脆弱性管理ソリューションを提供するTenableは12月6日、会長兼CEOであるアミット・ヨーラン氏の来日に合わせて記者会見を開き、日本市場におけるセキュリティに関する課題やTenableのビジネス状況、2023年に留意すべきサイバー攻撃の傾向などについての説明を行った。

Tenableが提供するソリューションは、米国のフォーチュン誌が各年度の総収入で米国最大の企業500社をランク付けしている「フォーチュン500」の約6割、フォーブス誌が毎年発表する世界の公開会社上位2000社のランキングリストである「グローバル2000」の約4割の企業や、大規模な政府機関などで採用されているという。

10月12日には、サイバーエクスポージャー管理プラットフォーム「Tenable One」の提供を開始。同製品は、脆弱性情報、企業が持つIT資産特性、設定の不備などの関連性に基づいてリスクを分析することにより、脅威が予測できる。

ヨーラン氏は記者会見の冒頭、「イノベーションとサイバーセキュリティは同時進行が必要。侵害が起きてからでは遅い。脆弱性はたった1個でも攻撃を招く」と、脆弱性管理の重要性を語った。

  • Tenable 会長兼CEO アミット・ヨーラン氏

    Tenable 会長兼CEO アミット・ヨーラン氏

ヨーラン氏は続けて、企業独自の努力が不可欠であることを強調。日本では2022年5月に経済安全保障推進法が成立し、同法では先端技術の保護と重要サプライチェーンの強化だけでなく、または重要インフラで事業を展開する日本の企業をより厳しく監督することが目標に掲げられている。

ヨーラン氏は、「サイバーハイジーンに注力すればセキュリティ態勢を格段に改善できる」と主張。サイバーハイジーンとは、サイバー犯罪を抑止する体制を各企業で可能な限り強化することを指す。「まず、事業内の重要な脆弱性にパッチを適用することから始まる」(ヨーラン氏)

「日本政府のセキュリティ保障に向けた取り組みはポジティブな一歩だが、政府任せではなく、企業も独自の努力が必要だ」と、ヨーラン氏は警鐘を鳴らした。

またTenableは同日、2023年に予測されるサイバーセキュリティ状況についての発表も行った。4つのトレンドについて、Tenableの日本法人Tenable Network Security Japan カントリーマネージャーの貴島直也氏が説明を行った。

多重恐喝へ進化するランサムウェア

1つ目のトレンドは、ランサムウェア攻撃において、恐喝グル―プが進化してさらに活発になるということ。これまでのランサムウェアグループは、企業のネットワーク内のファイルを暗号化して「人質」にし、アクセスと引き換えに身代金の支払いを強要してきた。二重恐喝にはさらにもう1つ、暗号化される前のファイルをサイバー犯罪者が盗み、「ダークウェブ上で公開する」と脅して身代金を略奪するという要素が加わる。

このような二重のプレッシャーをかける手口を行うハッカーグループで有名なのが『Lapsus$』。Lapsus$はMicrosoftや、サムスン、Ubisoft、Oktaといった大手企業のデータ侵害を行ったことで有名だ。

「成功した攻撃の手口を真似する犯罪者は多く、LAPSUS$が一躍悪名を馳せた後、突然犯罪行為が途絶えた時期がありましたが、その成功ゆえに二重恐喝の手口を模倣するサイバー犯罪者が散見されている。2023年には、この傾向がさらに活発になるだろう」(貴島氏)

  • Tenable Network Security Japan カントリーマネージャー 貴島直也氏

    Tenable Network Security Japan カントリーマネージャー 貴島直也氏

OTセキュリティを担保する経費の増大

2つ目のトレンドは、OT(制御技術)セキュリティを担保する経費が増大すること。マクロ経済の状況が厳しい中、従来のITサイバーセキュリティに対する投資の再評価が求められる段階に入ると同社は予測。しかし同時に、特に重要な制御技術システム関連のセキュリティに必要な予算の優先度と全体に占める割合が高くなるとも予想されている。

「企業は特に重要なOTシステム関連のセキュリティを優先して、相対的に支出を増やすだろう」(貴島氏)

予見されるSaaSアプリケーションの侵害

3つ目のトレンドは、SaaSアプリケーションの侵害がいつ起きてもおかしくない状況になるということ。貴島氏は、2023年には大規模なSaaSアプリケーションの侵害が発生すると見込んでいる。SaaSアプリケーション、責任共有モデル、限定的な監視方式の導入率が非常に高くなっていることから、SaaSのアタックサーフェスはいつ侵害が起こってもおかしくない状況とのことだ。

クラウドの採用は依然として急上昇傾向が続いている。日本市場では、2019から2027年間のCAGR(年平均成長率)は19.3%に上ると予測されている。また、日本のSaaS市場規模は2018年には38億7000万ドルだったものが、2027年には188億2290万ドルまで拡大し、2027年の前年比成長率は20.43%になると見込まれている。

「企業がクラウドサービスプロバイダー(CSP)のマネージドサービスにアタックサーフェス(サイバー攻撃対象になりうる組織のIT資産)を徐々に移行するにつれて、国家の支援を受けたサイバー犯罪グループはそういった、CSPのマネージドサービスを標的にし始めるだろう」(貴島氏)

脱・脆弱性管理

4つ目のトレンドは、「従来の脆弱性管理からサイバーエクスポージャー管理にシフトする企業がますます増える」(貴島氏)ということ。

サイバーエクスポージャーとは、「インターネットに接続されたサービスにおける外部公開設定の弱点」のことを指す。従来の脆弱性管理は、ソフトウェア内にある既知の弱点を識別する機能を提供するもので、それらの弱点のうち、従来のITデバイスやOS、ネットワークインフラで悪用される可能性のあるものに焦点を当てている。

一方、サイバーエクスポージャー管理は、それよりも拡大された機能を提供するという。あらゆる種類のエクスポージャー、すなわちコードの欠陥、設定ミス、アプリケーションの脆弱性、パッチ適用漏れなどを任意の資産 (サーバー、ワークステーション、コンテナ、アプリケーション、アイデンティティ、クラウドプラットフォーム、OT デバイス、その他) で検出し、事業のコンテキスト(関連性)に正しく照らし合わせて修正のために優先順位を付けることができるとのことだ。

同社によると、大企業は1社あたり平均して130個のポイントソリューションをサイバーセキュリティの対応に採用しているという。これらの個別のツールには、 それぞれ異なる分析やレポート機能が備わっているため、作業が重複して行われたり、セキュリティ対策に意図しないギャップが生じたりすることがある。このような状況から、従来の脆弱性管理からサイバーエクスポージャー管理にシフトする企業がますます増えると同社は予測している。