タニウムは9月10日、国内におけるサイバーハイジーン市場調査の結果を発表した。同調査の対象は国内大企業・官公庁・自治体のIT管理者、経営企画部門、法務・コンプライアンス部門などサイバーセキュリティの意思決定者で、有効回答数は683件。
サイバーハイジーンはサイバー衛生管理とも呼ばれ、マスクの着用や手洗いを徹底、さらにはワクチン接種などをすることで病気への感染対策をするように、エンドポイントの状態を定常的に把握し、パッチ適用やセキュア設定を徹底することにより、サイバー攻撃に備えるという考え方。
大企業の47%がサイバーハイジーン実施、昨年比10%増
マーケティング本部 マネージャーの村井新太郎氏が、調査結果のポイントを説明した。サイバーハイジーンの認知度や実施範囲は、昨年から大きな変化はなかったという。
ただし、サイバーハイジーンを全社で実施している企業の割合は全体で昨年から微増の36%で例年と大きな変化はなかったが、従業員数が5万人以上の大企業においては、約半数となる47%が全社で実施していると回答し、その割合は昨年から約10%増加しているという。
また、環境内の端末について完全に把握できていると回答した組織は31%と、昨年の37%から減少しており、約7割の組織で非管理端末が存在することが明らかになった。脆弱性への対応は、89%の企業が四半期に1回以下の実施にとどまっており、昨年の87%から大きな変化は見られなかったという。
今回、新たにサイバーハイジーン管理におけるKPI設定の有無についても調査が行われた。その結果、サイバーハイジーン管理においてKPIを定めている割合が87%で、規模の大きい組織ほどKPIを設定して定期的に計測・評価している傾向が強いことがわかった。
さらに、村井氏は「サイバーハイジーンの認知度」「サイバーハイジーン実現におけるIT資産管理の認識」を基に行った絞り込む調査の結果を紹介した。
その結果、リアルタイムの重要性を認識していない組織は脆弱性対応頻度が顕著に落ちており、リアルタイム重要性を認識している組織は5割以上が3日未満で対処完了しているという。加えて、リアルタイムの重要性を認識している組織では20%が1日以内に安全性の確認を完了していることもわかった。
加えて、「サイバーハイジーンの認知度」「サイバーハイジーン管理の運用においてKPI設定の有無」を基に行った絞り込む調査も行われた。サイバーハイジーンを理解して、KPI設定・定期評価を実施している企業は、サイバーハイジーンを理解しておらず、KPI設定・定期評価を実施していない企業と比べ、脆弱性対処にかかる時間で大きく差が出ている。
KPIを設定してサイバーハイジーンを実施すべき
こうした調査結果を踏まえ、テクニカルアカウントマネジメント 第一本部 テクニカルアカウントマネージャーの三浦貴将氏が、タニウムとしての提言を行った。
三浦氏は、昨今のサイバー攻撃がもたらした被害も鑑みて、KPIを設定して、リアルタイムで得られる情報に基づいたサイバーハイジーンを実施することを推奨すると述べた。
2023年から2024年にかけて行われた主な攻撃からは、サプライチェーンのセキュリティや脆弱性の残置が課題であることがわかるという。また、警察庁の調査結果から、ランサムウェアによる被害は規模や業種に関係なく広がっており、被害原因の大半がサイバーハイジーン運用の未徹底であることが明らかになっている。
そこで、三浦氏は「IT資産可視化」「非管理端末可視化」「脆弱性可視化」「パッチ管理」「ソフトウェア管理」「ポリシー管理」の項目に対しKPIを設定して、達成基準を明確にすることで、セキュリティ対策の意識向上につながると説明した。こうしたサイバーハイジーンの運用は自社にとどめることなく、サプライチェーンまで展開する必要があるという。