを実施し、最も重大なサイバーエクスポージャーに焦点を当てます。

• 悪用される可能性、ビジネスへの影響、脅威インテリジェンスによって脆弱性を評価。ノイズを減らし、重要な部分に労力を向けることができます。
• 自動化は極めて重要。
• 脆弱性管理システムをパッチ管理、チケッティング、SOAR（セキュリティオーケストレーション、自動化、対応）、CI/CDパイプラインと統合し、修正タスクの自動割り当て、パッチデプロイメントのトリガー、進捗の追跡を行う。 これにより、手作業によるハンドオフがなくなり、ワークフローがスピードアップされます。
• パッチ管理のようなプロセスでは、効果的な自動化には信頼が必要。 多くのチームは、生産システムが壊れることを恐れて自動化をためらっています。 その解決策は、強力なガードレールを備えたパッチ管理システムを導入し、ルールエンジンと承認ワークフローを使用して、承認された低リスクのシナリオでのみパッチの自動デプロイメントを保証することにあります。 このコントローラーによるアプローチは、安定性を犠牲にすることなくワークフローを加速します。

最後に、セキュリティ、IT、開発の各チームが、共通の目標やコミュニケーショ ンチャンネルを共有して実現できる、チーム横断的なコラボレーションを育むことが重要です。 ダッシュボードやレポートを使用して、修正状況や成果を可視化します。

継続的な監視とアラートの活用により、チームは新たな脆弱性を迅速に検出し、すぐに修正を開始できるため、サイクルタイムを短縮できます。

さあ、修正を加速させましょう。 Tenable One がどのようにディスカバリ、優先順位付け、自動化を統合し、MTTR の短縮に役立つかをご覧ください。

脆弱性管理において、MTTR は、セキュリティプログラムがどれだけ迅速に欠陥を検出し、修正して、攻撃者に悪用される可能性を未然に防げるかを測定するための重要な指標です。 検出・修正をすばやくを回すことが、組織のアタックサーフェスを減らすことにつながります。

例えば、平均修復までの時間を 30 日から 7 日に短縮すれば、特に深刻度の高い脆弱性については、侵害の可能性が大幅に低下されます。 そのためには、継続的な脆弱性診断、自動化された優先順位付け、合理化されたパッチ適用が必要です。

Tenable の中核機能であるリスクベースの脆弱性管理は、ビジネスへの影響が最も大きく、悪用が確認されている脆弱性に焦点を当てた修復を支援します。 脆弱性管理に対するリスクベースのアプローチは、すべての脆弱性を同等に扱ったり、CVSSのような静的な脆弱性スコアのみに依存するレガシーシステムとは対照的です。

MTTR はまた、脆弱性やインシデントをどれだけ迅速に検出できるかを測定する平均検出時間（MTTD）や、チームが新しいアラートやチケッティングにどれだけ迅速に対応できるかを追跡する平均承認時間（MTTA）などの関連メトリクスとも密接に結びついています。 検出と承認の時間を短縮することで、修正を早期に開始し、リスクをさらに低減します。

優先順位付けと迅速な修正について詳しくは、Tenable の脆弱性優先順位付けガイドをご覧ください。

多様なソースからデータを収集することで、サイバーエクスポージャー管理は脆弱性管理を拡張し、資産の重大度、脅威インテリジェンス、攻撃経路などのコンテキストを追加して、オンプレミス、クラウド、OT、およびそれ以外を含む攻撃対象領域全体にわたるビジネスリスク全体を評価します。 

この包括的なエクスポージャー管理方法は、MTTR の適用方法を根本的に変えます。 従来の脆弱性管理では、多くの場合、MTTR は深刻度の高い脆弱性単体へのパッチ適用速度に焦点が当てられていました。

サイバーエクスポージャー管理では、MTTR は、チームが脆弱性を修正し、最も重大な資産への攻撃経路を遮断するまでの時間を測定します。

攻撃者は孤立した観点環境状況で活動するわけではないので、このアプローチは重大です。 彼らは、複数の脆弱性、設定ミス、過剰に発行された権限を巧みに連鎖させ、あるシステムから別のシステムへと飛び移り、組織の最重要資産や機密に近づくことができるのです。 

このような複雑な攻撃を阻止するには、どのサイバーエクスポージャーが最も重大な資産を本当に危険にさらしているのかを理解するための可視性と深いコンテキストが必要です。

継続的なサイバーエクスポージャー管理プログラムは、MTTR を重要な成功指標として使用しています。脆弱性の優先順位は、深刻度だけでなく、悪用される可能性やビジネスへの影響度も考慮しています。 CTEM はノイズを低減し、重要な部分を修正するよう誘導します。

サイバーエクスポージャー管理の MTTR を短縮するには、リスクベースの洞察と自動ワークフローを統合し、チームがリスクの高いエクスポージャーを迅速にクローズできるようにする必要があります。

Tenable のサイバーエクスポージャー管理リソースセンターからサイバーエクスポージャー管理がどのように修正効率を高めるかをご覧ください。

MTTR が高くなる主な要因は、脆弱性を検出するセキュリティチームと、脆弱性を修正する IT チームの間のボトルネックです。Tenable は、これら 2 つの機能を単一のプラットフォームに統合することで、修正までの時間を次のような方法で短縮します。 　

• Tenable の脆弱性管理機能により、オンプレミス、クラウド、コンテナ、OT を含むアタックサーフェス全体の脆弱性を完全に可視化します。リスクに基づく優先順位付けによって、最も重要なことに焦点を絞ることができます。
• Tenableは、脆弱性と正しい更新パッチを自動的に関連付けることで、手作業による何時間もの調査を不要にします。 チケッティングシステム、SOAR、CI/CDパイプラインとの統合により、セキュリティチームと ITチームが同じデータから作業できるようにすることで、ミスをなくし、修正が遅れる前に修正ブロッカーを明らかにすることができます。
• Tenableパッチ管理は、よりスマートで安全な自動化を可能にします。 条件付きロジックを定義し、重要なシステムには人による検証を義務付け、デプロイメントの制御方法をカスタマイズすることで、組織のポリシーに正確に沿った信頼できるパッチプログラムを構築することができます。 管理者は、必要に応じてパッチを一時停止、キャンセル、ロールバックするためのガードレールとリアルタイムのコントロールを得ることができ、ビジネスを支えるサービスを保護しながら脆弱性の窓を縮小することができます。
• リアルタイムダッシュボードとアラート機能を搭載した、改善の進捗状況やコンプライアンス状況を把握することができる専用コンソールを提供します。セキュリティチームと IT チームは必要とする実用的なインサイトを得ることができるとともに、脆弱性のエクスポージャを解消したことが検証でき、長期的なリスク削減の全体像がより明確になります。

例えば、グローバルな金融サービス企業であれば、Tenable の機能を利用することで、継続的な資産検出と優先順位付けの自動化により、平均 MTTR を数週間から数日に短縮することができます。 Tenable は、アタックサーフェスを縮小し、コンプライアンスを迅速に満たすお手伝いをします。

カスタムレポートを使って、MTTR の大幅な短縮、リスク緩和の迅速化、コンプライアンス態勢の改善などを報告することができます。Tenable Oneの概要をご覧ください。

以下の指標とともに MTTR を追跡すれば、セキュリティパフォーマンスの全体像を把握することができます。

• MTTA（平均承認時間）： チームが新しいアラートやチケッティングに反応するスピードを測定し、初期対応のスピードを示します。
• MTTD（平均検出時間）： 脆弱性やインシデントをどれだけ迅速に特定できるかを測定し、修正を早期に開始するために極めて重要です。
• MTBF（平均故障間隔）： セキュリティインシデントや障害が発生するまでの平均時間を測定し、システムの信頼性を反映します。

これらを一緒に継続監視することで、検出、対応、修正の効率をチームが把握し、組織のセキュリティ態勢を継続的に改善することができます。

MTTR は、脆弱性がエクスプロイトされる可能性を最小限に抑えることで、サイバーリスクの低減に役立ちます。 また、以下にも注目してください。

• 資産の可視性を向上させ、優先順位付けを自動化し、修正ワークフローを統合することが、MTTR を短縮する最も効果的な方法です。
• 効果的な進捗を果たすには、MTTR 目標をリスク選好度、規制要件、ビジネスインパクトと整合させます。
• Tenable の統合型のエクスポージャー管理プラットフォームは、継続的な検出、リスクベースの洞察、自動化により、修正を加速することができます。
• MTTR を MTTA や MTTD などの関連指標とともに追跡することで、セキュリティ運用を包括的に把握することができます。

MTTR に関するよくあるご質問を紹介します。

セキュリティ脆弱性に適した MTTR はどのぐらいなのでしょうか?

適切な MTTR はお客様の環境やリスク許容度によって異なりますが、多くの場合、重大な脆弱性を 24 時間から 72 時間以内に修正することを目指しています。

MTTR は平均修理時間とどう違うのですか?

セキュリティにおける MTTR は、単なる修復ではなく、完全な修正に焦点を当て、脆弱性の完全な閉鎖に焦点を当てます。

なぜ脆弱性管理において MTTR が重要なのですか?

MTTR が脆弱性管理において重要なのは、迅速な修復は、攻撃者が脆弱性を悪用する時間を短縮し、組織のリスクを軽減するからです。

自動化によって MTTR を短縮することができますか?

自動化によって手作業がなくなり、パッチデプロイメントが迅速化され、コラボレーションが改善されるため、修正作業がスピードアップします。

サイバーエクスポージャー管理において MTTR はどのような役割を果たしますか?

サイバーエクスポージャー管理における MTTR は、攻撃経路を制限するために、組織が重大な資産の露出をどれだけ迅速に削減できるかを測定します。

MTTR は速すぎることがありますか?

検証なしに修正を急ぐと、混乱が生じることがあります。スピードとクオリティのバランスが重要です。

Tenable は MTTR の削減にどのように貢献していますか?

Tenable は、統合された可視化、リスクの優先順位付け、ワークフローの自動化を提供し、修正にかかる時間を大幅に短縮します。

サイバーセキュリティにおける (MTTR) 平均修復時間の計算方法は?

MTTR は、総修正時間を、システムやチームが特定期間に修復した問題数で割ることで算出できます。

セキュリティプログラムの MTTR に影響を与える要因にはどのようなものがありますか?

MTTR に影響を与える要因には、資産の可視化、脆弱性の優先順位付け、自動化、チーム間の連携、修正ワークフローなどがあります。

重大脆弱性の MTTR を改善するには?

継続的スキャン、リスクベースの優先順位付け、自動パッチ適用、統合修正プロセスにより、MTTR は向上されます。

サイバーセキュリティにおける MTTR と MTTA の違いは?

MTTR は、問題を完全に修復するまでの時間を測定する。 MTTA は、チームやシステムがアラートをどの程度迅速に認識するかを追跡します。

なぜサイバーエクスポージャー管理は MTTR の短縮に重要なのですか?

サイバーエクスポージャー管理は、資産の重大度と攻撃経路に関するコンテキストを提供し、最もリスクの高い脆弱性の優先順位付けと修正を支援します。

脆弱性管理における MTTR の短縮をサポートするツールは?

資産検出、リスクスコアリング、自動化、チケッティングシステムを統合したツールは、脆弱性管理における MTTR の短縮に役立ちます。

サイバーエクスポージャー管理（CTEM）は MTTR にどのような影響を与えますか?

CTEM プログラムは継続的にリスクを評価し、優先順位をつけることで、修正サイクルを短縮し、MTTR を短縮します。

Tenable で MTTR を短縮
Tenable がどのように完全な可視化、正確な優先順位付け、自動ワークフローを提供し、修正時間を短縮するかをご覧ください。 まず Tenable One をお試しください。