Tenable Network Securityはこのほど、同社のデータサイエンスチーム「Tenable Research」が、2,100の組織を対象としたサイバーリスクに対する組織の評価を分析した「The Cyber Defender Strategies Report」を公開したと発表した。

同調査によると、世界の約48%の組織が戦略的な脆弱性評価(ビジネス視点において情報資産を正確かつ的確にスキャンし、優先順位付けをするプログラムとして認められるものとする)を取り入れ、サイバーリスク対策の基本的な要素として、またリスクを軽減するための重要ステップとしていることがわかったという。

しかし、包括的な情報資産管理がプログラムの基盤となっているプログラムを利用している組織のうち、情報資産のサイバーリスクを正確に把握できている組織はわずか5%であることも判明した。一方、組織の33%は脆弱性評価に対し最小限のアプローチで、コンプライアンス規則が必要とする最低限の対策を講じ、事業に致命的に影響を与えるサイバーリスクの危険性を増やしているという。

Tenable Researchでは、調査の結果、情報資産管理の熟練度において、組織を4つのカテゴリーに分類している。

33%の組織が属する「Minimalist(ミニマリスト)」は、コンプライアンス規制に従って、最低限の脆弱性評価を実行する。このカテゴリーの企業は、KPIを達成するなどの事項よりも優先して、さらなる脆弱性対策が必要であるという。

19%の組織が属する「Surveyor(サーヴェイヤー)」は、広範囲の脆弱性評価を頻繁に実施するが、スキャンテンプレートの柔軟性と信頼度が低いのが特徴。

43%の組織が属する「Investigator(インベスティゲイター)」は、脆弱性評価を高い質で実行しますが、評価するのは一部の資産のみであることが特徴。

わずか5%の組織鹿含まれない「Diligent(ディリジェント)」は、情報資産管理において最高レベルの熟練度を有し、高い頻度で資産が安全か危険か、またどの程度までサイバーリスクを把握できるかをほぼ連続的に可視化させることに成功しているという。

  • 情報資産管理の熟練度から組織を分類するための4つのカテゴリー