経済産業省は2018年9月、『DXレポート~ITシステム「2025年の崖」克服とDXの本格的な展開』というレポートを公開した。このレポートでは、デジタルトランスフォーメーション(DX)が進まないと、1年で最大12兆円の損失が出るという予測が示されている。そうした中、日本では現在、国を挙げて、DXに取り組んでいる。

しかし、DXが進むことでITの重要性がますます高まり、セキュリティのリスクがこれまで以上に増すという側面もある。そうした中、企業はどのようなセキュリティ対策を講じるべきか。脆弱性管理プラットフォームを提供するTenable Co-Founder & CTO ルノー・デライゾン氏に話を聞いた。

  • Tenable Co-Founder & CTO ルノー・デライゾン氏

DXによってセキュリティはどう変わるのか?

デライゾン氏は、「約5年前から、デジタルトランスフォーメーションが進み、ビジネスが変わってきた。その顕著な例が、シェアリング・エコノミーによって成功したUberやAirbnbだ。彼らの登場は、ITがビジネスを根幹から変えたことを示している」と話す。

Uberはクルマ、Airbnbは宿泊施設を自ら持つことなく、個人が所有しているモノを活用して、ビジネスを確立し、ケタ違いの成功を収めている。シェアリング・エコノミーは、これまでのビジネス・プロセスを変革した。

こうしたデジタ変革が進む時代においては、「プロアクティブにITを活用してビジネスプロセスを変えていくと、新たなリスクも生まれる」とデライゾン氏は指摘する。

例えば、UberやAirbnbにおいて、ネットワークの稼働状況がビジネスに直結している。ネットワークがダウンしたら、利用者はクルマや宿泊施設を予約できなくなり、大きなインパクトを受ける。

デライゾン氏は「ランサムウェアであるWannaCryは、工場をダウンさせるなど、世界中で大規模な被害をもたらした。今や、サイバーリスクがビジネスリスクとなっている」と語る。

未知の脆弱性の前に既知の脆弱性対策を

DXが進む中、企業はどのようなセキュリティ対策を講じればよいのだろうか。

デライゾン氏は「ゼロデイアタックが話題になるが、大きなハッキングにおいて、悪用されている脆弱性のうち、未知のものは1件もない。既に情報が公開されている、それもパッチが提供されている脆弱性が悪用されている。つまり、基本的なサイバーハイジーン(衛星)の維持ができていない」と話す。

とはいえ、毎日のように脆弱性の情報が公開されており、それらをすべて追って対処するのは至難の業だ。そこで、デライゾン氏は「脆弱性の優先順位を見極めて、対応することが重要」とアドバイスする。Tenableはそのための製品として、「Tenable Lumin」を提供している。

「Tenable Lumin」は、脅威インテリジェンス、脆弱性のデータ、資産重要度などの情報を統合して、サイバーリスクを測定し、その企業のスコアを算出する。Luminによって、まず、自社のセキュリティ環境の現状がスコアとして表示され、次に、どうやって環境を改善していくべきかという道筋が提示されるという。

このように、Tenable Luminはセキュリティのリスクをビジネスのリスクに落とし込むことができる。「CIOやCISOは、経営層に対し、自社のセキュリティの状況を説明できなければならない。その際、IT部門で使われる用語から、ビジネス部門が理解できる用語に変換する必要があるが、Luminはそれをサポートできる」とデライゾン氏は語る。

そして、デライゾン氏は「セキュリティ対策は継続することが大事。そうなると、脆弱性管理は唯一のプロアクティブなセキュリティ対策と言っても過言ではない」と述べた。

警告続くのに、なぜ進まぬ脆弱性管理

ところで、アプリケーションの脆弱性は古くからある問題であり、当然、その管理の重要性も認知されている。にもかかわらず、既知の脆弱性を狙った攻撃は絶えない。それどころか、増える一方である。

なぜ、サイバー攻撃を受けるリスクが明らかであるにもかかわらず、脆弱性管理が進まないのだろうか。サイバー攻撃の増加に伴い、ベンダーや第三者機関による脆弱性に関するアナウンスは頻繁に行われるようになっている。

デライゾン氏は「脆弱性管理が進まない理由の1つは脆弱性が多すぎるから」と答えた。「セキュリティチームは脆弱性のリストをITチームに渡すが、ITチームはそのリストを放置したままになっていることも多い」(同氏)

「脆弱性のうち、本当に対処が必要なものは数%に過ぎない。よって、脆弱性の状況を把握できれば、対処が必要な数%の脆弱性に集中できる。Tenable Luminを使えば、対応が必要な脆弱性がわかる」とデライゾン氏は話す。

加えて、デライゾン氏は「マインドセットを変えることも必要」とアドバイスする。脆弱性管理にワークフローと自動化を取り入れることで、継続的な対応が可能になるという。

「ビジネスを加速するデジタルトランスフォーメーションはビジネスプロセスを変える。だから、セキュリティチームもデジタルトランスフォーメーションい積極的に参加していくべき」ど、デライゾン氏は話を結んだ。