Ivantiブログ: 投稿者

リスク許容度を理解する – エクスポージャー管理の重要な要素

Mon, 10 Feb 2025 14:44:03 Z

リスクはビジネスにつきものです。組織がリスクをどのように理解し、管理するかがすべてを左右するのです。

運用上の課題から市場の変動、規制の変更、技術の進歩まで、会社は、成長を生み出す可能性も損失につながる可能性もあるさまざまな不確実性に直面しています。

リスクを効果的に管理するには、企業は目標達成のためにどの程度のリスクを受け入れるかを判断できるような枠組みを確立しなければなりません。そこで「リスク許容度」という概念が役に立つのです。

ただし、リスク許容度を定義するには、会社が直面するすべてのリスクを把握し、理解する必要があります。エクスポージャー管理戦略のための基盤を築くセキュリティチームにとっても、その組織のリスク許容度を定義することは重要なステップとなります。

リスク許容度とは？

リスク許容度とは、組織がその目的を遂行するために受け入れるリスクのレベルのことです。これを定義することで、組織がどのようなリスクをどの程度取るかについて、境界が設定されます。 A リスク許容度が高いということは、より大きな利益を得るために大きなリスクを受け入れる用意があることを意味します。一方、リスク許容度が低いということは、その組織がリスクを可能な限り減らすことを好むことを意味します。

最先端の研究開発に投資を行おうとするテクノロジー系スタートアップ企業について考えてみましょう。不確実でも、潜在的な利益にそれだけの価値があると考えれば、斬新で画期的なイノベーションを実現するために高いリスク許容度を採用するかもしれません。逆に、すでに世に認められた大企業では、リスク許容度が低いかもしれません。市場での地位や評判を大きく損なう可能性のあるプロジェクトを避け、着実な成長に重点を置く可能性があります。

リスク許容度は定量的かつ定性的

リスク許容度は決して静的なものではありません。業界、会社の規模と健全性、戦略目標、規制要件、市場全体の環境などの要因に基づいて調整されるべき動的な尺度です。

リスク許容度は数字だけで測る問題でもありません。リスク選好度は定量的要因と定性的要因の両方を組み合わせたものなのです。

許容できる損失の額、負債比率、目指す投資収益率（ROI）などの測定可能な要素を企業が有する場合もあれば、企業の評判に影響が及ぶ可能性、倫理的な配慮、その決定が企業理念とどの程度一致しているかなど、主観的な側面も検討しなければならないかもしれません。

リスク許容度を定義することは、なぜ重要なのでしょうか？

組織が成功を望むなら、計算したうえでリスクを負うべきです。ただし、リスク許容度を明確に理解していなければ、意思決定が一貫性を欠いたり、後手に回ったり過度に慎重になったりして、機会損失やビジネスの損失につながる可能性があります。リスク許容度を定義することがなぜ重要なのか、その理由を挙げましょう。

戦略とリスク管理を整合化するため

リスク許容度を明確に定義することで、リスク管理の実践を事業全体の目標に一致させた戦略的枠組みが実現します。企業がどの程度のリスクを受け入れる意思があるかを把握していれば、自社のリスク許容度に見合った機会を追求し、過度のリスクを負う可能性を回避することができます。

意思決定を改善するため

リスク許容度を定義することで、責任者や管理者が許容可能なリスクを明確に理解し、情報に基づいた意思決定を行うことができるようになります。また、リスクを取る行動/リスクを回避する行動の両方に対して期待されることを組織全体で設定し、管理者がさまざまなシナリオを使ってリスクと報酬のトレードオフを評価することができます。

ステークホルダーの信頼を築くため

リスク許容度が明確に定義されていれば、組織がリスク管理を重視していることを示すことができ、投資家、規制当局、従業員、その他の利害関係者に安心感を与えます。また、リスクと報酬のバランスをとるための系統的かつ信頼できるアプローチを示すことで、ステークホルダーの信頼がさらに強化されます。

一貫性を促進するため

組織内の全員が、どの程度のリスクが許容されるのかについて「情報を得る」ことで、許容される行動を把握して一貫した意思決定が可能になります。つまり、目的がくい違ったり、反対方向に進んだりする可能性が低くなります。たとえば、法務部門とマーケティングチームが許容可能なリスクについて同じ考えを共有していなければ、法務部門はマーケティングチームの素晴らしいアイデアにブレーキをかけてしまう可能性があります。

効果的なリスク監視を支援するため

会社がリスク許容度を定義すると、財務から運用までを含めた企業全体でリスクレベルを監視するシステムを構築できます。こうすれば、潜在的な問題を早期に発見し、活動が安全と見なされる範囲内、あるいは少なくとも許容範囲内にとどまるようにすることができます。重要リスク指標（KRI）を設定して監視すると、誰かがその境界に接近している場合に早期に警告を発することができます。

会社はどのようにリスク許容度を定義するのでしょうか？

リスク許容度の定義にあたって、組織は通常、「リスク選好度ステートメント（RAS）」を作成します。リスク許容度ステートメント（RAS）の導入部では、会社の戦略目標およびそれに関連するリスクが説明されます。

業界をリードするようなソフトウェアプロバイダーを目指す会社について考えてみましょう。ここでは、目標を達成するために不可欠な戦略目標のリストとともに、それに関連するリスクもリストアップしなければなりません。たとえば、Ivanti の事業は、クラウドベースの IT サービスとセキュリティ管理ソリューションを提供することであり、リスク許容度ステートメントでは、この事業分野に関わるすべてのリスクを列挙し、それらをどのように管理するかを会社として説明しなければなりません。

あるソフトウェアプロバイダーのリスク許容度ステートメントの一部を例示しましょう。

一般的なリスク許容度

[XYZ 社]は、リスクに対してバランスの取れたアプローチを採用し、すべてのリスクが等しいわけではなく、戦略目標を達成するためにはある程度のリスクが必要であることを認識しています。

イノベーション・リスク私たちは、競争環境において製品を差別化する先進技術や革新的なソリューションへの投資に対して、高いリスク許容度を備えています。そのためには、研究&開発や製品開発においてある程度の不確実性を受け入れる必要があることを、私たちは理解しています。

運用リスク私たちは、低～中程度のリスク選好度を維持しています。オペレーショナル・エクセレンスを追求する一方で、私たちは提供基準を損なうことなく効率性とサービス品質を向上させる取り組みを優先しています。

セキュリティリスクセキュリティ上の脅威や侵害に対する私たちのリスク許容度は極めて低くなっています。ネットワーク・セキュリティとデータ保護に対する当社のコミットメントは最重要であり、当社のシステムとお客様のデータを保護するために多額の投資を行っています。

コンプライアンス・リスク私たちは、法的・規制的要件に対するコンプライアンス違反に対するリスク許容度を低くしています。すべての業務分野において、関連する法律、基準、ベストプラクティスを確実に遵守することが重要です。

一般的なリスク許容度 [XYZ 社]は、リスクに対してバランスの取れたアプローチを採用し、すべてのリスクが等しいわけではなく、戦略目標を達成するためにはある程度のリスクが必要であることを認識しています。
イノベーション・リスク	私たちは、競争環境において製品を差別化する先進技術や革新的なソリューションへの投資に対して、高いリスク許容度を備えています。そのためには、研究&開発や製品開発においてある程度の不確実性を受け入れる必要があることを、私たちは理解しています。
運用リスク	私たちは、低～中程度のリスク選好度を維持しています。オペレーショナル・エクセレンスを追求する一方で、私たちは提供基準を損なうことなく効率性とサービス品質を向上させる取り組みを優先しています。
セキュリティリスク	セキュリティ上の脅威や侵害に対する私たちのリスク許容度は極めて低くなっています。ネットワーク・セキュリティとデータ保護に対する当社のコミットメントは最重要であり、当社のシステムとお客様のデータを保護するために多額の投資を行っています。
コンプライアンス・リスク	私たちは、法的・規制的要件に対するコンプライアンス違反に対するリスク許容度を低くしています。すべての業務分野において、関連する法律、基準、ベストプラクティスを確実に遵守することが重要です。

リスク許容度ステートメント（RAS）では、ビジネスを行う上で発生する日常的なリスクではなく、組織に最も大きな影響を与えるリスクを定義します。そこで、複数のリスクシナリオを検討しなければなりません。たとえば、特定の戦略にはサプライチェーンリスクが伴う場合があります。ベンダーに縛られることによる影響や、サプライヤーが顧客データを適切に処理しなかった場合の規制違反の危険性などがこれに当たります。

また、企業が引き受けることができる財務リスクの量も定義しなければなりません。新しい製品やサービスを提供することが目的である場合、市場で失敗する可能性は常に存在します。

リスク許容度の構成要素

リスク許容度を定義する際に考慮すべき重要な要素を挙げましょう。

リスクキャパシティ（許容可能な最大リスク量）

これは、組織が負うことができるリスクの最大量を指し、通常は財務上のリソース、運営能力、規制上の制約によって決まります。リスクキャパシティはリスク選好度とは異なります。一定レベルのリスクを負うだけの能力を持つ組織でも、リスク選好度に基づいてリスクを負わないことを選択する可能性があるのです。

リスク許容度

リスクキャパシティが、組織が耐えられるリスクの量を示すものであるのに対し、リスク許容度は目標に対して許容可能な偏差のことであり、分野ごとに異なる許容度を設定することもできます。たとえば、新製品に対するリスクは負っても、顧客データの管理に関してはリスクを回避する組織もあるかもしれません。

リスク閾値

リスク監視と重要リスク指標（KRI）についてz前述しましたが、これらは会社がリスク閾値、つまり「越えてはならない一線」を超えないようにするために使用されます。リスク閾値を超えると、計画の変更、安全対策の強化、あるいは業務を完全に停止することが必要になる場合があります。

関連：Ivanti 調査レポート：認識を一致させる：経営幹部陣におけるサイバーリスク管理

エクスポージャー管理にリスク許容度が重要である理由は？

かつて、デジタルリスクを軽減することは現在よりもはるかに簡単でした。時は経過し、今や多くの大規模組織では攻撃対象領域が著しく拡大していています。従業員が使用するデバイス/アプリケーション数とその使用場所が増えて職場環境が変化し、デジタル脅威の対象も拡大しています。

Ivantiの調査では、IT専門家の半数以上が、今後12 か月の間に損害となるセキュリティインシデントを阻止できるようには思えないと回答していますが、攻撃対象領域の拡大もその一因となっています。また、3人に1人以上が、1年前に比べると脅威を検出してインシデントに対応する備えが不十分であると回答しています。

従来型の脆弱性管理では、長期にわたってソフトウェアやハードウェアの脆弱性やその他の共通脆弱性識別子（CVE）を事後的に修復することに重点を置いてきました。ただし、通常は断続的にスキャンを適用するのみにとどまります。現在のサイバー脅威のシナリオにおいては、新たなアプローチが求められています。

最新のエクスポージャー管理では、デジタル攻撃対象領域全体にわたってリスクと脆弱性を継続的かつ積極的に発見して修復することに重点を置いています。リスクと脆弱性は、公開された IT 資産、セキュリティ保護がなされていないエンドポイントとアプリケーション、クラウドベースのリソース、その他あらゆるベクトルから発生するのです。エクスポージャー管理とリスク選好度がこれほど密接に関係する理由は？

許容可能なリスクレベルに基づいてエクスポージャーを評価する：エクスポージャー管理には、さまざまなエクスポージャーに関連するリスクレベルを定量化することが含まれます。許容可能なリスクを定義することで、組織はさまざまなリスクが及ぼしうる影響をリスク選好度になぞらえることができます。
リスクに基づいてリソースを配備する：組織は、自社の戦略にとって最大の脅威となるエクスポージャーに優先順位を付ける必要があります。こうした評価は、リスク選好度を明確に理解してはじめて行えるようになります。優先順位を付けることによって、最も重要な問題を緩和するためにリソースを集中できるようになります。これには多くの場合、高度なリスクベースの脆弱性管理（RBVM）ツールが用いられます。
リスク選好度を調整する：ビジネス環境の変化や新たなリスクの発生で、リスク選好度を調整しなければならない場合もあります。こうした調整を行うにあたって、組織がエクスポージャー管理業務の中から得られるデータと洞察は、情報に基づいた意思決定を行うのに役立ちます。
コンプライアンスの確保：多くの業界ではリスク管理に関連する規制要件があり、それが組織のリスク選好度に影響を及ぼします。エクスポージャー管理には、コンプライアンスへの不適合を引き起こす可能性のあるリスクを特定し、対処することが含まれます。

関連：Ivanti 調査レポート：攻撃対象領域の管理

エクスポージャー管理の観点からセキュリティリスクを見る

エクスポージャー管理と他のセキュリティ慣行との顕著な違いは、エクスポージャー管理では、組織に最も大きなリスクをもたらすリスクの修復を優先するだけでなく、どのリスクが組織のリスク許容度の範囲内に収まるかを積極的に定義することが含まれるという点です。たとえば、ブラックフライデーに自社サイトを稼働させ続けるために、セキュリティリスクの増大を受け入れる電子商取引企業もあるかもしれません。その企業にとっては、価値あるトレードオフなのです。

組織は、潜在的なすべてのリスクを即時に修復すべき危機と見なすのではなく、ビジネスニーズに基づいて優先順位を付けなければなりません。この枠組みでは、大部分のリスクは悪いものではありません。重要なのは、リスクにどのように対応・制御・軽減して許容可能なレベルにまで引き下げるかということです。

組織の攻撃対象領域を減らすための 8 つのベストプラクティス

Thu, 16 May 2024 19:58:14 Z

攻撃対象領域の拡大がサイバーセキュリティリスクの増大につながります。したがって、論理的には、攻撃対象領域の縮小はサイバーセキュリティリスクの低減につながります。

攻撃対象領域管理ソリューションの中には、この取り組みを支援する修正機能を備えているものもありますが、修正は反応的な行動です。セキュリティやリスク管理に関するあらゆることと同様に、能動的であることが理想的です。

良い点は、攻撃対象領域の戦いにおいて、ASM ソリューションだけがセキュリティチームの武器ではないということです。 IT 環境の露出を減らし、サイバー攻撃を未然に防ぐために、組織が講じることのできる手段は数多くあります。

組織の攻撃対象領域を減らす方法

悪意ある主体以外のすべての人にとって残念なことですが、攻撃対象領域をすべてなくすことはできません。しかし、この投稿で詳しく説明する以下のベストプラクティスのセキュリティ統制は、攻撃対象領域を大幅に縮小するのに役立つでしょう。

複雑さを低減する
論理的、物理的アクセス制御にゼロトラスト戦略を採用する
リスクに基づく脆弱性管理へと進化する
ネットワークセグメンテーションとマイクロセグメンテーションを導入する
ソフトウェアおよび資産の構成を強化する
ポリシーコンプライアンスを施行する
サイバーセキュリティのポリシーとベストプラクティスについて全従業員を教育する
デジタル従業員体験 (DEX) を改善する

攻撃対象領域用語集で述べたように、異なる攻撃ベクトルは、技術的には複数の種類の攻撃対象領域 (デジタル、物理的、人的) に該当する可能性があります。同様に、この記事のベストプラクティスの多くは、複数の種類の攻撃対象領域を減らすのに役立ちます。

そのため、各ベストプラクティスには、特定のベストプラクティスが主にどの種類の攻撃対象に対応しているかを示すチェックリストが付属しています。

#1: 複雑さを低減する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X	X

複雑さを軽減することで、サイバーセキュリティの攻撃対象領域を減らします。当然だとそして、そうなのです。しかし、多くの企業はこの一見単純なステップで長い間失敗してきました。不明瞭だったからではなく、常に簡単なことではなかったからです。

Randori と ESG の調査によると、過去 1 年間に 10 社に 7 社の組織が、インターネットに接続した不明な、管理されていない、または管理が不十分な資産によって危険にさらされていたことが明らかになりました。サイバー資産攻撃対象領域管理 (CAASM) ソリューションにより、このような組織は、未承認、未管理の資産も含め、すべての資産を特定し、このような資産のセキュリティ保護、管理、さらには企業ネットワークからの削除もできるようになります。

エンドポイントデバイスからネットワークインフラストラクチャに至るまで、未使用または不要な資産もネットワークから削除し、適切に除却するべきです。

ソフトウェアアプリケーションを構成するコードもまた、複雑さが攻撃対象領域の拡大に寄与する領域です。開発チームと協力して、悪意のある主体にさらされる実行コードの量を最小限に抑える機会がどこにあるのかを特定し、それによって攻撃対象領域を減らします。

#2: 論理的、物理的アクセス制御にゼロトラスト戦略を採用する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X	X

米国国立標準技術研究所 (NIST) は、ゼロトラストを以下のように定義しています。

「危険にさらされていると見なされているネットワークで、情報システムやサービスにおいて、正確で最小特権の要求ごとのアクセス決定を実施する際の不確実性を最小化するために設計された概念とアイデアの集合。」

言い換えれば、すべてのアクセス要求に対して、「決して信用せず、常に検証する」ということです。

Ivanti がどのように NIST CSF in The NIST Cybersecurity Framework (CSF): CSF Controls　に対する Ivanti のソリューションを採用するお手伝いができるのかをご覧ください。

論理アクセス制御へのゼロトラストアプローチを取ることは、継続的に態勢とコンプライアンスを検証し、最小限の特権アクセスを提供することにより、組織の攻撃対象領域を縮小し、データ侵害の可能性を低減します。

ゼロトラストは製品ではなく戦略ですが、ゼロトラスト戦略を導入するのに役立つ製品もあります。これらの製品の中で最も重要なものは、セキュアアクセスサービスエッジ (SASE) フレームワークに含まれる製品です。

ソフトウェア定義ワイドエリアネットワーク (SD-WAN)
セキュア Web ゲートウェイ (SWG)
クラウドアクセスセキュリティブローカー (CASB)
次世代ファイアウォール (NGFW)
ゼロトラストネットワークアクセス (ZTNA)

また、一般的にはこのような見方はされていませんが、ゼロトラスト戦略は論理的なアクセス制御にとどまらず、物理的なアクセス制御にまで拡大できます。施設の保護された区域に誰かを立ち入らせるときは、決して信用せず、常に検証することを忘れないでください。この目的のために、アクセスカードやバイオメトリクスのようなメカニズムを使用できます。

リスクに基づく脆弱性管理へと進化する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X

まず、悪い点です。US National Vulnerability Database (US NVD) には 16 万件以上の脆弱性が含まれており、毎日数十件が追加されています。しかし、朗報があります。脆弱性の大半は悪用されたことがありません。つまり、サイバー攻撃に使われることはなく、攻撃対象領域にはならないということです。

実際、Securin、Cyber Security Works (CSW)、Ivanti、Cyware によるランサムウェアの調査レポートでは、16 万件以上の脆弱性のうち、アクティブなエクスプロイトのトレンドにあったのはわずか 180 件でした。

NVD の全脆弱性と組織を危険にさらす脆弱性の比較

米国 NVD に含まれる全脆弱性のうち、組織に直接的なリスクをもたらすアクティブなエクスプロイトのトレンドは約 0.1% に過ぎない

脆弱性管理へのレガシーなアプローチは、共通脆弱性スコアリングシステム（CVSS）の陳腐で静的なリスクスコアに依存しているため、悪用される脆弱性を正確に分類することはできません。また、Cybersecurity & Infrastructure Security Agency Known Exploited Vulnerabilities (CISA KEV) Catalog は正しい方向への一歩ではありますが、不完全であり、組織の環境における資産の重要性を考慮していません。

真のリスクベースのアプローチが必要です。リスクベースの脆弱性管理（RBVM）は、その名前が示すように、組織にもたらすリスクに基づいて、脆弱性を修正するための優先順位を決定するサイバーセキュリティ戦略です。

究極のリスクベースパッチガイドを読んで、リスクベースのアプローチへと修復戦略を進化させる方法を発見してください。

RBVM ツールは、脆弱性スキャナー、侵入テスト、脅威インテリジェンスツール、およびその他のセキュリティソースからデータを取り込み、それを使用してリスクを測定し、修正活動の優先順位を決定します。

RBVM ツールのインテリジェンスを手にした組織は、最もリスクの高い脆弱性を修正することで、攻撃対象領域を縮小ほとんどの場合、インフラストラクチャ側では悪用された脆弱性にパッチを適用し、アプリケーションスタックでは脆弱なコードを修正する。

ネットワークセグメンテーションとマイクロセグメンテーションを導入する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X

もう一度、NIST の用語集から引用すると、ネットワークセグメンテーションは次のように定義されます。

たとえば、不要なトラフィックを拒否するように設定されたファイアウォールで保護された、ネットワーク上の個別のエリアを作成することによって、ネットワークをサブネットワークに分割します。ネットワークセグメンテーションは、マルウェアやその他の脅威をネットワークの限られた部分に隔離することで、その被害を最小限に抑えます。

この定義から、セグメンテーションによって攻撃者をネットワークの特定の部分からブロックすることで、攻撃対象領域をいかに減らせるのかがわかります。従来のネットワークセグメンテーションがネットワークレベルでの攻撃者の垂直移動を阻止するのに対し、マイクロセグメンテーションはワークロードレベルでの攻撃者の水平移動を阻止します。

具体的には、マイクロセグメンテーションは、ネットワークのセグメンテーションを超え、ネットワーク別ではなく、アプリケーションやデバイス別といった、より粒度の高い方法でポリシーを施行します。

たとえば、ある IoT デバイスがアプリケーションサーバーとしか通信できず、他の IoT デバイスとは通信できないように制限をかけたり、ある部署の誰かが他の部署のシステムにアクセスできないようにしたりできます。

#5: ソフトウェアおよび資産の構成を強化する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X

オペレーティングシステム、アプリケーション、およびサーバーやエンドユーザー、ネットワーク、IoT デバイスなどの企業資産は、通常、未設定か、セキュリティよりも導入や利用のしやすさを優先したデフォルトの設定で提供されます。 CIS Critical Security Controls (CIS Controls) v8 によると、デフォルトの状態のままにしておくと、次のような悪用が可能です。

基本的な
開いているサービスとポート
デフォルトのアカウントまたはパスワード
構成済みのドメインネームシステム（DNS）設定
古い (脆弱性) プロトコル
不要なソフトウェアのプリインストール

このような構成は攻撃対象領域を拡大することは明らかです。この状況を改善するために、CIS Controls v8 の「Control 4: 企業資産とソフトウェアの安全な構成」では、ソフトウェアと資産のセキュリティが低下しないように、強力な初期構成を開発、適用し、その構成を継続的に管理維持することを推奨しています。

この取り組みを支援するために、チームが活用できる無料のリソースやツールを紹介します。

CIS ベンチマークリスト - 25 以上のベンダー製品ファミリーの推奨構成
NIST National Checklist Program (NCP) - ソフトウェアのセキュリティ構成を設定するためのガイダンスを提供するチェックリストの集合。
CIS-CAT Lite - さまざまな技術に対応したセキュアな設定の実装を支援する評価ツール。

#6: ポリシーコンプライアンスを施行する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X	X

特に、Everywhere Work の時代には、これまで以上に多くの従業員がハイブリッドやリモートで働くようになっており、エンドポイントがほとんどの攻撃サーフェスの規模に大きく寄与していることは周知の事実です。現在、政府職員の 10 人に 7 人が、少なくとも一部の時間、バーチャル勤務をしています。

オフィスの中にいる従業員に IT とセキュリティのポリシーを守らせるのは大変なことです。その 70% が世界中に散らばっているのならなおさらです。

統合エンドポイント管理 (UEM) ツールは、ポリシーを自動的に実施することにより、普遍的なポリシーコンプライアンスを保証します。この事実は、IT やセキュリティの専門家にとって驚くべきことではなく、多くの専門家は現時点では UEM を商品と考えています。実際、Gartner は、2025 年までに顧客の 90% がクラウドベースの UEM ツールで資産の大半を管理するようになると予測しています。

とはいえ、UEM は IT およびセキュリティポリシーコンプライアンスを実施するための最良の選択肢です。だから、このリストから外すのは惜しいと思われます。

統合エンドポイント管理の究極ガイドを読んで、最新の UEM ソリューションの主なビジネス上の利点とエンドポイントセキュリティのユースケースについて学んでください。

さらに、最新の UEM ツールは、コンプライアンス以外にも、攻撃対象領域の特定、管理、削減に役立ついくつかの機能を提供しています。

ネットワーク上のすべてのデバイスを検出することで、IT 資産を完全に可視化します。これは、CAASM ソリューションを持たない組織のための ASM 機能です。
適切なソフトウェアとアクセス許可をデバイスに提供し、必要に応じてソフトウェアを自動的に更新します。ユーザーによる操作は必要ありません。
あらゆる種類のデバイスを、入社から退職までのライフサイクル全体にわたって管理し、使用されなくなったデバイスが適切に処分されるようにします。
デバイスの構成を自動的に強化します (この機能の重要性については、#5: ソフトウェアと資産の構成強化を参照してください)。
ゼロトラストアクセス、および ID、セキュリティ、およびリモートアクセスツールとの統合による、コンテキスト認証、脆弱性、ポリシー、構成、およびデータ管理をサポートします。たとえば、UEM とモバイル脅威防御（MTD）ツールを統合することで、モバイルデバイスが企業ネットワークやその資産を侵害しないように、リスクベースのポリシーを制定することができます。

#7: サイバーセキュリティのポリシーとベストプラクティスについて全従業員を教育する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
		X

2023 年 Verizon データ侵害調査報告書（DBIR）のために分析された侵害の 74% には人的要素が関与していました。

したがって、Ivanti の 2023 年版サイバーセキュリティステータスレポートのデータを確認し、世界中の従業員のうち、自分の行動がサイバー攻撃を回避する組織の能力に影響を及ぼすとは考えていない人の割合を見ても、驚くには値しません。

職員は自分の行動を重要視しているのでしょうか。

多くの従業員は、自分の行動がサイバー攻撃から組織を守ることに影響するとは思っていません。

アレキサンダー・ポープの不朽の名言「To err is human...」（誤りを犯すのは人間である）。サイバーセキュリティの用語で言えば、AI が正式に支配するまで、人間は攻撃対象領域の重要な一部であり続けます。そしてそれまでは、可能な限り人間の攻撃面を管理し、減らさなければなりません。

これまでのところ、そのための最善の方法は、一般的なベストプラクティスと企業固有のポリシーの両方に関するサイバーセキュリティトレーニングであることが証明されています。ソーシャルエンジニアリングモジュールを含めることを絶対に忘れないでください。

多くのサイバーセキュリティ専門家がそう考えています。経験上、サイバー攻撃やデータ漏洩を防ぐために最も成功したセキュリティ対策は何ですか」という質問が、Reddit の r/cybersecurity subreddit で投げかけられたとき、上位コメントの多くがユーザー教育の必要性に言及しました。

Reddit / u/Forbesington

Reddit / u/slybythenighttothecape

Reddit / u/_DudeWhat

Reddit / u/onneseen

再び CIS Controls v8 から引用すると、Control 14: セキュリティ意識とスキルのトレーニングは、組織に対して次のことを行うよう奨励しています。「企業に対するサイバーセキュリティリスクを低減するために、従業員がセキュリティを意識し、適切なスキルを身につけるよう、従業員の行動に影響を与えるセキュリティ意識向上プログラムを確立し、維持する。」

CIS (Center for Internet Security) は、次のリソースを活用して、セキュリティ意識プログラムの構築を支援することを推奨しています。

非技術職だけでなく、セキュリティおよび IT スタッフも、それぞれの役割に関連したサイバーセキュリティトレーニングを受けるべきです。実際、Randori と ESG が 2022 年に発行したレポート The State of Attack Surface Management で調査した IT およびセキュリティの意思決定者によると、セキュリティおよび IT 担当者に ASM のトレーニングを提供することは、ASM を改善するための 3 番目に効果的な方法です。

パートナー、ベンダー、その他のサードパーティ請負業者にもセキュリティトレーニングを受けさせることで、人的な攻撃対象領域を抑制できます。

#8: デジタル従業員体験 (DEX) を改善する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X		X

従業員にいくらサイバーセキュリティ教育を施しても、セキュリティ対策が複雑になればなるほど、従業員がそれを回避する可能性は高まります。エンドユーザーの 69% は、複雑すぎるセキュリティ対策の操作に苦労していると報告しています。そのような不満を抱えたユーザーは、安全でない経路でデータを配布したり、セキュリティ更新プログラムのインストールを妨げたり、シャドー IT を導入したりしがちです。

IT リーダーは、セキュリティを犠牲にしてデジタル従業員体験（DEX）を向上させるか、体験よりもセキュリティを優先させるか、という不可能な選択を迫られているようです。実は、セキュリティと DEX は、組織の成功と回復力にとって等しく重要なのです。実際、Enterprise Management Associates（EMA）の調査によると、セキュリティ上の摩擦を減らすことで、侵害の発生件数を大幅に減らすことができます。

では、どうすればよいのでしょうか。 Ivanti の「2022 Digital Employee Experience Report」によると、IT リーダーは経営幹部の支援を受けて、セキュア・バイ・デザインデジタル従業員体験の提供に力を入れる必要があります。かつてはそれが不可能に思えたかもしれませんが、従業員のテクノロジーエクスペリエンスを測定し、継続的に改善するのに役立つ DEX ツールの新興市場のおかげで、今ではかつてないほど簡単になりました。

2022 年デジタル従業員体験レポートを読んで、DEX がサイバーセキュリティに果たす役割について詳細をご覧ください。

組織がセキュリティと従業員体験の両方を容易に改善できる分野の1つは、認証です。覚えたり、入力したり、リセットしたりするのが面倒で非効率的なパスワードは、長い間エンドユーザーの悩みの種でした。

その上、極めて安全性に欠けていました。 2023 年 Verizon DBIR で分析された、内部での悪意ある行為を伴わない 4,291 件のデータ漏えいのうち、およそ半数が資格情報によるものであり、フィッシングによるものの約 4 倍でした。つまり、組織のIT資産に参入するための最も一般的な経路となっています。

パスワードレス認証ソフトウェアはこの問題を解決します。エンドユーザーのエクスペリエンスを向上させ、攻撃対象を一挙に減らしたいのであれば、パスワードレス認証ソリューションを導入し、FIDO2 認証プロトコルを使用します。付箋に書かれたパスワードに永遠に別れを告げることができれば、あなたもユーザーも喜ぶことでしょう。

DEX とセキュリティのバランスをとる方法については、以下のリソースを参照してください。

無料リソースからの追加ガイダンス

Ivanti が提案する攻撃対象領域を減らすためのベストプラクティスは、私たちの実体験から得た学びと、権威あるリソースから得た二次知識を組み合わせたものです。

これらのベストプラクティスは、確かに攻撃対象領域のサイズを大幅に縮小させる思われます拡大し続ける現代の攻撃対象領域のサイズと複雑さに対抗するために、組織が取るべき他の手段には事欠きません。

攻撃対象領域を縮小するための追加ガイダンスについては、以下の無料リソースを確認してください。

次のステップ

上記のベストプラクティスをすべて実施し、次はどうしようかと考えているところでしょう。サイバーセキュリティのすべてに言えることですが、立ち止まっている時間はありません。攻撃面は常に監視が必要です。

いつ次の管理されていない BYOD デバイスがネットワークに接続されるか、いつ CRM ソフトウェアの次の脆弱性が悪用されるか、いつ次の従業員がチームのハッピーアワーの後のバーに iPhone を忘れるかはわかりません。

既存の攻撃ベクトルを追跡するだけでなく、新たな攻撃ベクトルについても常に情報を得る必要があります。たとえば、最近の AI モデルの爆発的な普及は、攻撃対象の大幅な拡大を推進しており、IT 環境への扉を開くテクノロジーはさらに増えていると言ってよいでしょう。