Tenableはレポート「The Critical Few: How to Expose and Close the Threats that Matter」を公開し、組織が直面する脆弱性の中で実際にビジネスリスクをもたらすものはわずか3%にすぎないと明らかにした。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Tenableは2024年8月22日(現地時間、以下同)、組織を危険にさらす脆弱(ぜいじゃく)性に焦点を当てたレポート「The Critical Few: How to Expose and Close the Threats that Matter」を公開した。
同レポートによると、組織が直面する脆弱性の中で実際にビジネスに重大なリスクをもたらすものはわずか3%にすぎないことが明らかにされている。
Tenableによると、セキュリティ専門家は日常的に数多くの脆弱性に直面しているが、その全てが同等のリスクを持つわけではないという。2024年6月2日のデータでは約24万件の脆弱性のうち、重大または高リスクに該当するものはわずか3.1%で、実際に悪用される可能性が高いものはさらに少数であることが判明している。
エクスポージャーを効果的に削減するためには、まず最も危険な脆弱性を特定することが重要とされている。Tenableでは脆弱性報奨プログラム(VRP)によって脆弱性のリスクを評価している。VRPは脆弱性を0.1〜10.0の範囲でスコア付けするスコアリングシステムで、脆弱性が実際に悪用される可能性を動的に評価して組織が最も注力すべき脆弱性を絞り込むことを可能にする。
同レポートでは共通脆弱性評価システム(CVSS)やエクスプロイト予測評価システム(EPSS)といった評価システムも紹介している。ただしTenableによると、それらの評価システムを単独で使用するだけでは不十分であり、VPRと組み合わせることでビジネスに対する真の脅威をより的確に把握できるという。
Tenableの調査では、組織が日常的に直面する脆弱性のほとんどは実際にはビジネスに大きなリスクをもたらさない一方で、少数の重大な脆弱性を見逃すと深刻な危険を招く可能性があると警告している。そのため、全ての脆弱性にリソースを割くのではなく、最もリスクの高い数パーセントの脆弱性に集中することが効果的なサイバーセキュリティ戦略の鍵になるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.