Tenable 新調査:日本の組織の 74% が事前対応型のサイバー防御のためにさらなるリソースを求めていることが判明
セキュリティリーダーの 68% が受け身の態勢から抜け出せず、それが予防に軸足を置く妨げに
2023/11/9 · 日本、東京
サイバーエクスポージャー管理を提供する Tenable®, Inc. はこのたび、日本の組織のサイバー攻撃対策に関する新調査を実施しました。それによると、日本の回答者の 74% が、予防的なサイバーセキュリティに特化したリソースを増やすことでサイバー攻撃に対する防御を強化できると考えていることが明らかになりました。一方で、68% の回答者は、サイバーセキュリティチームが重大なインシデントへの対応に大部分の時間を割いていることが、事前対応型のスタンスを取る妨げになっていると指摘しています。
さらにこの調査では、過去 2 年間で日本の組織が、自社が受けたと自覚のある攻撃のうち 63% のサイバー攻撃の阻止に成功していたことが明らかになりました。しかしこのことは、日本の組織が残りの 37% に対しては脆弱な状態であり、そのために攻撃を初期の段階で防ぐことができず、事後対応的な措置に頼らざるを得なかったことを意味しています。
このデータは、2023 年に Forrester Consulting が Tenable の委託により実施した、日本の回答者 50 人を含む 825 人の IT およびサイバーセキュリティ専門家を対象とした委託調査「Old Habits Die Hard: How People, Process and Technology Challenges Are Hurting Cybersecurity Teams in Japan (古い習慣はなかなか消えない:人員、プロセス、テクノロジーの課題がいかに日本のサイバーセキュリティチームの悩みの種になっているか)」から得られたものです。
事前対応型のサイバーセキュリティアプローチを採用することの重要性にフォーカスした本調査により、日本の組織のサイバーセキュリティ対策に事後対応型のものが多い根本的な理由が、IT チームとセキュリティチームの目標の不一致にあることが分かりました。10 組織中 7 組織 (72%) が、自組織の IT チームはパッチの適用や修正よりもアップタイムのことを気にかけていると回答しています。こうした不一致が、両チーム間の連携不足につながっており、日本の組織の 42% がこの課題を認識しています。
また日本の組織は、修正すべき脅威を的確に特定することにも苦戦していることが分かりました。組織のサイバーセキュリティ対策によってリスクエクスポージャーが軽減されたと「非常に強く確信している」と答えた回答者はわずか 22% でした。過去 1 年間に優先して修正した脆弱性が、組織に対する最大の脅威に該当していたと「非常に強く確信している」と回答したのは、さらに少ない 10% でした。
Tenable Network Security Japan 株式会社のカントリーマネージャー、貴島直也は次のように述べています。「サイロ化されたサイバーセキュリティツール、さらにそれを支えるチームが、サイバーリスクの明確、継続的かつ包括的な把握を意図せず妨げています。チームの内部に染みついた考え方が問題をさらに複雑化し、IT チームとセキュリティチームの連携を困難なものにしています」
プロセスが確立されていない状態でサードパーティのテクノロジーを多数使用することによって、日本の組織に重大な脆弱性がもたらされます。回答者の 72% が、SaaS のアプリやサービスにサードパーティのプログラムを利用していますが、サードパーティ環境の可視性が高い、もしくは非常に高い組織は半数にも届きませんでした (46%)。 回答者の 72% が、SaaS のアプリやサービスにサードパーティのプログラムを利用していますが、サードパーティ環境の可視性が高い、もしくは非常に高い組織は半数にも届きませんでした (46%)。
Tenable Network Security Japan 株式会社のシニアリージョナルマーケティングマネージャー、水村明博は次のように述べています。「こういった課題は一朝一夕には解決できませんが、サンプル全体にわたって、サイバーセキュリティ成熟度の低い組織と高い組織との主な違いを見ると、リスクの削減を目指す組織の指針となりうるいくつかのテーマが浮かび上がってきます」
- サイバーセキュリティ成熟度の低い組織は、比較的受け身の態勢から抜け出せない傾向があります。成熟度の高い組織では、過去 12 か月から 24 か月の間に遭遇した攻撃の 61% を未然に防ぎ、残りの攻撃に対しては事後対応的な緩和策を取っていました。成熟度の低い組織では、攻撃の 56% を予防的に防ぎ、44% に対しては事後対応的な緩和策を取っていました。
- 成熟度の高い組織では、57% がデータ集約ツールを使用してデータを収集、分析しリスクエクスポージャーを定量化するなど、データの集約に価値を見出しています。これに対し、成熟度の低い組織でこうしたことを行っているのは 46% にとどまりました。
- 成熟度の高い組織では、成熟度の低い組織と比較すると、ビジネスリーダー向けのレポートを作成する時間が、毎月はるかに短いことが明らかになりました。こうしたレポートの作成に 11 時間以上を費やしていた組織は、成熟度の高い組織では 57% であったのに対し、成熟度の低い組織では 72% でした。
- 以上 -
調査の全文は、 こちらからご確認ください。
注記:
- Forrester Consulting は、米国、英国、ドイツ、フランス、オーストラリア、メキシコ、インド、ブラジル、日本、サウジアラビアの大企業に勤務する、日本からの回答者 50 人を含む 825 人の IT およびサイバーセキュリティ専門家を対象にオンライン調査を実施しました。本調査は 2023 年 3 月に行われました。
- 成熟度モデル: 予防的なセキュリティツールの使用状況、脅威エクスポージャー削減のためのリソースをどのように優先順位付けしているか、組織内がどれだけ可視化されているか、組織内の連携がどれだけ取れているかなど、さまざまな側面から成熟度を測定する質問への回答に基づいて、回答者にスコアが付けられました。Forrester は、下位 20% の組織を「成熟度が低い」、中位 60% を「成熟度は中程度」、上位 20% の組織を「成熟度が高い」と評価しました。
Tenable について
Tenable® は、サイバーエクスポージャー管理ソリューションを提供します。世界中のおよそ 4 万
3000 の企業と組織がサイバーリスクを正確に把握して軽減するために Tenable を採用しています。Nessus® の開発元である Tenable は、脆弱性に対する専門性を基盤に、あらゆるコンピューティングプラットフォーム上のあらゆるデジタル資産を管理、保護できる世界初のプラットフォームを展開しました。Tenable は、フォーチュン 500 の約 6 割、およびグローバル 2000 の約 4 割の企業や、大規模な政府機関などで利用されています。
詳しくは jp. tenable.com をご覧ください。
###
メディアに関するお問い合わせ先:
[email protected]
- Exposure Management
- Research