セキュリティ企業のタニウムは12月7日、国内大企業の「サイバーハイジーン(サイバー衛生管理)」状態に関する調査結果を発表した。約7割が脆弱性管理ができていないなどの現実が浮き彫りになった。
調査は、9月13~14日に大企業などのセキュリティの意思決定関与者を対象にウェブでアンケートを行い、653人から有効回答を得た。同社によれば、サイバーハイジーンとは、組織が管理すべき全端末がリアルタイムに徹底管理され、脆弱性を修正するプログラム(パッチ)をリアルタイムに適用しているなど、セキュリティ対策によってIT資産の安全性が確保されている状態を指すという。
調査結果では、サイバーハイジーンを「よく知っている」が30%、「名前は知っている」が41%で、約7割は名称を認知していた。しかしハイジーンの実施状況では、653人のうち194人がこの項目を回答しておらず、回答した人の中でも「全社規模で実施している」のは40%しかなかった。回答者全体では「全社規模で実施している」の割合は29%にとどまり、サイバーハイジーンが不十分である実態が判明した。
サイバーハイジーンの認知度(出典:タニウム)
サイバーハイジーンの実施状況(出典:タニウム)
リリースサイクルが年2回から1回に変更されたWindows 10のFeature Updates(大型の機能更新)への対応状況では、「問題なく適用できている」が32%、一部でも適用できない、あるいは分らないの回答は77%に上っている。
Windows 10 Feature Updatesの対応状況(出典:タニウム)
PCへの資産管理ソフトの状況では、41%が「全て監視できている」とする一方、「部署やネットワークで異なる」が39%、「あまり監視できていない」が12%で、ここでも徹底した管理がなされていない現実が判明した。IT資産の棚卸し頻度は「半年に1回」が34%で最も多く、25%が「四半期ごと」、20%が「年1回」だった。
資産管理ソフトによる運用状況(出典:タニウム)
IT資産管理の棚卸しの実施状況(出典:タニウム)
回答者の組織の17%が管理者権限をユーザー本人に付与していた。サイバー攻撃で管理者権限が奪取され、IT環境内でサイバー攻撃者に悪用されるリスクを抱えていると指摘する。
管理者権限の付与状況(出典:タニウム)
脆弱性の対応頻度は、「年5回以上」とコンスタントに行っている回答者が15%しかいなかった。最多は「年2~4回程度」の41%、「実施したことがない」「不明」とする回答者はそれぞれ11%に上る。脆弱性の対応日数では、「2~3週間程度」が26%、「1週間程度」が20%などで、「1日以内」は4%にとどまった。
脆弱性対策の実施状況(出典:タニウム)
修正パッチの適用状況(出典:タニウム)
同日の記者会見で調査結果を説明したマーケティング本部長の齊藤純哉氏によると、米国では2000年以降にサイバーハイジーンが“常識”となっている。標的型攻撃などの脅威拡大で一時期はサイバー攻撃の被害対策(インシデント対応)などが重視されたが、それでも被害が減少する様相は見えず、近年は再びサイバーハイジーンの徹底でサイバー攻撃を予防することが重視されているという。
齊藤氏は、特にハードウェアメーカーやソフトウェアベンダーがパッチ提供を開始してユーザーがパッチを適用するまでの期間(同社は「Nデイ」と呼称)をできるだけリアルタイムにする近付けることが理想だと述べる。一般的に、脆弱性に関する情報が公表された日からパッチ提供が開始されるまで期間の「ゼロデイ」ばかりに注目するのではいけない。
また、パッチの適用でITシステムの動作に支障が出るリスクもあるため、多くの企業や組織がリアルタイムなパッチの適用を避けているとされる。パッチのリアルタイム適用が理想で現実的でないと批判するよりも、組織内に存在する確実に管理すべきあらゆるIT資産の把握の徹底など現実的にこれを可能とする取り組みを進めるべきと提起する。
さらにサイバーハイジーンを実践する先として、さまざまなサイバーリスクや脅威に柔軟に適応しながらビジネスやITシステムなどの維持・向上させていける「サイバーレジリエンス」を目指すことになるという。
