・サイバーハイジーンを全社で実施している企業の割合は昨年と変化はなく、全体の約3割
・IT資産の棚卸を毎日実施している企業は約2%、6割を超える組織で非管理端末が存在するなど、サイバーハイジーンの徹底はまだ浸透していない
・サイバーハイジーンを徹底している企業では、脆弱性の対処や安全性確認にかかる時間が短縮される傾向が見られる(50%以上が3日以内に完了)ことから、サイバーハイジーンの実施により想定される効果が実際に出ていることが明らかに
サイバー攻撃が巧妙化しその数も増加の一途を辿る中で、「端末(エンドポイントやサーバ)」のセキュリティを強化し組織を攻撃から守るために、サイバーハイジーンの重要性がますます高まっています。我が国においても、金融庁が示す「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(2022年2月改訂)でサイバーハイジーンの徹底が謳われるなど、サイバーハイジーンは継続的に重要視されており、その徹底が求められています。タニウムは昨年に引き続き、国内におけるサイバーハイジーンの認知度ならびに実装状況に関する調査を実施しました。この調査では、国内大企業・官公庁・自治体のIT管理者に加え、経営企画部門、法務・コンプライアンス部門といったDX時代のサイバーセキュリティの意思決定者を対象にし、651件の有効回答数を得ました。
主な調査結果は以下のとおりです。
サイバーハイジーンを全社規模で実施している割合は、昨年に引き続き3割
サイバーハイジーンを認知していると回答した割合は、全体の70%、主要な機能を含めて良く理解しているという回答は27%と、昨年同様の結果となり、サイバーハイジーンの認知は昨年から拡大していないことがわかりました。またサイバーハイジーンの実施については、部分的実施を含め全体の8割が実施していると回答しているものの、全社規模で実施している企業の割合は3割にとどまりました。企業規模別でみると、従業員規模が大きくなるほど実施している割合が高くなる傾向が確認されており、5万人以上の大企業では38%が全社で実施していると回答し、一部で実施している企業も含めると、全体の9割が実施しているのに比較し、5千人未満の企業においてはその割合が76%と、企業規模による差が見られます。これらの結果から、引き続きサイバーハイジーンの重要性をより幅広く市場に浸透させ、認知を広げる必要があることが明らかになっています。
6割を超える組織で非管理端末が存在
環境内の端末について、完全に把握できていると回答した組織は4割に満たず、6割を超える組織で非管理端末が存在することを意味しています。IT資産の棚卸頻度については、毎日実施している企業は全体のわずか 2.3% で、脆弱性対応の実施頻度については、約9割が四半期に一回以下の頻度に留まっており、サイバーハイジーンの徹底が浸透しているとは言えないことを示すデータとなっています。非管理端末や脆弱性は攻撃の対象になることが多く、放置することでセキュリティのリスクを上げる要因となるため、IT資産の棚卸しや脆弱性対応を頻繁に実施し、非管理端末を撲滅することの重要性を周知していくことが求められる結果となりました。
サイバーハイジーンを徹底している企業では、脆弱性対処や安全性確認にかかる時間が短縮される傾向
サイバーハイジーンの実施範囲について「全社規模で実施している」と回答し、かつ非管理端末の把握状況について「完全に把握している」と回答した企業を、「サイバーハイジーンを徹底している企業」と定義し、そのグループとそれ以外のグループについて回答の比較を行ったところ、脆弱性対応の頻度、脆弱性対処にかかる時間、安全性確認までにかかった時間の項目に関して、顕著な差が見られることがわかりました。サイバーハイジーンを徹底している企業では、脆弱性対応をより頻繁に実施しており、年に5回以上実施している企業の割合が42%と、それ以外の企業の4%と比べ10倍以上の差が出ています。脆弱性対処にかかる時間については、サイバーハイジーンを徹底している企業の6割以上が3日未満で対応できているのに対し、それ以外の企業ではその割合が31%と半分以下になります。同様に、安全性確認にかかる時間についても、サイバーハイジーンを徹底している企業では、54%が3日以内に確認できているのに対して、それ以外の企業では25%にとどまり、対応にかかる時間に大きな差がでていることがわかっています。このことから、サイバーハイジーンを徹底することで、脆弱性の対応や何かあった際の安全性確認などにかかる時間を短縮し、よりすばやい対応が可能になることが証明されています。
これらの結果から、タニウムはサイバーハイジーン分野のリーダーとして、引き続きサイバーハイジーンの徹底によるリスク削減やセキュリティ強化など、企業が得られるメリットを具体的に訴求することで、国内におけるサイバーハイジーンの浸透を促進する活動を継続していくとともに、XEMプラットフォームの提供を通じて、お客様のサイバーセキュリティ成熟度をより高めるご支援を続けて参ります。
◆国内サイバーハイジーンの市場調査概要
- 調査対象:大企業のIT管理者・担当者(有効回答数651件)
- 調査方法:Webアンケート
- 実施期間:2022年12月19日~2022年12月31日
◆調査結果の詳細は、以下で公開しています。
サイバーハイジーン説明会資料_配布用(PDF)
https://site.tanium.com/rs/790-QFJ-925/images/%E3%82%B5%E3%82%A4%E3%83%8F%E3%82%99%E3%83%BC%E3%83%8F%E3%82%A4%E3%82%B7%E3%82%99%E3%83%BC%E3%83%B3%E8%AA%AC%E6%98%8E%E4%BC%9A%E8%B3%87%E6%96%99_%E9%85%8D%E5%B8%83%E7%94%A8.pdf
* サイバーハイジーンとは、サイバー衛生管理とも呼ばれ、マスクの着用や手洗いを徹底、さらにはワクチン接種などをすることで病気への感染対策をするように、エンドポイントの状態を定常的に把握し、パッチ適用やセキュア設定を徹底することにより、サイバー攻撃に備えるという考え方です。
タニウムについて
業界唯一の統合型エンドポイント管理(XEM)プロバイダであるタニウムは、複雑なセキュリティとテクノロジー環境を管理するための従来のアプローチにおけるパラダイムシフトをリードしています。デバイス間の包括的な可視性、統一されたコントロールセット、そして「機密情報と大規模インフラの保護」という単一の共有目的に向けた共通のタクソノミを提供する単一のプラットフォーム内にIT、コンプライアンス、セキュリティ、リスクを統合することで、タニウムは、すべてのチーム、エンドポイント、ワークフローをサイバー脅威から保護します。タニウムは、Fortuneの 「Best Large Workplaces in Technology」に選ばれ、7年連続で「Forbes Cloud 100」に選ばれています。実際、Fortune 100の半数以上と米軍は、タニウムが人々を保護し、データを守り、システムを保護し、あらゆる場所のあらゆるエンドポイントを監視して制御することを信頼しています。これが”The Power of Certainty”です。 https://www.tanium.jp/ をご覧いただき、Facebook( https://www.facebook.com/TaniumJP )とTwitter( https://twitter.com/TaniumJ )でフォローしてください。
【本件に関するお問い合わせ先】
タニウム合同会社マーケティング本部
jpmarketing@tanium.com
*記載されている会社名および製品名は、一般に各社の商標または登録商標です。