調査からサイバーセキュリティテストに費やす時間が不十分であることが判明
2019年12月9日、Mike Vizard
少なくとも理論上は、サイバーセキュリティ上の問題が増加するにつれて、IT環境の回復力を確保するためのサイバーセキュリティテストの回数も増加するはずです。侵入テストの外部委託プラットフォームのプロバイダである Synackが 300人のITリーダーを対象に実施した調査によると、回答した企業の 44%はサイバーセキュリティテストを毎月1回以上、行っています。
通常のサイバーセキュリティテストは完了までに平均 1~2週間かかります。また、Synackによると、平均的なクラウドソーシングのサイバーセキュリティテストは 300時間以上かかります。一方、回答した企業の 40%が 1回のテストに費やしている時間は 8時間以下であり、30%が費やしている時間は 9 ~ 20時間です。企業がサイバーセキュリティテストを以前より効率的に行っているはずですが、テスト対象が依然と比較してかなり増加しています。この結果、テストに費やす時間は短縮されていますが、テスト回数が増加しています。
回答した企業の 62%では自社のサイバーセキュリティ部門、29%では自社の監査担当者、22%では社外の監査担当者、22%ではセキュリティベンダ、18%では開発部門がサイバーセキュリティテストを行っています。また、回答した企業の43%ではサードパーティベンダが過去 2年間サイバーセキュリティテストを行っています。回答した企業の 63%では社外のベンダを脆弱性の検出と削減、47%ではコンプライアンス義務の履行に最も活用しています。回答した企業の半数以上(55%)はソフトウェアとアプリケーションをサイバーセキュリティテストの対象に含む必要があります。
回答した企業の32%ではコスト、17%では時間のスケジュールがサイバーセキュリティテストの最大のフラストレーションです。また、回答した企業の半数以上(52%)では、複数のセキュリティベンダによる機能の重複が原因で、不要なコストと複雑性が生じています。
サイバーセキュリティテストの結果、セキュリティポスチャが改善したと回答した企業が、わずか61%であることは、さらに厄介であると思われます。また、回答した企業の27%はテスト担当者とスケジュールを管理するための時間と労力に満足していません。
総合的に考えると、サイバーセキュリティテストが引き続き軽視されることは明らかです。テストのコストだけでなく、サイバーセキュリティプロフェッショナルの慢性的な不足、および保護する必要がある攻撃サーフェスの継続的な増加によって、理不尽な状況が生じています。企業は、サイバーセキュリティ部門が他の仕事をしたいというだけでは、テストの回数を制限していません。それどころか、問題はテストを十分に行うための時間がまったく不十分であることです。
企業が脆弱性を検出および修復する時間が不十分というだけで、攻撃者は既知の脆弱性を喜んでスキャンしています。サイバーセキュリティ部門は、脆弱性の存在を知っていても、修復の優先度があまり高くないというだけで、その多くに対処しません。
明らかに、サイバーセキュリティテストには多くの改善の余地があります。自動化とAI(人工知能)の進歩によって、テストは今後、大幅に改善するはずです。一方、サイバーセキュリティ部門は侵害が実行されるかどうかは問題ではないことを企業経営者に再認識させる必要があります。つまり、問題は、テストを行わなかった回数に基づいて、どの程度の損害を予測する必要があるかということです。
製品のご紹介:Barracuda PhishLine
原文はこちら:
Report brings quality of cybersecurity tests being conducted into question
December 9, 2019 Mike Vizard
