Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

データサイエンスチームのTenable Research、約半数の組織がサイバーリスク対策の基盤として 戦略的脆弱性評価ソリューションを使用していると発表

2018年8月8日

ラスベガス

企業のサイバーリスクへの対応が大きく分かれていることが世界2,100社の調査で判明

本日、Tenable Researchは、サイバーリスクに対する組織の評価を分析した『The Cyber Defender Strategies Report』を公開しました。Tenable Researchは、企業の様々な情報資産の脆弱性を自動で容易に可視化、改善するソリューションを提供する『Tenable Network Security』(以下:テナブル、所在地:メリーランド州コロンビア、代表:Amit Yoran (アミット・ヨーラン)が組織するデータサイエンスチームで、本レポートは世界2,100組織を実際の遠隔測定データを使った分析結果です。本調査によると、世界の48 %近くの組織が戦略的脆弱性評価(業務の重大性に基づいて情報資産を正確かつ的確にスキャンし、コンピュータのリソースを優先させる成熟または適度に成熟したプログラムと定義される)を取り入れ、サイバーリスク対策の基本的な要素とし、またリスクを軽減するための重要ステップとしています。しかし、包括的な情報資産管理をプログラムの基盤とする組織のなかで、情報資産のサイバーリスクを正確に把握している組織はわずか5 %であることが判明しました。一方、組織の33%は脆弱性評価に対してミニマリスト的なアプローチで、コンプライアンス規則が定める最低限の対策しか講じておらず、事業に致命的影響を与えるサイバーリスクの危険性を高めています。

Tenable Researchが前回公開したレポート「Quantifying the Attacker's First-Mover Advantage」では、防御側が脆弱性を初めてつきとめるまでに約7日間かかることが判明しました。この間、攻撃側に脆弱性を悪用する機会を許していたことになります。この7日間のギャップは、企業が脆弱性評価をどう行っているかに直接関わるものです。このアプローチの戦略性と成熟度が高ければ、このギャップはその分小さくなり、事業へのリスクが低減します。

米国テナブル社の製品管理担当シニアディレクター、Tom Parsons氏は以下のように述べています。「近い将来、組織は2つのタイプに分かれるでしょう。すなわち、サイバーリスクを軽減する課題に立ち上がる組織と、現代のコンピューティング環境で絶えず進化し加速するサイバーリスクの脅威に適応できない組織の2つです。 この調査は、サイバー防御者の優位性を取り戻す行動を当業界が真剣に起こすよう呼び掛けています。そのためには、綿密で統制の取れた脆弱性管理を根幹に据えることから始め、最終的にはサイバー・エクスポージャーの基盤を整えることが重要です。」

Tenable Researchは、組織のサイバーリスク管理者を支援するために、60カ国以上の組織から3ヶ月以上に及ぶ遠隔測定データの収集、分析の結果、組織によるサイバーリスクの管理、測定、および究極的な軽減に役立つセキュリティの成熟化の明確な形と戦略的洞察を見極めました。その目的は、防御者の対処の仕方を改善するための分析を行い、最終的にこれを支援することです。

■主な調査結果

脆弱性評価には4つの際立った戦略があります。

  • ◇Minimalist(ミニマリスト)コンプライアンス規制に従って、最低限の脆弱性評価を行います。このカテゴリに分類される組織は33%あり、一部の資産についてのみ限定的な評価を行います。これは、多くの企業がリスクにさらされ、何らかの取り組みがまだ必要であることを意味し、どのKPIを最優先するかという重大な決断が伴います。
  • ◇Surveyor(サーヴェイヤー)広範囲の脆弱性評価を頻繁に実施しますが、スキャンテンプレートの柔軟性と信頼度が低いのが特徴です。このカテゴリに分類される組織は19%あり、情報資産管理の成熟度は低~中程度となります。
  • ◇Investigator(インベスティゲイター)脆弱性評価の成熟度は高いものの、その評価が一部の資産でしか実施されていないことが特徴です。このカテゴリに分類される組織は43%あり、十分なスキャン頻度や的確なスキャンテンプレート、幅広い資産の査定、そして優先順位に基づく強固な戦略的脆弱性評価を実施していることを示唆します。このカテゴリーは、脆弱性管理や経営陣の承認確保、IT部門を含む多様な事業部門との連携、スタッフやスキルの維持、さらに規模の複雑さが絡む難しい課題をこなしていることを踏まえると、優れた実績を上げていると言え、成熟度をさらに向上させる下地があります。
  • ◇Diligent(ディリジェント)脆弱性評価の成熟度は最高レベルで、資産が安全か危険か、そしてその度合いを高い評価頻度を通じて、ほぼ常時可視化することに成功しています。このカテゴリに該当する組織はわずか5 %で、ケースに応じて的確でカスタマイズされた包括的な資産管理を実施しています。
  • それぞれの成熟度で共通するのは、組織が脆弱性評価への場当たり的アプローチを避け、それに代わって戦略的な意志決定を行い、頻度の高い、立証されたスキャンなど、より成熟した方策を採用することで、脆弱性評価プログラムの有効性を高めれば恩恵が得られるということです。

調査の詳細については、テナブル・リサーチのブログ記事をご参照ください。https://www.tenable.com/blog/how-mature-are-your-cyber-defender-strategies.

ラスベガスのBlack Hat USA 2018では、Tenableのブース(404)にお立ち寄り下さい。

【米国テナブル社プロフィール】
Tenable Network Security®は、 企業の様々な情報資産の脆弱性を自動で容易に可視化、改善するソリューションを提供する会社です。世界中の24,000社を超える組織は、Tenableがサイバーリスクを熟知してそのリスクを減らし、総合的なセキュリティソリューションにより、将来のビジネスニーズに合わせてそのテクノロジーを変革し、企業組織の情報保護に向けた有効な対策を提供するよう期待しています。Nessus®を開発したTenableは、脆弱性対策の技術をさらに発展させることで、あらゆる情報資産やデバイスの脆弱性を管理、保護する世界初のセキュリティプラットフォーム「Tenable.io®」を展開しています。Tenableのセキュリティプラットフォームは、米国ビジネス誌Fortuneが選定する『Fortune 500』(総収入に基づいた全米上位500社)企業の53%、世界の有力企業2000社の29%のお客様に導入されています。詳細はtenable.com へ。

連絡先:
Amit Yoran(アミット・ヨーラン)
[email protected]

最新に保つ

最新のニュースリリースの受信を希望される方は登録してください。

最新のニュースリリースの受信を希望される方は登録してください。

無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

2,275ドル

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加していただくと、電話、メール、コミュニティ、チャットサポートを年中いつでもご利用いただけきます。詳細についてはこちらを参照してください。

無料の拡張サポートを手に入れましょう

Nessus Professional の購入とともに、

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

オペレーショナルテクノロジーのセキュリティを強化しましょう。
リスクを軽減しましょう。