タニウム、「国内サイバー・ハイジーン*1(衛生管理)調査」 結果を発表
〜7割以上がNデイ攻撃*2のリスクを抱えた端末を放置〜
2021年12月7日
タニウム合同会社
・2021年9月に調査を実施、大企業・官公庁・自治体のIT管理者、経営企画部門などDX時代のサイバー・セキュリティの意思決定者653件の有効回答
・7割がサイバー・ハイジーンを認知するも、内容まで理解しているのは3割
・OSパッチが問題なく適用されている企業・団体は3割
・脆弱性対応に1週間以上を要している企業・団体が約6割
【2021年12月7日 – 東京】統合エンドポイント管理とセキュリティのプラットフォームを提供するタニウム合同会社(本社:東京都港区、代表執行役社長:古市 力、以下タニウム)は本日、「国内サイバー・ハイジーン(衛生管理)調査」の結果を発表しました。本調査の結果から、サイバー・ハイジーン(衛生管理)(以下、サイバー・ハイジーン)の認知度は国内で拡大傾向にあり、名前を知っている層まで含めると約7割の回答者がサイバー・ハイジーンについて認知していることが明らかになりました。一方で、実際の運用を確認してみると、たとえばOSパッチが問題なく適用されている企業・団体は3割にとどまり、脆弱性対応に1週間以上を要している企業・団体が約6割にのぼることも明らかになりました。
新型コロナウイルス感染拡大後にサイバー攻撃が拡大したと国内外で報告されています。そのような中、「端末(エンドポイントやサーバ)」のセキュリティを強固にするサイバー・ハイジーンの重要性は日増しに高まっています。我が国においても、9月28日に閣議決定されたサイバー・セキュリティ戦略の中で、明示的にサイバー・ハイジーン強化が謳われるようになりました。タニウムでは、このように重要性が高まるサイバー・ハイジーンの国内における認知度ならびに実装状況に関する調査を実施しました。調査は、国内大企業・官公庁・自治体のIT管理者に加え、経営企画部門、法務・コンプライアンス部門といったDX時代のサイバー・セキュリティの意思決定者を対象に実施し、653件の有効回答数を得ました。
主な調査結果は、以下のとおりです。
◆主な調査結果
サイバー・ハイジーンの認知度は高いが、内容まで理解している割合は3割
サイバー・ハイジーンを認知していると回答した割合は全体の71%にのぼりましたが、主要な機能を含めて良く理解している、という回答は30%にとどまりました。なお、企業規模別でみると、従業員規模が大きくなるほど認知度が高くなる傾向が確認され、5万人以上の大企業では「良く知っている」割合が約4割であったのに比較し、5千人未満の企業においてはその割合が25%と低い割合にとどまりました。これらのことから、サイバー・ハイジーンの重要性をより幅広く市場に浸透させる必要があることが明らかになっています。
Windows 10 機能更新プログラムを問題なく適用できているのは3割
本年10月からWindows 11が利用可能になりましたが、引き続き多くの企業ではWindows 10をご利用されています。Windows 10や11の活用において重要なポイントとして、機能更新プログラム(Feature Updates、以下FU)の適切なタイミングでの適用があげられますが、今回の調査結果では「問題なく適用できている」と回答したのは全体の32%にとどまりました。特に、「うまくいっていない」と回答した企業・団体が32%におよび、これらのケースではOSレベルにおいて既知の脆弱性が放置されていることを意味しています。近年、セキュリティ侵害における手法としてゼロデイ攻撃に加えて「Nデイ攻撃」つまり、パッチがリリースされているにも関わらず、パッチを適用していない脆弱な状態を狙う攻撃の危険性が叫ばれるようになってきました。既知の脆弱性の放置は、Nデイ攻撃を自ら招いているようなものであり、まさにサイバー・ハイジーンの徹底が求められていることを示すデータとなっています。
企業規模が大きくなるに従い、脆弱性対応にかかる日数が増加
回答者の56%は半年に1回以上のペースで緊急性の高い脆弱性対応を行っています。しかしながら、従業員規模が大きくなると1回あたりの対応日数が増加する傾向が今回の調査から見えてきました。対応に1ヶ月以上かかっていると回答した割合は全体平均では12%でしたが、これは、5千人未満の企業では10%と低く、5万人以上の企業においては19%とほぼ倍増します。これは、従業員数の増加に伴い、管理しなければいけない端末台数が増加することが一因と想定されます。このような大規模環境で脆弱性管理を徹底するためには、日頃からの端末の可視化、自社環境における既知の脆弱性の影響度のリアルタイムな確認、ならびにシステム本番環境への影響度を抑えた対処・復旧が求められます。そして、この一連のプロセスはサイバー・ハイジーンの徹底により大幅に改善されることがわかっています。今回の調査結果からは、1日以内に脆弱性対応を完了している企業・団体は全体平均で4%に過ぎませんでしたが、タニウムの顧客事例では多くのユーザがサイバー・ハイジーンを徹底することで、企業規模を問わず脆弱性対応を数時間内に実施されています。
ランサムウェア*3やNデイ攻撃への対応力を向上させるためには、平時からのサイバー・ハイジーンの徹底が求められます。「見えないものは守れない」という原則のもと、管理対象端末のリアルタイムな見える化と、既知の脆弱性への対応力を強化することが強く求められることが今回のレポートでは改めて明らかになりました。タニウムは、サイバー・ハイジーン分野のリーダーとして、引き続き国内におけるサイバー・ハイジーンの重要性を提唱するのと同時に、自社ソリューションの提供を通じて、お客様のサイバー・セキュリティ成熟度をより高めるご支援を続けて参ります。
◆国内サイバー・ハイジーン(衛生管理)調査概要
・調査対象:大企業のサイバー・セキュリティ意思決定者6,711名(有効回答数653件)
・調査方法:Webアンケート
・実施期間:2021年9月13日~2021年9月14日
調査結果の詳細は、以下で公開しています。
https://site.tanium.com/rs/790-QFJ-925/images/Tanium_Cyberhygiene_Report.pdf
*1 サイバー・ハイジーン(衛生管理)とは、マスクの着用や手洗いを徹底、さらにはワクチン接種などをすることで病気への感染対策をするように、エンドポイントの状態を定常的に把握し、パッチ適用やセキュア設定を徹底することにより、サイバー攻撃に備えるという考え方です。
*2 Nデイ攻撃とは、すでに修正プログラムが公開されているにもかかわらず、それを適用していないシステムを狙った攻撃のことです。修正プログラムが提供される前の脆弱性を悪用するゼロデイ攻撃よりも、脆弱性情報が公開されているNデイ攻撃は、多くの攻撃パターンが公開されており、近年では増加傾向にあると言われています。
*3 ランサムウェアとは感染したパソコンにアクセスできなくしたり、ファイルを暗号化したりすることによって使用できなくした後に、元に戻すことと引き換えに身代金(ランサム)を要求したり、身代金を払わないと情報を公開すると脅迫したりする拡散型のコンピュータウイルスのことです。
タニウムについて
タニウムは、要求の厳しいIT環境向けに構築された統合エンドポイント管理とセキュリティのプラットフォームを提供しています。Fortune 100社の約半数、小売業や金融機関のトップ企業や米国軍など、世界規模で洗練された組織の多くが、意思決定、効率的かつ効果的な運用、そして起こりうる障害からの回復力を高めるために、タニウムを利用しています。タニウムは、米国Forbes誌「クラウドコンピューティング民間企業 トップ100」に6年連続ランクインし、さらに、Fortune誌「2021年働きがいのあるテクノロジー企業」の大企業部門にランクインしています。詳細についてはhttps://www.tanium.jpをご覧ください。
【本件に関するお問い合わせ先】
タニウム合同会社 マーケティング本部
E-mail: [email protected]
*記載されている会社名および製品名は、一般に各社の商標または登録商標です。