「サイバー衛生管理」全社規模実施企業は三割 ～ タニウム調査

　タニウム合同会社は3月3日、国内におけるサイバーハイジーン市場調査の結果を発表した。

　サイバーハイジーンは、サイバー衛生管理とも呼ばれ、エンドポイントの状態を定常的に把握し、パッチ適用やセキュア設定を徹底することでサイバー攻撃に備えるという考え方。同調査では2022年12月19日から12月31日にかけて、大企業のIT管理者・担当者を対象にWebアンケートを実施、651件の有効回答を得ている。

　調査結果によると、サイバーハイジーンを認知していると回答したのは全体の70％、主要な機能を含めて良く理解していると回答したのは27％と昨年同様の結果で、サイバーハイジーンの認知は昨年から拡大していないことが判明した。

　サイバーハイジーンの実施について、部分的実施を含め全体の8割が実施していると回答しているが、全社規模で実施している企業の割合は3割にとどまった。

　企業規模別でみると、従業員規模が大きくなるほど実施している割合が高くなる傾向があり、5万人以上の大企業では38％が全社で実施していると回答し、部分的実施を含め全体の9割が実施しているが、5千人未満の企業では76％にとどまっている。

　環境内の端末を完全に把握できていると回答した組織は4割未満で、6割を超える組織で非管理端末が存在することが判明した。IT資産の棚卸頻度については、毎日実施している企業は全体のわずか2.3％で、脆弱性対応の実施頻度についても約9割が四半期に1回以下の頻度に留まり、「サイバーハイジーンの徹底が浸透しているとは言えない」と指摘している。

　サイバーハイジーンの実施範囲について「全社規模で実施している」と回答し、かつ非管理端末の把握状況についても「完全に把握している」と回答した企業を、「サイバーハイジーンを徹底している企業」と定義し、そのグループとそれ以外のグループについて回答の比較を行ったところ、脆弱性対応の頻度、脆弱性対処にかかる時間、安全性確認までにかかった時間の項目に関して、顕著な差が見られることが判明した。

　サイバーハイジーンを徹底している企業では、脆弱性対応をより頻繁に実施しており、年に5回以上実施している企業の割合が42％と、それ以外の企業の4％と比べ10倍以上の差があった。

　脆弱性対処にかかる時間について、サイバーハイジーンを徹底している企業の6割以上が3日未満で対応できているが、それ以外の企業ではその割合が31％と半分以下となった。安全性確認にかかる時間も、サイバーハイジーンを徹底している企業では54％が3日以内に確認できているが、それ以外の企業では25％にとどまり、対応にかかる時間に大きな差があった。

　調査結果より、サイバーハイジーンの徹底で脆弱性対応や安全性確認などにかかる時間を短縮し、よりすばやい対応が可能になることが証明されたとしている。