WithSecure(ウィズセキュア)は5月28日~29日に年次イベント「Sphere 2024」をフィンランド・ヘルシンキの「Cable Factory」で開催した。同イベントには、世界数十カ国から900人が来場。本稿では初日の基調講演の話を紹介する。
2022年から数えて今回で3回目を迎える「Sphere」。Sphereは、サイバーセキュリティに焦点を絞ったサービスや製品などを発表する典型的なイベントではない。さまざまな業種・経歴を持つ人々とともに、社会が必要としている新しい考えを生み出すには相互的な喚起が必要不可欠だとし、それを実現するものとして“アンカンファレンス”(カンファレンスではない)と位置付けている。
中堅・中小企業のセキュリティ戦略は取り残されている
今年4月に前CEOのJuhani Hintikka氏が退任し、暫定CEOとしてAntti Koskela氏が就任した。
まず、Koskela氏は「3年前の2022年に私たちは野心的な目標を設定しました。それは最大のものではなく、欧州のサイバーセキュリティイベントを一風変わったものにするという目標です。その理由は1つ。われわれは、みなさんとデジタルで信頼を築き、デジタルで自由を保護するという同じ情熱と目標を共有しているのです。なぜなら、この信頼がなければ、すべての技術開発は鈍化し、それに伴うすべての良いことを失うことになるからです」と述べた。
同氏によると、今日の急速に発展する技術駆動の状況下において、世界がより脆弱になっているというのは新しいニュースではなく、興味深い事実として、組織が普遍的にデジタルの信頼を失っているということだという。世界経済フォーラムでも中小企業が大きく取り残されていることが示され、中小企業向けサイバーセキュリティの戦略が壊れていることを示唆していると指摘。
「サイバー犯罪者たちは自信を欠いていません、彼らは今日、産業的なビジネスモデルで運営しています。彼らは数時間でインターネット全体をスキャンし、すべての脆弱性、すべてのIPアドレス、すべてのポート、すべてのサーバを調べることができます。彼らは効果的なランサムウェアをサービスとして持っているため、あなた自身も犯罪者になることができます。彼らはハッキングツールをオンラインで誰にでも販売しています」(Koskela氏)
新サービス「Exposure Management」と「WithSecure Luminen」を発表
昨今のサイバー犯罪者は企業の大企業のみならず、中堅・中小企業をもターゲットとしている。というのも、中小企業は重要な情報を持っており、相互に接続されたデジタルサプライチェーンの一部でもあるからだとの認識を示す。
そのため、企業ではより多くの製品・プロジェクト、より多くのコントロール、より多くのプロセスなどを構築し、徐々に安全になったものの、同時に不確実性、コスト、複雑さという課題も散見されるようになってきたとのことだ。
Koskela氏は「“多い方が良い”という神話は大手のテック企業に支持され、それが彼らのビジネスにとって良いことは理解しています。しかし、中堅・中小企業における規制要件の準拠やアタックサーフェス(攻撃対象領域)の理解に関わらず、シンプルな選択肢がない状況に導いてしまっているのです。彼らはサービスが不十分で、リソースが不足しているために圧倒されています」と話す。
中堅・中小企業では、最低限有効なセキュリティレベルに達していないとも述べている。そこで、同氏が示したのは、中堅・中小企業を対象にした新しいサイバーセキュリティの戦略だ。これは目指すべきセキュリティの結果を問い始めることからスタートし、そこから逆算して結果を実現するために動くことだという。
同氏は「当社で1500人のサイバーセキュリティ専門家にアドバイスを求めところ、中堅・中小企業が求めるものとして“レジリエンシー”、“顧客信頼とコンプライアンス”、“効率性”の3つのカテゴリーに分けられました。われわれは、中堅・中小市場におけるセキュリティ戦略のバックボーンは良好な保護と検出であると考えています。しかし、今日のデジタル世界では、これらとともにアイデンティティセキュリティの補強が求められ、プロアクティブ(能動的)に動く必要があります。攻撃者がどのように攻撃したいのかを理解し、自らのアタックサーフェスを理解する必要があります」と力を込める。
そのための鍵となるピースとして、レジリエンシーには「WithSecure Elements Exposure Management」に加え、Sphereの初回となる「Sphere 2022」から同社が提唱している「Co-Security」(共同セキュリティ)がデジタルの信頼とコンプライアンスを解決する方法だという。そして、最小限の効果的なセキュリティで生産性を向上させる必要もある。
Koskela氏は「最小限の効果的なセキュリティが私たちの第一目標です。そのため、当社はパートナーとともに、良好なサイバーセキュリティをもたらし、中堅・中小企業が何を良好なサイバーセキュリティと見なすかを民主化していきます」と胸を張る。
こうした状況をふまえ、同社は脆弱性管理やパッチ管理、EPP(Endpoint Protection Platform)、EDR(Endpoint Detection and Response)などのソフトウェアを組み合わせて、モジュラー式で提供している「WithSecure Elements Cloud」に、新たにExposure Managementや生成AI機能を追加している。
Exposure Managementは、AIにより組織のデジタルエクスポージャー(デジタル上のリスク)を継続的に発見し、これにはアタックサーフェス、デバイス、アイデンティティ、クラウドサービス、ネットワークを含む環境全体に対する攻撃者の視点を取り入れている。ビジネスコンテキストや攻撃パスモデリング、動的な脅威インテリジェンスにもとづいて、推奨事項に優先順位を付けるという。
同氏は「Exposure Managementは、パートナーとユーザーをリアクティブ(受動的)なセキュリティからプロアクティブなセキュリティへと移行させます。これにより、自社のアタックサーフェスを理解し、攻撃を発見して優先的に行動することが可能になります」と説明。
一方、生成AI機能としては生成AIベースのツール「WithSecure Luminen」を発表。複雑なタスクを簡素化し、状況に応じたガイダンスを提供することで、セキュリティチームの人的リソース不足という課題を抱える企業/団体に、サイバーセキュリティにおける効率的な改善を提供するというものだ。
LLM(大規模言語モデル)を活用し、セキュリティチームがリソースに制約のある困難な環境でも作業負荷を管理できるようにし、生産性の向上を促進する正確かつ実用的な対策を推奨する。
Luminenのアルゴリズムは、セキュリティインシデントの詳細な分析、アクションの自動化、状況に則したインサイトを提供し、データとの柔軟なインタラクションを実現するとともに、セキュリティ管理者の負担を軽減して複雑なサイバーセキュリティの状況に適切な対策を講じられるようにするという。
Koskela氏は「当社は中堅・中小企業のための新しいサイバーセキュリティ戦略の要素を持っています。Elements Cloudはレジリエンシー、顧客信頼とコンプライアンス、効率性を実現できるのです」と強調していた。
CISOが抱えるジレンマ
続いて、WithSecure CISO(最高情報セキュリティ責任者)のChristine Bejerasco氏が「CISOのジレンマ」について講演を行った。
Bejerasco氏は「過去20年間サイバーセキュリティの業界で働き、1年半前からCISOを務めています。私自身、自分が信じるものが変わりました。サイバーセキュリティでは絶対的なことが、さまざまな場面で起こり得るということを可能な限り、すべて把握しなければならず、規模の大小こそあれ戦いは日々あります」と述懐する。
同氏は問題が発生した際はストレスと感じるかもしれないが、チームのバックアップを得ながら再発防止に努めている一方、平穏時でもストレスはあるという。例えば、インシデントの低減、規制への対応、顧客からのストレス、仮説の復旧計画によるシミュレーションなど、さまざまなストレスが存在するとのことだ。
こうした、CISOとして落ち着いた時期でも多くのストレスに囲まれた状態を乗り切るために、同氏はスペイン人のFrancesc Miralles氏とHector Garcia氏が共著し、2016年に発刊された日本語の“生き甲斐”として日本人の長寿と幸福な人生の秘訣をまとめた「Ikigai」という書籍を紹介した。
この書籍で明示しているのは、何が得意で、何を愛し、世界に何を必要としているのか、報酬は何に支払われるのかを軸に、情熱、ミッション、専門的な職業、転職的な職業のベン図が重なり合うことでIkigaiが見い出されるというものだ。
CISOの“生き甲斐”とは?
Bejerasco氏は「CISOだけではなく、普遍的にわれわれとって目的に対する理解は必要です。やりたいことを明確化するために個人的な目的は重要です」と語る。時として取り返しのつかないこともあるものの、それは新しいことを学ぶ機会でもあるとも話す。
同氏は「自分がやっていることを愛するということは何を意味するのでしょうか?もし、自分の目的と一致する組織で働いているならシナジーは計り知れません」と力を込める。Bejerasco氏によると、CISOの“Ikigai”は「個人的なパーパス」「組織としてのパーパス」「セキュリティの成果」「リソース」の4つを、まずは定める。
個人的なパーパスでは自分の得意なことは何か?自分が愛するものは何か?報酬は何に支払われるのか?世界は何を必要としているのか?の4つを考えるべきだという。
組織としてのパーパスでは組織として何を世界に提供するのか?そして、どのように社会を強め、文明を発展させ、生活を向上させるのか?に配慮する必要がある。
セキュリティの成果では組織が望むビジネス成果に対するリスクを低減するために、どのようなセキュリティ成果が必要か、また同氏が昨年の「Sphere 2023」で打ち出したアウトカムベースセキュリティを実現するためのフレームワーク「Security Outcomes Canvas」を活用して、組織のセキュリティ成果を発見することを念頭に置くことが肝要だとしている。
リソースについては、実行を助けてくれる味方は誰なのか、どのようなプロセスやテクノロジーを自由に使えるのか、リソースを強化するために、どれだけの予算があるのかを把握する必要性があるとのことだ。
そして、これら4つとともに「目的の共有」「使命の達成」「実行範囲」「実行力」がベン図に加わると“CISOのIkigai”につながるという。同氏も完成に向けて、試行錯誤を繰り返してCISOの生き甲斐マップの作成に取り組んでいるという。
最後にBejerasco氏は「個人的なパーパスもありますが、組織のために取り組みことを恥じるべきではありません。例えば、測定が好きでればサイバーセキュリティの成果を測定するほか、脅威アクターの調査をしたければ、そのための時間を確保しても問題ありません。違う側面を理解することで職場での寿命、ひいては組織・個人的な寿命も得られかもしれません。組織に所属することで成長の可能性があるため、CISOにはデジタル空間の中でよりエネルギーを発揮できるようにしてもらいたいと考えています」と結んだ。