デジタル変革によって増すセキュリティリスク、どう対処すべきか？

経済産業省は2018年9月、『DXレポート～ITシステム「2025年の崖」克服とDXの本格的な展開』というレポートを公開した。このレポートでは、デジタルトランスフォーメーション(DX)が進まないと、1年で最大12兆円の損失が出るという予測が示されている。そうした中、日本では現在、国を挙げて、DXに取り組んでいる。

しかし、DXが進むことでITの重要性がますます高まり、セキュリティのリスクがこれまで以上に増すという側面もある。そうした中、企業はどのようなセキュリティ対策を講じるべきか。脆弱性管理プラットフォームを提供するTenable Co-Founder & CTO ルノー・デライゾン氏に話を聞いた。

Tenable Co-Founder & CTO ルノー・デライゾン氏

DXによってセキュリティはどう変わるのか？

デライゾン氏は、「約5年前から、デジタルトランスフォーメーションが進み、ビジネスが変わってきた。その顕著な例が、シェアリング・エコノミーによって成功したUberやAirbnbだ。彼らの登場は、ITがビジネスを根幹から変えたことを示している」と話す。

Uberはクルマ、Airbnbは宿泊施設を自ら持つことなく、個人が所有しているモノを活用して、ビジネスを確立し、ケタ違いの成功を収めている。シェアリング・エコノミーは、これまでのビジネス・プロセスを変革した。

こうしたデジタ変革が進む時代においては、「プロアクティブにITを活用してビジネスプロセスを変えていくと、新たなリスクも生まれる」とデライゾン氏は指摘する。

例えば、UberやAirbnbにおいて、ネットワークの稼働状況がビジネスに直結している。ネットワークがダウンしたら、利用者はクルマや宿泊施設を予約できなくなり、大きなインパクトを受ける。

デライゾン氏は「ランサムウェアであるWannaCryは、工場をダウンさせるなど、世界中で大規模な被害をもたらした。今や、サイバーリスクがビジネスリスクとなっている」と語る。

未知の脆弱性の前に既知の脆弱性対策を

DXが進む中、企業はどのようなセキュリティ対策を講じればよいのだろうか。

デライゾン氏は「ゼロデイアタックが話題になるが、大きなハッキングにおいて、悪用されている脆弱性のうち、未知のものは1件もない。既に情報が公開されている、それもパッチが提供されている脆弱性が悪用されている。つまり、基本的なサイバーハイジーン(衛星)の維持ができていない」と話す。

とはいえ、毎日のように脆弱性の情報が公開されており、それらをすべて追って対処するのは至難の業だ。そこで、デライゾン氏は「脆弱性の優先順位を見極めて、対応することが重要」とアドバイスする。Tenableはそのための製品として、「Tenable Lumin」を提供している。

「Tenable Lumin」は、脅威インテリジェンス、脆弱性のデータ、資産重要度などの情報を統合して、サイバーリスクを測定し、その企業のスコアを算出する。Luminによって、まず、自社のセキュリティ環境の現状がスコアとして表示され、次に、どうやって環境を改善していくべきかという道筋が提示されるという。

このように、Tenable Luminはセキュリティのリスクをビジネスのリスクに落とし込むことができる。「CIOやCISOは、経営層に対し、自社のセキュリティの状況を説明できなければならない。その際、IT部門で使われる用語から、ビジネス部門が理解できる用語に変換する必要があるが、Luminはそれをサポートできる」とデライゾン氏は語る。

そして、デライゾン氏は「セキュリティ対策は継続することが大事。そうなると、脆弱性管理は唯一のプロアクティブなセキュリティ対策と言っても過言ではない」と述べた。