今日のデジタル世界におけるサイバー脅威について

今日のサイバー脅威の状況は常に進化しています。組織は、ますます複雑化するサイバー脅威の数の増加に直面しています。他の組織と比較して、自分の組織にとってのサイバー脅威が何であるかを正確に解読できる万能な解決方法はありません。ただし、自組織のサイバー脅威の状況を理解し、修復のためにサイバー脅威に優先順位を付ける方法を理解することは、サイバーセキュリティプログラムを開発するための優れた第一歩となります。組織が直面しているサイバー脅威と、最も重要な業務への潜在的な影響について理解が深まるほど、時間の経過とともにサイバー衛生に対する取り組みを改善したり、サイバーセキュリティ対策を成熟させるための準備を整えたりできます。

米国国立標準技術研究所 (NIST) は、サイバー脅威を、業務に悪影響を及ぼす可能性のある状況やイベントであると定義しています。 たとえば、攻撃者がこうした脅威の悪用に成功した場合は、製品やサービスを提供できなくなる可能性があります。

その結果、顧客、ブランド、ベンダー、パートナー、主要な利害関係者、そして最悪のケースでは、市場との関係に広範な影響が及ぶ可能性があります。サイバー脅威は、組織内の業務やスタッフに悪影響を与える可能性もあります。たとえば、ご自身の組織が重要インフラのプロバイダーである場合、これらの脅威によって国家全体に悪影響が及ぶおそれがあります。

攻撃者によってサイバー脅威が悪用されると、多くの場合、さまざまな重要かつ機密データにアクセスされ、データを破壊、漏洩、変更されたり、サービス妨害 (DoS) を引き起こされたりします。

サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) は、サイバー脅威は未知の、または既知の外部のソースからのみ生じるものではなく、信頼できるユーザーによって企業内から生じる可能性があると指摘しています。 これらは内部関係者による脅威です。

重要インフラやその他の重要なサービスに対する脅威がニュースになる場合、多くの場合、国家による脅威アクターが関与しています。

CISA によると、国家によるサイバー脅威は、重要インフラが関与している場合、ウェブページの改ざんといった低レベルの迷惑行為から、生死に関わるような攻撃まで、あらゆるものが存在すると述べています。

「米国の重要なインフラに対して、能力を高めて将来的に広範囲に及ぶ長期的な被害を与えうるのは、政府が支援するプログラムだけです」と CISA は指摘しています。

テロリストまたは国家の敵が、潜在的なサイバー脅威アクターとなる場合もあります。彼らの意図は国家による攻撃者と似ています。しかし、国家の脅威アクターと同程度の能力は持っていない場合もあります。実際、彼らが用いる戦術の多くはあまり高度ではありません。テロリストによるサイバー脅威は限定的です。とはいえ、より技術的な経験を積んだ新世代がテロリストの仲間入りをするにつれ、将来的にはより洗練されたものになる可能性がある点に懸念がある、と CISAは述べています。

サイバー脅威アクターとして、組織犯罪グループや産業スパイもよく知られています。彼らによる脅威は国家による支援を受けた攻撃者ほど高いものではありませんが、サイバー攻撃を通じて混乱や損害を引き起こす能力はあり、ある程度の影響力があります。 多くの場合、彼らは産業スパイに注力しています。 また、彼らはとりわけ大企業をターゲットにした攻撃は儲かる可能性があることを知っているため、資金の流れを追跡する傾向にあります。

サイバー脅威攻撃者として最もよく知られているのは従来からいるハッカーかもしれませんが、ハクティビストの数も増えており、その認知度も高まっています。 ハクティビストには一般的に政治的な動機があり、CISA によると脅威レベルは中程度です。単独で攻撃を成功させることがありますが、そういった攻撃が損害を与える可能性もあります。重要インフラの破壊または混乱に焦点を当てている国家によるサイバー攻撃者とは異なり、ハクティビストは一般的に、危害を与えるというよりも目的を達成しやすくするサイバー攻撃を行います。

そして最後に、通常は単独で、または小さなグループの一部として活動する有名なハッカーもいます。これらの攻撃者がもたらす脅威は少ないものの、脅威の機会はより広範囲に及び、多様な結果を生む可能性があります。 ハッカーには、名声を求める者、大金を求める者、単に自分たちがそれをできることを証明したい者がいます。

重要インフラに関して言えば、ほとんどの単独ハッカーは重大な脅威となるスキルやリソースを持っていません。ただし、その数は非常に多いため、永続的な影響を与えるおそれのある重大なサイバーイベントを引き起こす可能性があります。

CISA は、これらのサブグループの一部を次のように識別しています。

• スクリプトキディ: 利用可能な調査とツールを使用して脆弱性を悪用し、コードを悪用します。

• ワームとウイルスの作成者: 通常、ワームやウイルスのコードは作成しますが、エクスプロイトコードは作成しません。

• セキュリティのリサーチエンジニアとホワイトハットハッカー: バグハンターとコード漏洩者は、通常、特定することで経済的利益を得られる弱点を探します。

• ブラックハットハッカー: バグハンターやコード漏洩者と同様、彼らは多くの場合、コードを書いたり、意図的にネットワークをハッキングしようとしたりすることで報酬を受け取ります。

はい。サイバー脅威にはさまざまな種類があります。サイバー脅威はテクノロジーの問題、脆弱性、弱点の観点から考えられることが多いですが、意図的または不注意に危害を及ぼす手段を講じる個人であることもあります。

サイバー脅威にはさまざまな種類があり、特に組織がクラウドサービスなどの新しいテクノロジーを採用および実装するにつれて、常に変化し進化し続けています。

すべてを網羅しているわけではありませんが、以下に一般的なサイバー脅威の例をいくつか紹介します。

• 設定ミスやパッチが適用されていないシステムを突いた攻撃

• フィッシング: 実在する組織を装って偽の E メールを送信し、ユーザーをだましてユーザー名、パスワード、支払い情報などを開示させる手法

• 認証情報の窃取: 多数の異なるサイトで同じユーザー名やパスワードを使用するユーザーが多いことを悪用して、最初の侵害でユーザー名とパスワードを収集した後に、その情報を使用して他のサイトにアクセスする手法

• マルウェア: 攻撃者にシステムへのアクセスを許可させる、悪意のあるソフトウェア

• サービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃: 帯域幅を使い果たし、システムが実際のサービス要求に応答できなくなるフラッディング攻撃

• クロスサイトスクリプティング (XSS): ウェブサイト上に悪意あるコードを配置して訪問者を標的にする手法

• 中間者 (MITM) 攻撃: 公共の Wi-Fi などの保護されていないネットワークを通じてユーザーを侵害します。

• SQL (Structured Query Language) インジェクション: 悪質なコードをサーバーに置き、SQL を使用して、他の方法ではアクセスできない機密情報にアクセスします。

• ゼロデイエクスプロイト:脅威の公表後、パッチや修正がリリースされる前にシステムを悪用する手法

• スパム: ユーザーを誘導して悪意のあるリンクをクリックさせたり、悪意のあるファイルをダウンロードさせたり、資格情報などの機密情報を提供させたりするために、望ましくない一方的なメッセージを大量に送信する手法です。

• クラウドの脆弱性: クラウドセキュリティの脆弱性は、安全でない API、不十分なアクセス管理、システムの設定ミスなど、クラウドコンピューティング環境における弱点となります。

• コードの設定ミス: コードの開発およびテスト中の初期段階に発生し、見過ごされてきた設定ミスが原因のセキュリティ上の弱点を発見し、それを悪用の足がかりにするハッカーがますます増えています。

• 内部関係者による脅威: 内部関係者による脅威の多くは、不満を抱いた従業員や、(金銭的インセンティブなどに) 誘惑されて組織に害を及ぼす可能性のある行為を行った従業員という形をとりますが、従業員や関係するパートナーによる意図しない行為によっても内部関係者リスクが発生することがあります。

• 悪質なリンク: これらのリンクは通常はメールやウェブサイトに含まれています。攻撃者は意図的にウイルスやマルウェアなどにつながるリンクを作成して、デバイスにアクセスできるようにしたり、ユーザーに認証情報を提供させたりします。

• 資産の紛失や盗難: 資産の紛失または盗難、特にパスワードで保護されていない資産や暗号化されていない資産がサイバー脅威となります。これにはスマートフォンやノート PC だけでなく、タブレット、外付けバックアップドライブ、USB メモリーなど、データが保存されている可能性のあるあらゆるデバイスの紛失が含まれます。

• 暗号化されていないデータとデバイス: デバイスが暗号化されていない場合、攻撃者は保護されていないデータを読み取り、アクセスできる可能性があります。

• ソーシャルエンジニアリング: ソーシャルエンジニアリングもサイバー脅威の一種です。これは攻撃者が人々を騙して機密情報や重要情報を公開させ、それを詐欺行為に利用できるようにする戦術であるためです。

• パッチ未適用の脆弱性: 攻撃者はパッチ未適用のシステムを好みます。 ソフトウェアやデバイスの既知の脆弱性にパッチが適用されていないことも多いため、攻撃者がこれらの弱点を悪用してシステムやネットワークにアクセスする可能性があります。

• 継続的な脆弱性監視の未実施: 継続的な脆弱性監視を行わないと、環境の変化に伴って生じる新たな潜在的リスクや脆弱性に対するインサイトが不足し、その存在を認識していない新たなサイバー脅威が生じる可能性があります。

サイバーエクスポージャー管理は、組織がサイバー脅威を確認、予測し、特定して対処する管理手法です。サイバーエクスポージャー管理とサイバーリスク管理は多くの場合同じ意味で使用されます。どちらも、サイバー脅威の特定、運用のレジリエンスに最も大きなインパクトを与える可能性があるものに対する優先順位付け、それらの問題の修復に貢献します。

サイバーエクスポージャー管理は、サイバーセキュリティのライフサイクルに沿って行われ、サイバー脅威の継続的な探索、サイバーセキュリティプラクティスの成熟に役立つフレームワークの作成を行います。

簡単に言うと、サイバーエクスポージャー管理は、セキュリティの目標と目的をビジネスの目標と統合するのに役立ちます。これにより、サイバー脅威などのさまざまなリスクに基づいて、より適切な情報に基づいたビジネス上の意思決定ができるようになり、セキュリティプラクティスを継続的に評価してサイバーセキュリティ衛生を改善できるようになります。

サイバーエクスポージャー管理ライフサイクルにおける 3 つの要素は次のとおりです。

• 把握: すべての資産を特定してマッピングし、環境全体を可視化します

• 予測: 脅威インテリジェンスとビジネスの文脈を使用して、攻撃者が最も悪用しそうな脆弱性を検出します

• 対処: 重大なサイバー脅威を修正または軽減します

サイバー脅威とサイバーリスクという用語は、しばしば同じ意味で使用されますが、同じではありません。「サイバー脅威」とは、サイバー攻撃が発生する可能性のことです。一方「サイバーリスク」では、そのサイバー脅威に関連するリスクや、潜在的な影響も考慮されます。「サイバー攻撃」は、これらと相互に関連しているものの、攻撃者がセキュリティの問題を首尾よく悪用するために、実行する可能性がある実際のアクションを指します。

サイバー脅威管理は、技術的なデータ、自動化ツール、その他のリソースを活用してより的確なビジネス上の意思決定を行う方法の理解に役立つため重要です。

現代のビジネスでは、現実として、脅威環境が絶えず進化しています。 脅威環境が急速に変化するにつれ、複雑さも増しています。 システムは、もはや単なるサーバーやネットワークだけではありません。 今日のビジネスオペレーションは、オンプレミスの資産からクラウド、さらにはオペレーショナルテクノロジー、モノのインターネット (IoT)、産業用モノのインターネット (IIoT) デバイスに至るまで、さまざまなデバイス、システム、場所に及んでいます。

残念なことに多くの組織は依然として、サイバー脅威管理実践に対して、サイバー脅威と潜在的な影響に基づいたアプローチではなく、コンプライアンスを念頭に置いたアプローチを採用しています。組織によっては、事前対応型で柔軟なプログラムを構築するのではなく、コンプライアンスや規制機関の最低限の要件を満たすことを重要視しています。こうしたやり方は、「コンプライアンスを満たしていない」という批判からは逃れることができるかもしれませんが、今日ハッカーがサイバー脅威を悪用するのに用いる、進化する洗練された攻撃手法からユーザーを守るには十分ではない可能性があります。

コンプライアンスやその他の規制基準を満たすことは優先事項ではあるものの、それがサイバー脅威管理プログラムの唯一の重要な推進要因であってはなりません。 コンプライアンスしか考えていない場合、十分な安全性が担保されない場合があります。

包括的でよく考え抜かれたサイバー脅威管理プログラムが存在しない場合、すべての資産とそれに関連する脆弱性やセキュリティ問題を常に把握し続けることが不可能となる場合があります。サイバー脅威管理プログラムは、環境が拡大したり進化したりしても、これらすべての資産を特定して目録を作成し、重要な業務とサービスを特定し、すべての脆弱性と弱点を把握し、最初に対処すべきものに優先順位を付け、すべてのリスクについて継続的に洞察を得るのに役立ちます。

また、サイバー脅威管理のもう 1 つの重要なメリットは、リスクが最も高いと思われる領域に積極的にアクセスし、攻撃者の一歩先を行く戦略を立てられることです。

多くの場合、成熟したサイバー脅威管理プログラムを持たない企業は、手遅れになるまで悪用されうる場所を見つけることができません。攻撃を受けてから何か月も気付かなかったり、潜在的な問題に対する監査や調査を行う際に初めて気付いたりすることもあります。

サイバー脅威管理は、セキュリティのギャップを埋めるためのフレームワークです。サイバー脅威プログラムを導入していない組織の場合、自組織の脅威状況を包括的に把握できていないことがよくあります。したがって、すべてのセキュリティ問題を迅速、正確、効率的に追跡することができません。また、サイバー目標とビジネス目標を一致させるレポートを作成することもできません。つまり、「サイバー脅威との継続的な戦いに組織の全員が一丸となって取り組む」のを奨励する文化を構築する際に、困難を伴います。

また、熟練した資格のある専門家を見つけ、引き付け、維持することが難しい業界で、効率的なサイバー脅威管理プログラムが実践されていない場合、IT チームとセキュリティチームのメンバーが過労で燃え尽きることがよくあります。これらの問題により、集中すべき場所や可視性に悪影響がおよび、新たなサイバー脅威が発生するおそれがあります。

組織でサイバー脅威をより適切に特定するのに役立つ、ベストプラクティスがいくつかあります。

まず、今日の脅威環境についてのインサイトが必要です。 そのために、セキュリティチームに業界のニュースや調査を常にチェックさせている企業は多いですが、Tenable Research などのリソースと連携した方が効果的な場合があります。 自社のチームは弱点を探し出し、それを修正しようとして既に手一杯です。 小規模なチームや既に多忙なチームが今日の最大の脅威をすべて特定することはほとんど不可能です。 Tenable のようなチームを活用することで、自社のチームの時間とリソースを大規模な調査に費やさなくても、選択した Tenable 製品の範囲内でその調査を確実に行えるようになります。したがって、「重要な脆弱性のうちどれが自社の環境に関連しているか」、または「最初に対処すべき脆弱性をどのように優先順位付けする」といったことに焦点を絞って検討できます。

また、これは企業内の脅威に限ったことではありません。 サイバーの脅威は外部でも常に進化しているため、どこに注目すべきかを知るためには、脅威に関する適切な参考資料が必要です。

次に、脅威の状況がどのようなものかを理解したら、環境全体とすべての資産を可視化する必要があります。その対象は、もはや現場の IT 資産だけではないことにご注意ください。 チームでは、監視対象のモバイルデバイスや、サービスとしてのソフトウェアのアプリケーション、その他のクラウドベースのソリューションを多数扱っているはずです。

すべての資産を、正確な (そして自動的に更新される) 資産インベントリで可視化することが重要です。どのような資産を所有し、それらがいつ、どのように使用されているかを把握しなければ、弱点がある場所を特定できません。 資産インベントリは、重要なサービスや運用の特定と同様に、組織のサイバー脅威を特定する重要な初期ステップです。

すべての資産の場所と使用状況を把握したら、潜在的な脆弱性、設定ミス、パッチが未適用のシステム、その他のセキュリティ上の問題をすべて特定するための支援が必要になります。 Tenable Nessus などの、脆弱性の特定を自動化するツールの使用を検討してください。

例えば、Nessus Network Monitor では、ご使用の環境の脆弱性についてのインサイトを継続的に把握できます。 また、チームが手作業で調査し、潜在的なセキュリティの問題をすべて発見しようとする場合とは異なり、Nessus を通じて約 7 万 8 千件の CVE、17 万 4000 以上のプラグインにアクセスすることができます。毎週 100 以上のプラグインが新たに追加されます。

例えば Tenable One は、サイバー脅威がどこにあるのかだけでなく、それらが企業にもたらすリスクを判断するのに役立つサイバーエクスポージャー管理プラットフォームです。 これにより、環境がいつどのように変化したかに関係なく、いつでもサイバーリスクを把握できるようになります。

Tenable One のようなツールを使用することで、こういったサイバー脅威のうち、どれに最初に焦点をあてるべきかの優先順位を簡単に決めることができます。 Tenable の Vulnerability Priority Rating (VPR) は、わかりやすいスコアで表示されるため、最初に何に注目すべきかを把握できます。

脆弱性がある場所を特定し、チームが最初に対処する脆弱性の優先順位を決めたら、対応策を実行に移します。 ここではプレイブック、ポリシー、手順も重要ですが、Tenable のようなツールを使用すると、事前に設定したパラメーターや業界で認められたベストプラクティスに基づいて対応を自動化できます。 Tenable One のようなプラットフォームを使用すると、主要なチームメンバーに対してその役割と責任に基づいて素早く警告や通知を行えるようになり、把握されていなかった弱点を攻撃者が悪用する前に先手を打つことができます。

多くの組織が共通脆弱性評価システム (CVSS) を使用してサイバー脅威の修正プロセスに優先順位を付けていますが、その対処には苦労しているところも多くあります。 これは、CVSS では企業固有の環境やビジネスニーズを考慮せずに、多くの「緊急」や「重要」の脆弱性評価が返されるためです。 その結果、チームが数多くの脆弱性の山に埋もれて対処できなくなる一方で、同様の評価を持つ新しい脆弱性が次々に発見されることとなります。どれに注力すべきか、わからなくなってしまうのです。

その対策としては、Tenable の VPR を使用した脆弱性の優先順位付けプロセスの管理が考えられます。Tenable の予測優先順位付けテクノロジーにより、組織はより正確な洞察を得たり、緩和戦略をより効果的かつ効率的に改善したりできます。

各脆弱性には、深刻度に基づいて「重大」「高」「中」「低」のいずれかの VPR が設定されます。 ただし、VPR では技術的な影響だけではなく脅威、つまり、攻撃者がその脆弱性を悪用する可能性がどれだけあるか、また攻撃に成功した場合に業務にどのような影響が及ぶかという点も考慮されます。 深刻度は、最近の脅威活動と将来の潜在的な脅威活動に基づいた調査に基づいています。

これが考慮するのは、技術的な深刻度だけではありません。したがって、従来の CVSS アプローチとは異なります。VPR はリスクも考慮しています。 また VPR は、脆弱性の持つ既知のエクスプロイトコードも考慮します。 これは、公開されているエクスプロイトコードを持つ脆弱性がサイバー攻撃に利用される可能性が高いためです。 より成熟したエクスプロイトコードは、VPR を通じて「深刻」または「高」と評価される可能性が高く、CVSS による優先順位付けスコアリングよりも効果的です。

CVSS と VPR のスコアの違いについて説明すると、VPR は平均して約 700 件の脆弱性を「重大」と評価しますが、CVSS で「緊急」と評価される脆弱性は数万件にのぼる可能性があります。 VPR のほうが「重大」と評価される脆弱性が少ないため、最初にどの修正に重点を置くべきかをより容易に把握できます。

VPR と CVSS の違いについて詳しくは、 こちらのブログをお読みください。

サイバー脅威を緩和または修正するための企業の戦略は、業務や目標に固有のさまざまな情報に左右されます。 ただし、これらの脅威の一部を軽減するためのベストプラクティスもいくつかあります。

• 資産インベントリを完成させて、定期的に更新する。 資産の場所と使用状況を知らなければ、サイバー脅威をすべて特定することはできません。

• ベストプラクティスのリスク管理フレームワークを使用して、定期的なリスク評価を実施する。

• 役割に基づく警告や通知など、多くのルーチンプロセスを自動化する脆弱性評価ソリューションの使用を検討する。

• 現在のセキュリティ態勢を把握する。

• セキュリティギャップを特定する。 修正の優先順位を決定し、セキュリティの弱点に対処するための計画を策定します。

• ターゲットのセキュリティプロファイルを確立し、プロセスの評価、変更、更新をルーチン化して、サイバー衛生の手法を成熟させる。

• ソフトウェアを更新する。 ソフトウェアシステムには多くの場合、既知の直接的な脆弱性が存在しており、その対処には定期的な更新が必要になります。 可能であれば、こういったプロセスの自動化を検討してください。

• ID およびアクセス管理のポリシーと手順を採用する。 ユーザーが必要なタスクを完了できる一方で、他の情報にはアクセスできないようにするような、最小限のアクセス制御の実現を検討してください。 ユーザーが組織を離れたり、役割が変更されたりした場合に、システムから自動的に削除されるような仕組みを導入してください。

• ゼロトラストなどのネットワークアクセスコントロールを確立する。

• エンドポイントセキュリティを採用する。

• ファイヤーウォールを設定する。

• パスワードやその他の認証情報をリセットするための安全な手順など、パスワード管理のベストプラクティスを適用する。

• 承認されたソフトウェアリストの維持および管理、および承認されたソリューションの信頼できる証明書の管理を行う。

• とりわけ、昇格された権限を持つユーザーに対しては、多要素認証などの追加のセキュリティ対策を使用する。

• 暗号化テクノロジーを採用する。

• システム復旧計画の作成、テスト、定期的な更新を行う。

• 潜在的なネットワーク侵入に関する洞察を即座に得るため、継続的なネットワーク監視を行う。

• アンチウイルスとアンチマルウェアのソリューションを導入する。

• スタッフに対してサイバー脅威に関する教育とトレーニングを行い、定期的に演習を実施して、潜在的な弱点となる箇所を特定する (例えば、悪質なリンクと思われるものを記載したテスト用 Eメールを送信し、 そのようなリンクを日常的にクリックしたり、不明な添付ファイルをダウンロードしたりするユーザーがいるか確認します)。

• フィッシングの演習を行い、認証情報やその他の機密データをスタッフから盗み出せるかどうかを確認する。

• 内部から、また外部からのペネトレーションテストを実施して、セキュリティの弱点を特定し、セキュリティの防御が意図したとおりに機能することを確認する。

• Tenable のようなチームと提携して、常に最新のサイバー脅威に対応する。

• 脆弱性評価と脆弱性管理のベストプラクティスを採用する。

• システムのバックアップ計画を策定し、さまざまな潜在的な停止シナリオに対して定期的にテストを行う。

• パッチ管理スケジュールを使用できるアプリケーションとオペレーティングシステムにパッチを適用する。

• 従来の IT からクラウド、そして IoT、IIoT、OT の運用まで、アタックサーフェス全体に対するインサイトを得られるセキュリティプラットフォームを採用する。

2020 年に始まった新型コロナウイルスのパンデミックによって、多くの企業でテクノロジーの導入やリモートワークの機会が加速し、それに伴って現代のビジネスに対するサイバー脅威の数も増加しました。 現代の企業が直面している最大のサイバー脅威のいくつかを、順不同で紹介します。

• ランサムウェア

• モバイルデバイスを狙うマルウェア

• サプライチェーンとサードパーティベンダーのリスク

• ソーシャルエンジニアリング

• フィッシング詐欺

• クラウドセキュリティの弱点

• 設定ミス

• 重要なインフラやオペレーショナルテクノロジーを狙う攻撃者の増加

• Log4j など、アプリケーションのセキュリティ問題の増加

• IT とサイバーセキュリティの分野における人材不足

• APT 攻撃の増加

• 保護されていないネットワークやデバイスを介した在宅勤務のセキュリティリスク

Tenable One にはサイバー脅威の管理プログラムを構築して成熟させるにあたり、サイバー脅威フレームワークを利用できます。 例えば、米国政府は、サイバー脅威が何であるかを企業が理解できるようにサイバー脅威フレームワークを開発し、サイバー脅威を特定して議論するための共通言語を提供しました。 このフレームワークは、攻撃者の目的を脅威のライフサイクルに結び付けて整理したもので、準備、関与、存在、影響、結果の各段階に焦点を当てています。

最も広く使われているフレームワークのひとつが、NIST サイバーセキュリティフレームワーク (NIST CSF) です。 これは、企業がサイバー脅威を特定し、サイバーリスクを管理するためのベストプラクティスのアプローチとして認識されています。 企業は NIST CSF を導入することで、すべての脆弱性やサイバー脅威についてより深いインサイトを獲得し、それらの潜在的な影響を把握できるようになります。そして、リスクを軽減して、対応と復旧の計画を作成できるようになります。

業界、場所、ビジネスの種類にもよりますが、考慮すべきその他のサイバー脅威対処のためのフレームワークを以下に示します。

• ISO 27001

• ISO 27002

• SOC2

• NERC-CIP

• FISMA

• HIPAA

Tenable の リスクベースの脆弱性管理プラットフォームは、サイバー脅威の特定、優先順位付け、修正を行うための優れた方法です。

従来の脆弱性管理の手法とは異なり、リスクベースの脆弱性管理は単に企業内の脆弱性を発見するだけではありません。 これにより、資産とそれに関連するリスクを特定し、どのサイバー脅威が組織に最大のリスクをもたらすかを把握可能な実用的で理解しやすい情報を得ることができるため、最も重要な脅威を最初に緩和する計画を立てることができます。

例えば、Tenable One を使用すると、サイバーエクスポージャー管理に対するアプローチの断片化を防ぎ、インフラのコード化 (IaC) から、従来の IT 資産、クラウド環境、OT、ウェブアプリケーション、Active Directory などに至るまですべてを含めたアタックサーフェス全体を完全に可視化できます。

Tenable One では、機械学習アルゴリズムを用いて、20 兆以上の脅威の側面と脆弱性や脅威のデータを継続的に分析します。 これにより、組織全体のどこにサイバー脅威があるかを確認できるため、ビジネスにとって最も合理的な方法で優先順位を付けることができます。

Tenable のサイバー脅威調査とツールを使用すると、サイバー脅威のギャップを解消し、進化するアタックサーフェスを保護できます。 And remember, it's not just about identifying your exposures. It's about getting insight into which may have the greatest impact on your organization now and in the immediate future. You can also prioritize and remediate those exposures as quickly and accurately as possible.

With threat intelligence from Tenable Research, paired with Tenable’s AI and machine learning capabilities, you can calculate, communicate and compare risks related to your relevant cyber threats. Tenable gives you insight into your current exposures and quantifies your risk level, assessment maturity, and remediation maturing. 社内で、また同業他社に対してベンチマーキングを行うことで、プログラムの有効性を比較することもできます。

With risk-based exposure scoring and prioritization, you'll always have insight into your greatest exposures — specific to your organization and your unique environment.

Tenable enables you to apply business context to all of your cyber risks. That helps you more effectively prioritize and remediate vulnerabilities. Threat intelligence is also critical for building a bridge between your IT, security teams, and executives. With a better understanding of risk as it applies specifically to your organization, your teams can align security program messaging so that your executives and key stakeholders understand it, without all the technical jargon.

このようなサポートがあれば、サイバー脅威管理プログラムは、もはや技術的な用語の羅列や恐ろしい見通しに関するだけのものではなくなります。 You can quantify the risks of those cyber threats in a way that has meaning to your organization. And ultimately, this type of communication can build executive engagement support for your program, like ensuring you have additional personnel, tools, time and resources as needed.

脆弱性情報評価・管理A Fundamental First Step to Improve Cyber Hygiene and Reduce Cyber Risk

Boosting Confidence in Governments’ Cybersecurity

Why Food and Beverage Companies Should Crack Down on Industrial Cyber Threats

攻撃者の目線で考えた Active Directory の防御対策