編集部からのお知らせ
メタバース動向の記事まとめ
「半導体動向」記事まとめ
調査

国内大企業の約7割はサイバー衛生が不十分--タニウム調査

國谷武史 (編集部)

2021-12-07 17:04

 セキュリティ企業のタニウムは12月7日、国内大企業の「サイバーハイジーン(サイバー衛生管理)」状態に関する調査結果を発表した。約7割が脆弱性管理ができていないなどの現実が浮き彫りになった。

 調査は、9月13~14日に大企業などのセキュリティの意思決定関与者を対象にウェブでアンケートを行い、653人から有効回答を得た。同社によれば、サイバーハイジーンとは、組織が管理すべき全端末がリアルタイムに徹底管理され、脆弱性を修正するプログラム(パッチ)をリアルタイムに適用しているなど、セキュリティ対策によってIT資産の安全性が確保されている状態を指すという。

 調査結果では、サイバーハイジーンを「よく知っている」が30%、「名前は知っている」が41%で、約7割は名称を認知していた。しかしハイジーンの実施状況では、653人のうち194人がこの項目を回答しておらず、回答した人の中でも「全社規模で実施している」のは40%しかなかった。回答者全体では「全社規模で実施している」の割合は29%にとどまり、サイバーハイジーンが不十分である実態が判明した。

サイバーハイジーンの認知度(出典:タニウム)
サイバーハイジーンの認知度(出典:タニウム)
サイバーハイジーンの実施状況(出典:タニウム)
サイバーハイジーンの実施状況(出典:タニウム)

 リリースサイクルが年2回から1回に変更されたWindows 10のFeature Updates(大型の機能更新)への対応状況では、「問題なく適用できている」が32%、一部でも適用できない、あるいは分らないの回答は77%に上っている。

Windows 10 Feature Updatesの対応状況(出典:タニウム)
Windows 10 Feature Updatesの対応状況(出典:タニウム)

 PCへの資産管理ソフトの状況では、41%が「全て監視できている」とする一方、「部署やネットワークで異なる」が39%、「あまり監視できていない」が12%で、ここでも徹底した管理がなされていない現実が判明した。IT資産の棚卸し頻度は「半年に1回」が34%で最も多く、25%が「四半期ごと」、20%が「年1回」だった。

資産管理ソフトによる運用状況(出典:タニウム)
資産管理ソフトによる運用状況(出典:タニウム)
IT資産管理の棚卸しの実施状況(出典:タニウム)
IT資産管理の棚卸しの実施状況(出典:タニウム)

 回答者の組織の17%が管理者権限をユーザー本人に付与していた。サイバー攻撃で管理者権限が奪取され、IT環境内でサイバー攻撃者に悪用されるリスクを抱えていると指摘する。

管理者権限の付与状況(出典:タニウム)
管理者権限の付与状況(出典:タニウム)

 脆弱性の対応頻度は、「年5回以上」とコンスタントに行っている回答者が15%しかいなかった。最多は「年2~4回程度」の41%、「実施したことがない」「不明」とする回答者はそれぞれ11%に上る。脆弱性の対応日数では、「2~3週間程度」が26%、「1週間程度」が20%などで、「1日以内」は4%にとどまった。

脆弱性対策の実施状況(出典:タニウム)
脆弱性対策の実施状況(出典:タニウム)
修正パッチの適用状況(出典:タニウム)
修正パッチの適用状況(出典:タニウム)

 同日の記者会見で調査結果を説明したマーケティング本部長の齊藤純哉氏によると、米国では2000年以降にサイバーハイジーンが“常識”となっている。標的型攻撃などの脅威拡大で一時期はサイバー攻撃の被害対策(インシデント対応)などが重視されたが、それでも被害が減少する様相は見えず、近年は再びサイバーハイジーンの徹底でサイバー攻撃を予防することが重視されているという。

 齊藤氏は、特にハードウェアメーカーやソフトウェアベンダーがパッチ提供を開始してユーザーがパッチを適用するまでの期間(同社は「Nデイ」と呼称)をできるだけリアルタイムにする近付けることが理想だと述べる。一般的に、脆弱性に関する情報が公表された日からパッチ提供が開始されるまで期間の「ゼロデイ」ばかりに注目するのではいけない。

 また、パッチの適用でITシステムの動作に支障が出るリスクもあるため、多くの企業や組織がリアルタイムなパッチの適用を避けているとされる。パッチのリアルタイム適用が理想で現実的でないと批判するよりも、組織内に存在する確実に管理すべきあらゆるIT資産の把握の徹底など現実的にこれを可能とする取り組みを進めるべきと提起する。

 さらにサイバーハイジーンを実践する先として、さまざまなサイバーリスクや脅威に柔軟に適応しながらビジネスやITシステムなどの維持・向上させていける「サイバーレジリエンス」を目指すことになるという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]