米セキュリティー企業タニウムの日本法人は3月3日、オンラインメディア説明会を開き、サイバーハイジーンに関する調査結果を発表した。
サイバーハイジーンとは、サイバー衛生管理とも呼ばれ、マスクの着用や手洗いを徹底、さらにはワクチン接種などをすることで病気への感染対策をするように、エンドポイントの状態を定常的に把握し、パッチ適用やセキュア設定を徹底することにより、サイバー攻撃に備えるという考え方のこと。同社は2022年12月に調査を実施。大企業・官公庁・自治体のIT管理者、経営企画部門など主に大企業のIT管理者と担当者から651件の有効回答を得ている。
同調査によると、サイバーハイジーンを認知していると回答した割合は全体の70%、主要な機能を含めて良く理解しているという回答は27%だった。これは昨年同様の結果だといい、サイバーハイジーンの認知は昨年から拡大していないことが分かった。またサイバーハイジーンの実施については、部分的実施を含め全体の8割が実施していると回答しているものの、全社規模で実施している企業の割合は3割にとどまった。
企業規模別でみると、従業員規模が大きくなるほどサイバーハイジーンを実施している割合が高くなる傾向が確認された。5万人以上の大企業では38%が全社で実施していると回答し、一部で実施している企業も含めると、全体の9割が実施しているのに比較し、5千人未満の企業においてはその割合が76%と、企業規模による差がみられた。
「引き続きサイバーハイジーンの重要性をより幅広く市場に浸透させ、認知を広げる必要がある」と、同発表会に登壇したアジア太平洋地域 Chief of Staff 兼 日本法人 パートナービジネス・マーケティング最高責任者の齊藤純哉氏は語った。
また、6割を超える組織で非管理端末(野良端末)が存在していることが分かった。さらに、IT資産の棚卸頻度については、毎日実施している企業は全体の2.3%で、脆弱性対応の実施頻度については、約9割が四半期に一回以下の頻度に留まっており、サイバーハイジーンの徹底が浸透しているとは言えない状況だ。
「非管理端末や脆弱性は攻撃の対象になることが多い。放置することでセキュリティのリスクを上げる要因となるため、IT資産の棚卸しや脆弱性対応を頻繁に実施し、非管理端末を撲滅していくことが重要だ」(齊藤氏)
タニウムは、サイバーハイジーンの実施範囲について「全社規模で実施している」と回答し、かつ非管理端末の把握状況について「完全に把握している」と回答した企業を、「サイバーハイジーンを徹底している企業」と定義。
同調査結果によると、サイバーハイジーンを徹底している企業では、脆弱性対応をより頻繁に実施しており、年に5回以上実施している企業の割合が42%と、それ以外の企業の4%と比べ10倍以上の差が出ていることが分かった。
脆弱性対処にかかる時間については、サイバーハイジーンを徹底している企業の6割以上が3日未満で対応できているのに対し、それ以外の企業ではその割合が31%と半分以下に。同様に、安全性確認にかかる時間についても、サイバーハイジーンを徹底している企業では、54%が3日以内に確認できているのに対して、それ以外の企業では25%にとどまり、対応にかかる時間に大きな差がでている。
「サイバーハイジーンを徹底することで、脆弱性の対応や何かあった際の安全性確認などにかかる時間を短縮し、よりすばやい対応が可能になることが証明された」(斎藤氏)