タニウムは、「国内サイバー・ハイジーン(衛生管理)調査」を実施した。調査は、国内大企業・官公庁・自治体のIT管理者に加え、経営企画部門、法務・コンプライアンス部門といったDX時代のサイバー・セキュリティの意思決定者を対象に今年9月に実施し、653件の有効回答数を得た。
調査の結果から、サイバー・ハイジーンの認知度は国内で拡大傾向にあり、名前を知っている層まで含めると約7割の回答者がサイバー・ハイジーンについて認知していることが明らかになった。一方で、実際の運用を確認してみると例えばOSパッチが問題なく適用されている企業・団体が3割にとどまり、脆弱性対応に1週間以上を要している企業・団体が約6割にのぼることも分かった。
主な調査結果として、サイバー・ハイジーンを認知していると回答した割合は全体の71%にのぼったが、主要な機能を含めて良く理解しているという回答は30%にとどまったという。なお、企業規模別でみると、従業員規模が大きくなるほど認知度が高くなる傾向。5万人以上の大企業で「良く知っている」割合が約4割であったのに比較し、5000人未満の企業で25%と低い割合だったとのことだ。これらのことから、サイバー・ハイジーンの重要性を幅広く市場に浸透させる必要があることが明らかになった。
今年10月からWindows 11が利用可能になったが、引き続き多くの企業ではWindows 10を利用している。Windows 10や11の活用で重要なポイントとして、機能更新プログラム(Feature Updates:FU)の適切なタイミングでの適用が挙げられるが、今回の調査で「問題なく適用できている」と回答したのは全体の32%にとどまった。特に、「うまくいっていない」と回答した企業・団体が32%におよび、これらのケースではOSレベルで既知の脆弱性が放置されていることを意味している。
また、回答者の56%は半年に1回以上のペースで緊急性の高い脆弱性対応を行っていたという。従業員規模が大きくなると1回当たりの対応日数が増加する傾向が今回の調査から見えてきたとのことだ。対応に1カ月以上かかっていると回答した割合は全体平均で12%だったが、5000人未満の企業で10%と低く、5万人以上の企業で19%とほぼ倍増。これは、従業員数の増加に伴い、管理しなければいけない端末台数が増加することが一因という。
さらに、1日以内に脆弱性対応を完了している企業・団体は全体平均で4%に過ぎなかったが、タニウムの顧客事例では多くのユーザーがサイバー・ハイジーンを徹底することで、企業規模を問わず脆弱性対応を数時間内に実施している。
「見えないものは守れない」という原則のもと、管理対象端末のリアルタイムな見える化と、既知の脆弱性への対応力を強化することが強く求められることが今回のレポートでは改めて明らかになったという。タニウムでは、国内でのサイバー・ハイジーンの重要性を提唱すると同時に、自社ソリューションの提供を通じて顧客のサイバー・セキュリティ成熟度を高めていく。
