配色:                          文字サイズ: 

【Tenable Network Security Japan K.K.】 データサイエンスチーム「Tenable Research」企業が1日100件以上の重大脆弱性のトリアージ実行に迫られていることが判明

データサイエンスチーム「Tenable Research」企業が1日100件以上の重大脆弱性のトリアージ実行に迫られていることが判明

〜Vulnerability Intelligence Report公開〜

……………………………………………………………………………………………

※本リリースは2018年11月7日(米国時間)に米国で発表されたプレスリリースの抄訳版です。原文は下記URLを参照ください。
https://www.tenable.com/press-releases/as-digital-transformation-surges-enterprises-must-triage-more-than-100-critical

企業の様々な情報資産の脆弱性を手間なく自動で可視化、改善するソリューションを提供する『Tenable Network Security』(以下:テナブル、所在地:メリーランド州コロンビア、代表:Amit Yoran (アミット・ヨーラン))が結成したデータサイエンスチーム「Tenable Research」は、現在の脆弱性の傾向、新しいサイバーリスクの絶え間ない攻撃を企業がどのように評価し、対処しているかを調査したVulnerability Intelligence Reportを発表しました。
レポートのダウンロード:https://jp.tenable.com/cyber-exposure/vulnerability-intelligence

この調査により、企業がシステム上の個別の脆弱性を一日平均870件も発見していることが判明しました。このうち100件以上の脆弱性は、業界標準の測定法である共通脆弱性スコアリングシステム(CVSS)で「重大」に格付けされるものです。現状、CVSSに基づく優先順位付けのみでの脆弱性対策は失敗しつつあり、組織は効率的かつ確信的な脆弱性に対する早急な対策をとれていません。

このVulnerability Intelligence Reportにおいて注目すべきことは、脆弱性管理が規模や量、そして速度への挑戦であることを裏付けていることです。Tenable Researchは、企業2,100社における90万件の脆弱性評価の匿名データ分析を行いました。調査チームは、さらに19,000件の新たな脆弱性(前年比27%)が2018年度中に公開されると推測しています。しかし2017年度に公表されたのは、全体の脆弱性のうち7%のエクスプロイトのみでした。つまり93%の脆弱性においては、理論上リスクがあると認識されていました。ほとんどの脆弱性はワーキング・エクスプロイトが全く開発されておらず、さらにその中の一部のみがスレットアクターによって積極的に武装化されるため、どの脆弱性を先に修復すべきかが不明瞭となっている状況です。

このような厳格な優先順位付けの欠如は、組織がかつてないほど多くの脆弱性の評価・管理に苦しんだ結果、戦略的な技術的決断ができていないことを意味します。例えば、Adobe Flashは2020年以降サポートがなくなるため、ほとんどの企業環境において一般使用されなくなりますが、Adobe Flashはいまだに多くの企業環境において使用されています。アドビ・フラッシュの脆弱性は企業環境において最も普及しているアプリケーションの脆弱性20件のうち半数を占めています。

【米国テナブル本社 Tom Parsons(プロダクト・マネジメント担当)のコメント】
「全ての脆弱性を緊急性のあるものと優先順位付けしてしまうと、トリアージは失敗します。企業が効率的にサイバーリスクを軽減するには、問題の効率的な優先順位付けから始めるべきだということを認識しなければなりません。新たに発生し続ける脆弱性への対処に遅れを取らないようにするには、推測による脆弱性対策ではなく、最大のエクスポージャーがどこにあるかを把握し、対処しなければなりません。つまり、企業は理論上起こり得る脆弱性ではなく、スレットアクターによって積極的にエクスプロイトされている脆弱性に集中すべきなのです。」

このように氾濫し続ける脆弱性に対処するため、Tenableは「Predictive Prioritization」を発表しました。組織に対して最大のビジネスリスクをもたらす脆弱性を効率的にかつ確実に優先順位付けできる能力を有した革新的な製品になります。このPredictive Prioritizationは、様々なデータソースとスレットアクターによって強まる脆弱性の可能性を見極める最新データ科学アルゴリズムを持つスレット・インテリジェンスを組み合わせて構成されています。このPredictive Prioritizationは、2019年にTenable.io(R)とTenable.sc(TM)(旧SecurityCenter)にて一般利用可能となります。

【米国テナブル社プロフィール】
Tenable Network Securityは、世界中の24,000社を超える組織に対し、総合的なセキュリティソリューションにより、将来のビジネスニーズに合わせてそのテクノロジーを変革し、企業組織の情報保護に向けた有効的な対策を提供しています。Nessus(R)を開発したTenableは、脆弱性対策の技術をさらに発展させることで、あらゆる情報資産やデバイスの脆弱性を管理、保護できる世界初のセキュリティプラットフォーム「Tenable.io(R)」を展開。Tenableのセキュリティプラットフォームは、米国ビジネス誌Fortuneが選定する『Fortune 500』(総収入に基づいた全米上位500社)に選ばれている企業の53%、世界の有力企業2000社の29%に導入されています。詳細は tenable.com へ

【米国テナブル社企業概要】
商号: Tenable Network Security
代表: Amit Yoran アミット・ヨーラン
住所: 7021 Columbia、
Gateway Drive Suite 500 Columbia,
MD 21046

【テナブル社企業概要】
商号:Tenable Network Security Japan K.K.
住所:東京都千代田区丸の内2-3-2
郵船ビルディング1階