(イメージ;写真AC)

セキュリティーリーダーは、ビジネスに影響を与えるサイバーセキュリティーの脅威を現在のツールで予測できるという自信が欠けています。組織が今後の脅威に対処する準備が整っていることを確実にする必要がありますが、多くはそれを行うためにテクノロジー、データ、およびプロセスが足りないのです。

セキュリティーリーダーの半数以上が、サイバーセキュリティーの脅威を予測するためのテクノロジーやプロセスを備えているという自信がなく、およそ5分の2が必要なデータを持っているかどうかの確信がありません。

画像を拡大

それは、一部には、脆弱(ぜいじゃく)性管理(VM)プロセスが自動化されていないことが原因である可能性があります。VM評価プロセスを大規模に自動化したと回答しているセキュリティーリーダーは半数以下です。

注目すべきことに、ビジネスリスク管理の目標を、脆弱性の優先順位付けの実務に適用しているセキュリティーリーダーは44%のみです。さらに、10人中3人のセキュリティー意思決定者は、自社ではいまだにスプレッドシートを手動でレビューすることを主としてサイバーセキュリティーのパフォーマンスを追跡していると回答しています。

画像を拡大

効果的にセキュリティー対策を行うためには、リスクに基づいて脆弱性を優先順位づけする必要があります。従来のリスク管理では、実際のリスクの可視性が得られないため、失敗することが多いのが実情です。企業はこのような従来型のアプローチから、悪用される可能性の高い脆弱性の優先順位付けを含むリスクベースのアプローチへと進化しなければなりません。リスクベースの優先順位付けを行うことで、時間とリソースを節約し、重要なリスクに集中できます。これにより、平時の全体的なセキュリティーを向上できるとともに、リソースが限られている場合には優先度の高い脆弱性にフォーカスすることができるのです。