SecurityInsight | セキュリティインサイト

Tenable、日本の組織のサイバー攻撃対策に関する調査結果を公開 〜セキュリティリーダーの68%が受け身の態勢から抜け出せず

Tenableは11月9日、日本の組織のサイバー攻撃対策に関する調査の結果を公開した。結果の概要は以下のとおり。

回答者の74%が、予防的なサイバーセキュリティに特化したリソースを増やすことで、サイバー攻撃に対する防御を強化できると考えていた。一方で68%の回答者は、サイバーセキュリティチームが重大なインシデントへの対応に大部分の時間を割いていることが、事前対応型のスタンスを取る妨げになっていると指摘している。

過去2年間で、自社が受けたと自覚のある攻撃のうち、63%のサイバー攻撃の阻止に成功していた。しかしこのことは、残りの37%に対しては脆弱な状態であり、そのために攻撃を初期の段階で防ぐことができず、事後対応的な措置に頼らざるを得なかったことを意味している。

10組織中7組織(72%)が、自組織のITチームはパッチの適用や修正よりもアップタイムのことを気にかけていると回答。こうした不一致が、両チーム間の連携不足につながっており、日本の組織の42%がこの課題を認識している。

組織のサイバーセキュリティ対策によってリスクエクスポージャーが軽減されたと「非常に強く確信している」と答えた回答者はわずか22%で、過去1年間に優先して修正した脆弱性が組織に対する最大の脅威に該当していたと「非常に強く確信している」と回答したのは、さらに少ない10%だった。

回答者の72%が、SaaSのアプリやサービスにサードパーティのプログラムを利用しているが、サードパーティ環境の可視性が高い、もしくは非常に高い組織は半数以下の46%だった。

サイバーセキュリティ成熟度の高い組織では、過去12か月から24か月の間に遭遇した攻撃の61%を未然に防ぎ、残りの攻撃に対しては事後対応的な緩和策を取っていた。成熟度の低い組織では、攻撃の56%を予防的に防ぎ、44%に対しては事後対応的な緩和策を取っていた。

成熟度の高い組織では、57%がデータ集約ツールを使用してデータを収集、分析しリスクエクスポージャーを定量化するなど、データの集約に価値を見出している。これに対し、成熟度の低い組織でこうしたことを行っているのは46%にとどまった。

成熟度の高い組織では、成熟度の低い組織と比較すると、ビジネスリーダー向けのレポートを作成する時間が、毎月はるかに短かった。こうしたレポートの作成に11時間以上を費やしていた組織は、成熟度の高い組織では57%だったのに対し、成熟度の低い組織では72%だった。
 

関連リンク

プレスリリース