統合型エンドポイント管理(XEM)プラットフォームのプロバイダーであるタニウム合同会社は3月3日、国内におけるサイバーハイジーン市場調査の結果を発表した。
サイバーハイジーンとは、サイバー衛生管理とも呼ばれ、マスクの着用や手洗いの徹底、ワクチン接種などの感染対策と同様、エンドポイントの状態を定常的に把握し、パッチ適用やセキュア設定を徹底することでサイバー攻撃に備える考え方である。
同調査の結果から、サイバーハイジーンの認知度や実施範囲は、昨年の調査と大きな変化はなく、6割を超える組織で非管理端末が存在していることが明らかになった。一方で、サイバーハイジーンを徹底している企業では、脆弱性への対処や安全性確認にかかる時間が短縮される傾向にあることも明らかになった。
同調査は2022年12月19日~2022年12月31日に、国内大企業・官公庁・自治体のIT管理者に加え、経営企画部門、法務・コンプライアンス部門といったサイバーセキュリティの意思決定者を対象にWebで実施され、651件の有効回答数を得た。
主な調査結果は以下のとおり
◎サイバーハイジーンを全社規模で実施している割合は昨年に引き続き3割
サイバーハイジーンを認知していると回答した割合は全体の70%、主要な機能を含めてよく理解しているという回答は27%と、昨年同様の結果となり、サイバーハイジーンの認知は昨年から拡大していないことがわかった。
またサイバーハイジーンの実施については、部分的実施を含め全体の8割が実施していると回答しているものの、全社規模で実施している企業の割合は3割にとどまった。
企業規模別でみると、従業員規模が大きくなるほど実施している割合が高くなる傾向があり、5万人以上の大企業では38%が全社で実施していると回答し、一部で実施している企業も含めると、全体の9割が実施している。これに比べて、5000人未満の企業ではその割合が76%と、企業規模による差が見られる。
これらの結果から、引き続きサイバーハイジーンの重要性をより幅広く市場に浸透させ、認知を広げる必要があることが明らかになっている
◎6割を超える組織で非管理端末が存在
環境内の端末について、完全に把握できていると回答した組織は4割に満たず、6割を超える組織で非管理端末が存在することになる。IT資産の棚卸頻度については、毎日実施している企業は全体のわずか 2.3% で、脆弱性対応の実施頻度については、約9割が四半期に一回以下の頻度に留まっており、サイバーハイジーンの徹底が浸透しているとは言えない結果となった。
◎サイバーハイジーンを徹底している企業では、脆弱性対処や安全性確認にかかる時間が短縮される傾向
サイバーハイジーンの実施範囲について「全社規模で実施している」と回答し、かつ非管理端末の把握状況について「完全に把握している」と回答した企業を、「サイバーハイジーンを徹底している企業」と定義し、そのグループとそれ以外のグループについて回答を比較したところ、脆弱性対応の頻度、脆弱性対処にかかる時間、安全性確認までにかかった時間の項目に関して、顕著な差が見られた。
サイバーハイジーンを徹底している企業では、脆弱性対応をより頻繁に実施しており、年に5回以上実施している企業の割合が42%と、それ以外の企業の4%と比べ10倍以上の差が出ている。
脆弱性対処にかかる時間については、サイバーハイジーンを徹底している企業の6割以上が3日未満で対応できるのに対し、それ以外の企業ではその割合が31%と半分以下になる。
同様に、安全性確認にかかる時間についても、サイバーハイジーンを徹底している企業では、54%が3日以内に確認できているのに対して、それ以外の企業では25%にとどまり、対応にかかる時間に大きな差がでていることがわかった。
[i Magazine・IS magazine]