エクスポージャー管理:主観的サイバーセキュリティを客観的サイバーセキュリティへ

Ivanti サイバーセキュリティの現状 調査レポートシリーズ

エクスポージャー管理は、ビジネスとサイバーセキュリティの責任者に、十分な情報に基づいたサイバーセキュリティリスク管理の意思決定を行うための方法論とツールを提供します。 導入には大きな障害が立ちはだかっています。

デジタルのエクスプロイド化が脆弱性を高める

現代のアタックサーフェスには、クラウドインフラストラクチャやIoTデバイスからサプライチェーン、ID、アクセス許可に至るまで、大規模で拡大し続けるアセットのエコシステムが含まれています。 セキュリティを維持するには、まずこの規模と複雑さを理解する必要があります。

現代の広範なITエコシステムの管理は、ITチームにとってもセキュリティチームにとっても、ますます困難を極めています。 ITおよびセキュリティチームは、常に進化するサイバー脅威と攻撃の種類に対応するだけでなく、組織のソフトウェアの有効期限と複雑さにも対処しなければなりません。

セキュリティ専門家の半数近く (48%) が、自社で使用しているソフトウェアが 「サポート終了」 (EOL) に達していると回答しています。 セキュリティパッチ、技術サポート、アップデートが提供されなくなったソフトウェアを使用している場合、デバイスはサイバー攻撃やデータ漏えいに対して脆弱になる可能性があります。

また、43%は、ソフトウェアのサプライチェーンにおいて最も脆弱なサードパーティのシステム/コンポーネント、言い換えれば、侵害された場合に組織への影響が最も大きいものを特定できていません。

この状況は規制の厳しい業界では特に懸念すべきものです。 たとえば重要なシステムに障害が発生するとリスクが高くなり、患者のケアや治療結果に直接影響を及ぼす可能性がある医療業界では、54%がすでにサポートが終了したソフトウェアを使用しています。

世界のセキュリティ専門家の40%が、自社の技術インフラは複雑すぎて基本的なセキュリティの実践ができないと回答しているのも納得がいきます。

アクションステップ

「エクスポージャー管理は、資産の定義をハードウェアおよびソフトウェア資産だけにとどまらず、ビジネス価値の有形または無形のあらゆる要素にまで拡大します。 可視性のギャップを理解して対処するために、組織は、悪意のある攻撃者による悪用の可能性や、悪用された場合の各リスクのビジネスへの影響などの要因に基づいて、資産を保護するための定義済みの優先順位付けプロセスを含むアタックサーフェスのレビューを実施する必要があります」

Karl Triebes、最高製品責任者、Ivanti

How to gain attack surface visibility and assess risk, Karl Triebes, CPO, Ivanti

アクセス拒否:データアクセシビリティのロック解除

データにアクセスできないと、新規の技術投資の価値が損なわれ、セキュリティの脆弱性の検出と管理が困難になり、データに基づく意思決定が阻害されてしまいます

私たちの調査によると、多くの企業が膨大なデータへのアクセスと活用に苦労しているようです。 セキュリティ専門家は、多くの分野でデータや洞察が不足していたり不完全であったりすると報告しており、例えば、シャドーITを検出したり(45%)、既存のデータに基づいて特定の脆弱性を確信を持って特定したり(41%)することが困難になっています。 これらのギャップはすべて、組織のセキュリティにおける盲点となります。

さらに状況を悪化させているのは、IT専門家の半数以上 (55%) が、自社のセキュリティとITデータがサイロ化されていると回答していることです。 状況は改善しつつありますが(この数字は昨年より14ポイント減少)、大きな課題が残っています。

現代の企業はデータは豊富であるものの、情報が不足しています。 組織は膨大な量の生データを蓄積していますが、それを意味のある洞察に変換するのに苦労しているのです。 たとえデータにアクセスできる人がいたとしても、サイロ化が脅威の検知とインシデント対応への総合的なアプローチを妨げています。 例:

  • セキュリティ専門家の53%は、データのサイロが組織のセキュリティ体制を弱めていると答えています。
  • セキュリティー専門家の62%が、データがサイロ化されているために、セキュリティー対応時間が遅くなっていると答えています。

問題を解決することは簡単ではありません。 IT専門家は、組織内のデータサイロを取り払うには平均5年かかると見積もっています。これは、自動化された脆弱性管理やプロアクティブな脅威インテリジェンスのようなミッションクリティカルな業務に、データを大量に消費するAIや自動化ソリューションを活用したいと考えている企業にとっては永遠とも思われる時間です。

とはいえ、データのアクセス性と可視性を向上させることは、データを洞察と行動に結び付けようとする企業にとって不可欠です。 企業データが適切に活用されれば、AIシステムと自動化されたワークフローの生命線となり、インテリジェントな意思決定と運用効率を促進します。これらはすべて、セキュリティに対するより戦略的なアプローチに向けた重要なステップです。

アクションステップ

「データにアクセスできるようにし、データを意味のあるセキュリティ上の意思決定に結び付けるには、企業はセキュリティとITのサイロを取り払い、各部門のデータを統合して関連付けるプラットフォームを活用する必要があります。 さらに、セキュリティチームはAIソリューションを活用して、大規模なデータセットから洞察を導き出すことができ、その情報を使用して明確なコミュニケーションを行い、組織全体でより良い意思決定を推進することができます」

Darren Goeson、製品管理シニアバイスプレジデント、SUEM、Ivanti

Convert security data into insights, Daren Goeson SVP Product Management, SUEM, Ivanti

企業リスクの再定義

こうした複雑さ、スプロール現象、盲点などに対処するには、従来の脆弱性管理から脱却する必要があります。 最初のステップでは、組織のリスクフレームワークを定義し、エクスポージャーを定量化します

企業がエクスポージャー管理アプローチに移行するにつれて、最高情報責任者と最高経営責任者は協力して、現在のリスク態勢と組織のリスク許容度のバランスをとるリスク許容フレームワークを開発する必要があります。

リスク態勢:

企業のリスク管理の現在の状態。実際のエクスポージャーと防御策を反映したものです。

 

リスク許容度:

組織がその目的を遂行するために受け入れるリスクのレベルのことです。

この態勢と許容度の2つがずれていることがあまりにも多いのです。 当然のことながら、セキュリティ責任者たちは安全面を優先する傾向がります。 一方、企業経営者は、よりオープンになることで成長とイノベーションが加速するのであれば、ある程度の安全性を犠牲にすることを厭わないことがよくあります。

万能な答えはなく、CEOとCISOの双方が意図を持って正しいバランスだと判断しているだけなのです。

大多数の企業(83%)が、リスク許容度を定義するためのフレームワークがあると回答しています。 これは良いスタートです。 しかし、その多くがリスク許容度のフレームワークに従っていないことを認めてもいます。

全体では、51%が既存のリスク許容フレームワークに従っていないと回答しています。。 企業では、状況は良くなっていますが、まだ理想的とは言えません。 従業員1万人以上の企業の43%が、自社のリスク許容度のフレームワークに厳密に従っていないと回答しています。

この問題の一部は、企業が自社のエクスポージャーを測定するのに苦労していることかもしれません。

セキュリティ専門家たちは、リスクを測定し管理する際に大きな障壁に直面していると述べています。 セキュリティ専門家の49%が、リスクを測定および管理するための適切なデータにアクセスできないと回答しています。 また、セキュリティ専門家の51%が、リスクを適切に測定する能力がないと答えています。

アクションステップ

「リスク許容度のフレームワークをより適切に遵守するために、組織は可能な限り完全なアタックサーフェスの目録を作成し、資産に金銭的価値を割り当てて、可能な限り金銭的にリスクを計算する必要があります。 データを集約して組織のアタックサーフェスを包括的に把握することで、エクスポージャー管理は、組織のリスク選好度とビジネス目標に沿った現実的な指標を開発するのに役立ちます」

Mike Riemer、シニアバイスプレジデント兼ネットワーク セキュリティ グループ (NSG) &フィールド最高技術責任者、Ivanti

How to define and measure risk tolerance, Mike Riemer, Field CISO, Ivanti

エクスポージャー管理:リスクに対する状況に応じたアプローチ

エクスポージャー管理は、脆弱性を状況に合わせて分析することで、サイバーセキュリティを技術的な課題から戦略的なビジネス機能に変えます。

セキュリティに関する決定をビジネス目標から分離するのではなく、企業がビジネスチャンスとセキュリティ要件を一緒に評価できる包括的なフレームワークを構築するのです。

明確で客観的なリスクの概要 (組織のアタックサーフェスの包括的で状況に応じて把握できる総合的なガイドライン) を確立することは、企業が自社の技術エコシステム内のコンポーネントの相対的なリスクレベルを理解し、それらが組織の望ましいリスク態勢に適合しているかどうかを理解するのに役立ちます。 リスクをリスク選好度に照らして評価できるようになることで、企業は対処すべき最も優先度の高いエクスポージャーをより容易に特定できるようになります。

エクスポージャー管理が有望であるにもかかわらず、私たちはまだ導入曲線の初期段階にいます。 Ivantiの調査によると、エクスポージャー管理の概念は十分に理解されていることが示されています。例えば、セキュリティ専門家の49%が、自社の経営陣はエクスポージャー管理について高いレベルの理解を持っていると述べています。

しかし、実践的な取り組みを行っている企業はほとんどなく、2025年にエクスポージャー管理への投資を増やす予定があると回答したセキュリティ専門家は、わずか22%にすぎません。

現在、セキュリティ専門家の73%は、経営陣がその情報を使用して企業の意思決定を推進できるように、自社でサイバーリスクを定量化していると回答しています。これは良い兆候です。 しかし、当社の調査では、リスクを計算する際に最も重要な要素について、セキュリティチームと経営陣の間で調整が不足していることが示されています。 セキュリティ専門家は、サイバーリスクを定量化する際の優先度の高い要因として「業務への影響」を挙げる傾向がありますが、経営陣は「財務への影響」を重視します。

この問題は、単に連携不足というだけでなく、長年にわたるコミュニケーションの行き詰まりでもあるのです。 企業のサイバーセキュリティは、いまだに主に技術的な専門家によって管理されていますが、彼らは自身のニーズを経営幹部に伝えることに苦労しています。 経営幹部は、サイバーセキュリティの重要性を十分に認識していながらも、経営幹部とIT/セキュリティチーム間の知識のギャップを埋める能力を必ずしも持ち合わせていません。

現在、自社のセキュリティ責任者がリスクに関する意思疎通において「非常に効果的」であると回答したセキュリティ専門家は、わずか40%にすぎません。 エクスポージャー管理は、セキュリティ責任者がセキュリティのバックグラウンドを持たない経営幹部とより効果的に意思疎通するための基準を提供します

アクションステップ

「リスク許容ステートメント(RAS)は、例えば、ベンダーに縛られることによる影響や、サプライヤーが顧客データの取り扱いを誤った場合の規制当局への暴露の危険性など、企業が負担しても構わない財務リスクの量を含め、組織に最も大きな影響を与えるリスクを定義する必要があります。 エクスポージャー管理は、データと分析を駆使してリスクをビジネス用語で伝え、組織全体の意思疎通を円滑にすることで、セキュリティがサイロ化を解消し、ビジネスを実現する存在と見なされる機会を提供します」

Mike Riemer、ネットワーク セキュリティ グループ (NSG) 兼フィールド最高技術責任者担当上級副社長、Ivanti

How to evaluate enterprise risk appetite, Mike Riemer, Field CISO, Ivanti

調査方法

本レポートはIvantiの2025年サイバーセキュリティの現状:パラダイムシフトに基づいています。 この調査は2024年10月に、2,400人以上の経営幹部およびサイバーセキュリティの専門家を対象に調査を実施しました。 この調査はRavn Researchによって実施され、パネリストはMSI Advanced Customer Insightsによって募られました。 調査結果は重みづけによって調整されていません。