2023 年には、セキュリティ部門は、脆弱性管理とサプライ チェーン セキュリティにおいて、より目的を持って取り組む必要があります。 これは、セキュリティ プロバイダ Ivanti が発表した「State of Security Preparedness 2023」調査の中心的な結果です。
国際的な同僚とは対照的に、ドイツのセキュリティ部門の成熟度は平凡です。 これは、弱点への対処や、自社の流通チェーンにおけるビジネス パートナー向けのセキュリティ トレーニングなど、ビジネスに不可欠な問題で特に顕著です。
ドイツのセキュリティチームには、やるべきことがいくつかあります
Ivanti の調査によると、ドイツの IT セキュリティ部門の成熟度は、近隣のヨーロッパ諸国や全世界よりも大幅に低くなっています。 回答者のわずか 19% が、国内および世界のセキュリティ規制、ポリシー、手順への準拠に関して、自分のチームが先進的で実証済みであると評価しています。 イングランド、フランス、および国際平均では、企業の約 30% がこの最高水準の防御に達しています。 独自の評価によると、ドイツのセキュリティ チームの大多数 (36%) は、この質問に関して「中級レベル」にすぎません。
弱い自己評価が確認されました
この自己評価は、IT チームがサイバー プログラムを評価するために使用する方法によってサポートされています。 これらの方法の質は、プログラムがどの程度十分に確立され、実施されているかを示す指標として役立ちます。 サイバーセキュリティ成熟度モデルは、国際平均と比較して、ドイツでは小さな役割しか果たしていません。 この国の企業のわずか 1 分の 3 がこれらのモデルを使用していますが、世界では 2 分の 3 です。 関連する財務データがさらされるリスクの評価に関しても、状況は同様です。 調査対象となったドイツのセキュリティ スペシャリストの 1 分の 3 が、財務データ リスク評価 (FinDRA) に基づいてセキュリティ ポジションを決定しています。 ただし、英国と米国では、同業者のほぼ 61 倍がこの指標に取り組んでいます (62%、XNUMX%)。
組織が自身のセキュリティ レベルを正確に判断できるかどうかは、特に、社内で使用されているシステムとソリューションに関する洞察に依存します。 この観点からも、ドイツのセキュリティ管理者の自己評価は緩やかに低下しています。 その大部分 (54%) は、自社の資産について中程度の概要しか把握しておらず、企業ネットワークにログインしているユーザー、デバイス、アプリケーション、およびサービスを継続的に追跡しているのはわずか 15% にすぎません。
脆弱性管理: すべてにパッチを適用しますか?
「私たちの調査結果は、ドイツのセキュリティ専門家が優先度または高優先度でほぼすべての脆弱性をクローズしたいと考えていることを示しています。 このような態度は、可能な限り多くの潜在的なゲートウェイを閉じたいという当然の欲求に対応しています。 しかし、IT 部門の通常の運用では、チームのリソースが利用可能であるため、これを実現することはほとんどできません」と、UEM およびセキュリティのプリセールス エキスパート マネージャーである Johannes Carl 氏は述べています。 「未解決の脆弱性が非常に多いため、企業を完全に保護する壁を構築することはほとんど不可能です。 個々の企業に実際のリスクをもたらす脆弱性を優先的に閉鎖する方がはるかに効果的です。」
Ivanti の調査によると、この知識はドイツのセキュリティ チーム間でまだ十分に普及していません。 セキュリティ専門家の半数 (48%) が、自社に直接関連する戦略的脆弱性を優先しています。これは、国際比較において優れた価値です。 ただし、不釣り合いなほど多くの弱点が含まれていることは注目に値します。
NVD (National Vulnerability Database) に記載されている脆弱性の問題であるか、現在悪用されているか、チーム自身によって特定されている脆弱性であるかに関係なく、ドイツのセキュリティ専門家の大多数は、それらに最高の緊急性を割り当てています。 国際的には、この問題についてはさらに多くの差別化があります。 この評価の理由の 40 つは、回答者の XNUMX% が脆弱性に優先順位を付ける特定の方法を使用していないか、可能であれば個別に文書化されていないという事実にある可能性があります。 これにより、チームがリスクベースの脆弱性管理に一貫したルールを適用することが困難になります。
サプライ チェーン攻撃の概要 - しかし制御下にあるのか?
潜在的な攻撃ベクトルの評価も、興味深い分析を可能にします。 ドイツのセキュリティ プロフェッショナルの 40% は、流通チェーンへの攻撃や流通チェーンを介した攻撃に、中程度のレベルの脅威しか感じていません。 過去 48 年間でこの種の攻撃が増加していることを考えると、このような評価は非常に驚くべきものです。 しかし興味深いのは、回答者のほぼ XNUMX 人に XNUMX 人 (XNUMX%) が、サプライ チェーン攻撃に対して非常によく備えていると述べていることです。
これは、ドイツの IT 部門が国の比較において、サードパーティ企業のアクセスを短期間で撤回できる高い能力と一致しています。 51% が 57 日以内にこれを行うことができます。 もう 67 つの声明は、さらに重要です。ドイツのセキュリティ専門家の XNUMX 人に XNUMX 人に XNUMX 人 (XNUMX%) が、サプライ チェーン パートナーに必須のサイバーセキュリティ トレーニングも義務付けています。 すべての国の平均値は XNUMX% です。
研究の背景
「State of Security Preparedness 2023」調査では、2022 年 6.500 月に世界中の XNUMX 人を超えるエグゼクティブ、サイバーセキュリティの専門家、オフィス ワーカーが調査されました。 Ravn Research が実施したこの調査の目的は、企業の IT プロフェッショナルが現在のセキュリティの脅威をどのように認識しているか、および組織が将来未知の脅威にどのように備えているかを理解することです。
詳細は Ivanti.com をご覧ください
イヴァンティについて ユニファイド IT の強み。 Ivanti は、IT を企業のセキュリティ運用と結び付けて、デジタル ワークプレイスをより適切に管理および保護します。 オンプレミスかクラウドかに関係なく、PC、モバイル デバイス、仮想化インフラストラクチャ、またはデータ センターの IT 資産を識別します。 Ivanti は、専門知識と自動化されたプロセスを通じて、IT サービスの提供を改善し、ビジネス リスクを軽減します。 Ivanti は、倉庫およびサプライ チェーン全体で最新のテクノロジを使用することにより、バックエンド システムを変更することなく、企業が配送能力を向上させるのに役立ちます。