企業において、デジタル・トランスフォーメーション(DX)を企業戦略に取り入れることはもはや必須とも言える。しかし、このDXがサイバーセキュリティーの脆弱性を拡大しているという事実に気づいている経営層は少数派だろう。

そこで、このほど来日したTenableのCo-founder&COOを務めるJack Huffard氏に、経営層に求められる脆弱性管理のアプローチについて聞いた。

  • Tenable Co-founder&COO Jack Huffard氏

求められる「サイバー・エクスポージャー」というアプローチ

--経営層が知るべき、現在の企業が抱えるサイバーセキュリティ上の脆弱性にまつわる課題と、その解決のためのアプローチについて聞かせてほしい--

Huffard氏: 現在の企業はデスクトップ、サーバ、ワイヤレスといった従来型の資産を利用しており、既存のセキュリティ対策もそれらの資産を守るためのものとなっている。しかし、これからIoTやAI、クラウドなどを活用したデジタル・トランスフォーメーションが進展していくなかで、守るべきポイントが増加するとともに、そうした新たな技術に対応したセキュリティ対策が求められてくる。

 うした状況においても企業の資産を守るため、われわれが提唱している新たなサイバーリスクの管理指標が「サイバー・エクスポージャー」である。サイバー・エクスポージャーとは、金融用語の「エクスポージャー(所有する金融資産のうち、市場の価格変動のリスクにさ らされている資産の度合い)」をセキュリティに当てはめて考えた概念だ。

「守るべき資産を守る」「優先すべきリスクを知る」「リスクを測定して対処する」といったことを計測・管理することで、サイバーセキュリティにおけるリスクを正確に把握し最小化することを目指すアプローチになる。

--サイバー・エクスポージャーを実践するには、具体的にどうすればいいのか--

Huffard氏: 注目すべきは、標的型攻撃にせよランサムウェアにせよ、企業のサーバを狙った攻撃、さらにはクラウドやIoTデバイスなど新たな資産を狙った攻撃にしても、攻撃手法の種類や新旧、攻撃対象を問わず、そのほとんどが既知の脆弱性を突いたものだという事実である。

逆にこのような攻撃側の実態を踏まえれば、必要となる対策も自ずと見えてくるはずだ。それは、モバイルデバイス、Webアプリケーション、パブリッククラウド、IoT機器などすべてのポイントに潜む脆弱性を可視化し、日頃からリスク管理を施すという対策である。

そして、われわれが提供する「Tenable.io」であれば、従来型の資産だけではなく、クラウドやIoTデバイスなどの新たな資産も含めたすべての資産に関して、脆弱性にとどまらず資産の状況までも可視化することができる。これにより、企業は将来にわたってサイバー・エクスポージャーを実践することができるようになるだろう。

ビジネスコンテキストを踏まえてリスクを評価できるように

--経営層とセキュリティ担当者とでは、日頃の脆弱性管理において見るべき範囲や内容が異なってくると思うが--

Huffard氏: 正にその通りだ。企業の脆弱性管理にサイバー・エクスポージャーを正しく取り入れるには、経営層としてはリスクを可視化したうえで戦略的な意思決定を行えることが求められる。それを支援するのがTenable.ioの新たなアプリケーションである「Lumin」だ。

Luminは、経営層がERMやCRMを使って財政的なコンテキストを把握するのと同じように、サイバーリスクに関するビジネスコンテキストをダッシュボードから把握できるようにするツールである。

--具体的にLuminを使うと何が行えるようになるのか--

Huffard氏: Luminは、内部グループや同業界間で客観的にサイバーエクスポージャーを分析しベンチマークを行う。例えば、業界最高クラスの組織や同規模の組織と比較して、重大で悪用可能な脆弱性はどこにあるのかを経営層が把握できるようにする。

そして、Luminが示すサイバー・エクスポージャーのスコアリングは、脆弱性、脅威データ、および各アセットのビジネス価値と重要性を評価し、修復作業の優先順位を明確にするためのガイダンスを提供する。具体的には、この脆弱性はセキュリティパッチを当てずに放置していたら、製造ラインに影響が生じて企業の信用にも売上にも致命的なダメージを被ってしまうだろう──といったように、ビジネスインパクトを踏まえたリスク管理を経営層が行えるようになる。

--未知の脆弱性に対して経営層はどう向き合うべきか--

Huffard氏: もちろん、未知の脆弱性を突いたゼロデイアタックは常にサイバーセキュリティ上のリスクとして潜在している。ただし、経営層に関して言えば、未知の脆弱性はセキュリティ担当者に任せ、リスクが顕在化する確率がはるかに高い既知の脆弱性に集中すべきと言える。

--最後に、日本の経営層に向けたメッセージを--

Huffard氏: 取締役会議などの場で、経営層の人々が自社の資産のサイバーセキュリティ上の脆弱性について、ビジネスコンテキストを踏まえて会話できることは、デジタル・トランスフォーメーションが進むこれからの企業において当たり前となるのではないだろうか。そうした新しい時代の常識を一歩先駆けて実践することは、自社にとって大きな競争優位をもたらすかもしれない。