9割の組織にサイバー被害があるものの、5割以上は「業務コスト」を把握していない――Tenableの調査：脆弱性を調べる人材が不足

　多くの組織でサイバー被害を受けているにもかかわらず、54％の組織がサイバーリスクの業務コストを把握できていないという。その原因は、自社のITセキュリティ部門に、自社システムの脆弱（ぜいじゃく）性を調査する人材が不足していることのようだ。

　今回の調査によると、1組織当たり平均19人が脆弱性管理に参加していることが分かった。ところが、「セキュリティ部門には迅速に脆弱性をスキャンする人材が十分にいない」と答えた回答者の割合は58％に上った。実際、31％の組織では脆弱性スキャンのスケジュールを決めておらず、28％がそもそもスキャンしないと答えている。

脆弱性公開後のスキャン頻度（出典：Tenable）

組織が考える有効な対策とは？

　サイバー攻撃への対策として有効だと考えていることでは、セキュリティエクスプロイトの修復や、脆弱性を迅速に評価する能力が挙がった。具体的には、セキュリティエクスプロイトやデータブリーチの素早い修復と、全ての重要なIT、OT、IoT資産の脆弱性評価を挙げた回答者は、それぞれ51％（複数回答）だった。

特定の組織がサイバー攻撃を効果的に最小化できている理由として考えられる項目（出典：Tenable）

　今後、こうしたシステムの脆弱性管理には、機械学習などのAI（人工知能）が利用される割合が増えそうだ。AIを脆弱性管理に利用している割合は14％、1年以内に利用する予定は29％、2年以内に利用する予定は19％で、利用する予定はないと回答した割合は39％だった。

　Tenableでは、今回の調査結果を受け、サイバーリスクを最小化する組織能力向上のための推奨事項を5項目挙げた。

1. OTやIoT資産を含め、サイバー攻撃に対して最も脆弱な事業運営と資産を特定する
2. 脅威インテリジェンスを活用して、膨大な数の新規の脆弱性を考慮した修復の取り組みを優先付けする
3. セキュリティギャップと機会を特定して、組織をサイバー攻撃に対して脆弱な状態にするITセキュリティインフラストラクチャの複雑さを低減する
4. 自動化と機械学習により、脆弱性への対応値を測定する
5. ITセキュリティスタッフとリソースをさらに活用して、脆弱性管理の効率を向上させる

　今回の調査は、米Tenable Network SecurityがPonemon Institute（ポネモン研究所）と共同で2018年11月1〜9日に実施したもの。米国、英国、ドイツ、オーストラリア、メキシコ、日本のITセキュリティ担当者を対象とした。全ての調査対象者は組織内のサイバーセキュリティソリューションの評価や投資管理に関わっている。6万4871人を対象として有効回答数2410人を得た。日本の組織の有効回答数は418人。6カ国を通してエンジニア／技術者の比率は31％。業種のうち10％を超えていたのは、金融サービス、サービス、工業と製造業、公共事業の4つだった。