「サイバーハイジーン」で健全なセキュリティ状態を確保可能–タニウム調査

今回は「「サイバーハイジーン」で健全なセキュリティ状態を確保可能–タニウム調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　タニウムは9月10日、「2024年 国内企業のサイバーハイジーン 市場調査」の結果を発表した。サイバーハイジーンの取り組みを推進している組織では、IT資産の把握や脆弱（ぜいじゃく）性対策などを適切に実施できている状況が明らかになった。

　「サイバーハイジーン（サイバー衛生）」は、サイバー環境の健全なセキュリティ状態を表すセキュリティ分野の用語になる。サイバーハイジーンの認知度や実施状況などを明らかにする目的で2021年から毎年実施され、2024年で3回目となる。今回の調査は、企業や官公庁などのIT管理者や担当者を対象として6月3～13日にウェブでアンケートを行い、683人から有効回答を得た。

　同日のメディア向け説明会では、同社ジャパンマーケティング マネージャーの村井新太郎氏が調査結果の概要を紹介した。まず「サイバーハイジーン」に認知度は、「主な機能を含めよく知っている」が28％、「名前は知っている」が39％、「聞いたことがない」が27％、「分からない」が6％だった。

　「主な機能を含めよく知っている」とした回答者は、前回から1ポイント増加した。業界別では、流通・小売・商社が41％で最も高く、最低は製造の20％だった。また、組織規模別では、5万人以上の組織が34％で最も高く、5000～9999人の組織が33％で続いた。

　次に、サイバーハイジーンの実施範囲では、「部分的に実施」が48％で最も多く、以下は「全社規模で実施」が36％、「未実施」が11％、「分からない」が5％だった。規模別では、5万人以上の組織が90％（全社規模、部分的の合計）、1万人～5万人未満で85％（同）となっている。

　さらに、非管理端末の把握状況も調べている。非管理端末の把握については、「完全に把握している」のは31％で、前回調査から6ポイント低下した。一方で、「存在を認知しているが、正確な台数は把握していない」は54％で最も多く、「そもそも存在を認知していないため不明」も15％に上る。非管理端末の存在を完全に把握できていない回答者は69％で、前回調査から6ポイント増加し、村井氏は「管理すべきIT環境が複雑化している様子がうかがえる」と指摘した。

　また、今回調査の新たな設問として「IT資産管理」「脆弱性管理」「サイバーハイジーンの運用管理でのKPI（重要業績指標）の有無」の実態を調べている。

　IT資産管理では、「リアルタイムに把握」が45％で最も高く、「定期的に把握」が43％、「特定部門の依頼に応じて都度」が8％、「分からない」が4％だった。脆弱性管理では、「リアルタイムに把握」が46％で最も高く、「定期的に把握」が40％、「特定部門の依頼に応じて都度」が10％、「分からない」が4％だった。規模別では、いずれも5万人以上の組織が最も実施度合いが高かった。

　KPIの有無では、「定めており計測している」が40％で最も多く、以下は「定めており定期的に計測、評価している」が34％、「定めているが特に計測はしていない」が13％、「明確に定めていないがサイバーハイジーン管理はしている」が8％、「分からない」が3％、「サイバーハイジーン管理をしていない」が2％だった。

　以上の結果のさらなる分析では、サイバーハイジーンを「主な機能を含めよく知っている」とした回答者のうちIT資産の状態をリアルタイムに把握しているのは71％だった一方、サイバーハイジーンを「聞いたことがない」「分からない」とした回答者では25％にとどまった。

　また、サイバーハイジーンを「主な機能を含めよく知っている」とした回答者のうち脆弱性情報をリアルタイムに把握しているのは66％で、サイバーハイジーンを「聞いたことがない」「分からない」とした回答者では33％だった。

　このほかに、リアルタイムに把握する重要性を認識していない組織では脆弱性対応の実施頻度が低く、サイバーハイジーンの理解やリアルタイムに把握する重要性を認識している組織では、3日以内に脆弱性に対処している割合が58％（重要性を認識していない組織では39％）、インシデント対応後の安全確認完了まで1日以内が20％（同6％）といった状況も明らかになった。

　調査結果を踏まえて同社 テクニカルアカウントマネジメント 第一本部 テクニカルアカウントマネージャーの三浦貴将氏は、特に近年のランサムウェア攻撃に伴うインシデントでは、脆弱性が残置されたIT資産がランサムウェアの侵入経路になり、被害組織のアプライチェーンにも影響が拡大して、大量の機密情報が外部に流出していると指摘。サイバーハイジーンにおけるKPIを設定して、リアルタイムに状況を把握できる運用を行う重要性を提起した。

　三浦氏が例示したサイバーハイジーンの運用イメージでは、項目として「IT資産の可視化」「非管理端末の可視化」「脆弱性の可視化」「パッチの管理」「ソフトウェア管理」「ポリシー管理」などを設定し、各項目の管理を通じたリスク低減の目的を明確にする。さらにKPIとして、IT資産の可視化では「管理端末を100％にする」、脆弱性の可視化では「公開脆弱性の組織内の存在をゼロにする」、ソフトウェア管理では「ソフトウェア数の把握とバージョン管理を100％にする」といった内容を策定する。

　三浦氏は、上記のKPI策定例が現実には難しいと前置きしつつ、「サイバーハイジーンの運用目標を数字として明確にしておくことが極めて重要なポイント」と解説。同社では、一元化されたサイバーハイジーン管理のダッシュボード機能などにより、保護すべきIT資産状態のリアルタイムな把握や効率的な管理、実態と目的のギャップの洗い出しなどを支援できるとした。