デジタル改革後のアタックサーフェス
あらゆる規模の組織が、新しいビジネスモデルとエコシステムを創造し、新しい製品やサービスを提供し、デジタル経済においてより効率的に運営するためにデジタル改革を進めています。クラウド、モバイル、SaaS、DevOps などの開発技術の変革や新しいデジタルコンピューティングプラットフォームが、概念から機能への移行が日常的に可能になりました。企業の会議システムから電力網にいたるまで、あらゆる種類の物理デバイスやシステムがネットワーク接続され、プログラム可能になり、デジタル化の機会はますます増えています。
これらのデジタル技術は未来だと言う人もいます。しかし、未来は今ここにあるというのが真実です。2019年までに、企業には90億個以上の IoT デバイスが導入されるでしょうし、すでに90%以上の企業がクラウド上でアプリケーションを稼働させています。
企業の資産の変動とともにアタックサーフェスが変動するので、Cyber Exposure を常に正確に把握することが難しくなり、実情と組織の把握能力にギャップが生じています。Tenable では、これを Cyber Exposure Gap と呼んでいます。
デジタルトランスフォーメーションは、まったく新しいビジネスチャンスを生み出す一方、防御すべき新たなサイバー攻撃のアタックサーフェスそのものでもあります。
このような状態は激増し逼迫しています。
Cyber Exposure Gap
現在多くの組織がサイバーリスクを把握するために使用しているツールやアプローチは、従来のクライアント/サーバー、オンプレミスのデータセンター、セキュリティの制御がより複雑で線形なソフトウェア開発ライフサイクルでも機能しません。資産は単なるラップトップやサーバーではなくなりました。最新のアタックサーフェスを代表するものは、デジタルコンピューティングプラットフォームと資産の複雑な組み合わせで、そこでは、資産とその関連する脆弱性は生命体のように増大し、縮小し、進化しています。
企業の資産の変動とともにアタックサーフェスが変動するので、Cyber Exposure を常に正確に把握することが難しくなり、実情と組織の把握能力にギャップが生じています。Tenable では、これを Cyber Exposure Gap と呼んでいます。
Cyber Exposure Gapを埋める方法はいくつかあるようですが。。。
何百個のセキュリティツールを投入 この方法では「その週の脅威 (Threat of the week)」の対応に集中するため、結果的に可視性が分断化され、管理業務の負荷が増え、事後対応に追われてしまいます。
CMDBに依拠して資産構成を可視化しても、現代の資産を発見してマップするために作られたものではないので、プロジェクトの85%は古いデータなどが原因で失敗します。
脆弱性を特定するために「ネットワークをスキャン」これは Cyber Exposure Gap を理解する上での基本ですが、従来の「すべてに適合可能」な手法とツールは現代のアタックサーフェスに適応できていません。
実は、今までデジタルトランスフォーメーション後のアタックサーフェスの Cyber Exposure Gap を埋めるのに必要な可視性とフォーカスを提供できるソリューションがなかったのです。
しかし、それは過去のこと。次にTenable の新しいコンセプトをご紹介します。
Cyber Exposureの新時代へ
Cyber Exposureは、サイバーリスクの正しい理解と低減に向けた最新のアタックサーフェスを管理および測定する新たな規範です。Cyber Exposureは、セキュリティを静的およびサイロ的な可視性から、最新の攻撃面に対する動的かつ全体的な可視性へ変えます。Cyber Exposureは、セキュリティのために構築されたテクノロジーをリアルタイムで可視化します。Cyber Exposureを理解することで、セキュリティを脆弱性の単なるリストからメトリクス駆動プログラムに変えます。そこでは、サイバーリスクを定量化し、他のすべてのビジネスリスクとともに測定し、すべての戦略的ビジネスはそれに依存し決定を下します。Cyber Exposureを理解することが、デジタル化の障害になることはありません。それを可能にします。
Cyber Exposureは、従来のITアプリケーション、エンドポイントおよびシステムなどの脆弱性管理のルーツに基づいており、バグや誤設定の特定から次の機能へと拡張します。
任意のコンピューティング環境での最新の資産のリアルタイム検知
資産がどこで安全に保護されているか、どこで公開されているか、どの程度保護されているかを継続的に把握
リスク変動資産にコンテキストを追加し、適切な修正手法を優先順位付けし、選択する
ビジネス上のサイバーリスクを正確に表現し、ビジネス用語を使って伝える
戦略的意思決定支援のための重要なリスク指標としてCyber Exposureデータを適用
Cyber Exposure
ライフサイクル全体を網羅
発見
コンピューティング環境全体であらゆる資産を識別してマッピング
評価
脆弱性、構成ミスなどの健全性指標を含む、すべての資産の状態を理解する
分析
資産の重要度、脅威の内容、および脆弱性の重大度に基づいて修正作業を優先付けるために、状況に合ったリスク変動資産の位置付け
修復
最初に修正するリスク変動資産の優先順位を決定し、適切な修正方法を適用
検出
より良いビジネス的および技術的意思決定を行うためのCyber Exposureのモデル化と分析
どんなに大きくても小さくても、すべての組織は、
3つの質問に常に自信を持って答えることができます。
The World’s First Cyber Exposure Platform
Tenable Cyber Exposure Platformは、現代のアタックサーフェスにわたってサイバーリスクを総合的に評価、管理および測定する業界初のソリューションです。Tenable のプラットフォームは、IT、クラウド、IoT 、OT 環境などにおけるサイバーリスクの幅広い可視性と、サイバーリスクをビジネス用語で測定・伝達するための深いアナリティクスを提供し、より的確な戦略的意思決定をサポートします。
Cyber Exposure を測定し、競合他社と比較します。
オンプレミスでの脆弱性管理
クラウドでの脆弱性管理
Nessus OT ContainerSecurity PCI ASV Web App
Scanning
Cyber Exposure Platform の利点
資産の可視化
あらゆるコンピューティングプラットフォームの従来の資産と最新の資産(クラウド、モバイル、コンテナなど)の両方を即時に検出。まだ気づいていない資産も検出します。
アクショナブルインサイト
各資産が安全か危険か、さらにその程度を自動で評価。ビジネスコンテキストを上手く活用し、脆弱性の優先順位付け、リスクの検知、修復の迅速化を実現します。
柔軟な導入
現代の組織の脆弱性を管理するための柔軟性の高い導入オプション。Tenable.sc (オンプレミス管理)と Tenable.io (クラウド管理)があります。
アクティブおよびパッシブスキャン
パッシブなネットワーク監視だけでなく、アクティブスキャンやエージェントスキャンにも対応する無制限の Nessus センサー。カバレッジを最大化し、盲点を減らします。
拡大する Cyber Exposure Gap を無視することは
... もうできません。
Tenable にご相談ください。
in the cloud
on-prem
