WithSecure(ウィズセキュア、旧社名: F-Secure)は2月22日、観世能楽堂(東京都中央区)で事業説明会を開催した。説明会にはフィンランド本社からWithSecure Chief Information Security Officer(最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏が来日し、同社が提唱する“アウトカムベースセキュリティ”を紹介した。

2022年の業績と2023年の戦略

まず、WithSecure 日本担当リージョナルバイスプレジデントのJohn Duley(ジョン・デューリー)氏がビジネスアップデートとして2022年の業績と2023年の戦略を説明した。同社は昨年3月にBtoB向けとBtoC向けに分社化しており、BtoB向けの会社としてスタート。

デューリー氏は「ビジョンとして『サイバー攻撃により、誰も深刻な被害を受けることのない未来を作る。』を掲げており、安全性を担保するために努力を惜しまず、お客さまに信頼を置いてもらうために、幅広いポートフォリオでさまざまなソリューションを提供している」と述べた。

  • WithSecure 日本担当リージョナルバイスプレジデントのJohn Duley(ジョン・デューリー)氏

    WithSecure 日本担当リージョナルバイスプレジデントのJohn Duley(ジョン・デューリー)氏

ウィズセキュアの軸となるサービスは、クラウド、Webサイト、アプリケーション、OS、組込み系のコンサルティングサービス「WithSecure Consulting」、MDR(Managed Detection and Response)、スレットハンティングを担う「WithSecure Managed Services」、統合セキュリティソリューション、アンチウイルス、EDR(Endpoint Detection and Response:エンドポイント検知&対応)、脆弱性管理を行うセキュリティプラットフォーム「WithSecure Elements」、Salesforce、Microsoft 365などのクラウドサービスを直接保護する「WithSecure Cloud Protection」の4つだ。

  • WithSecureのポートフォリオ

    WithSecureのポートフォリオ

そして、これらのサービスのバックボーンには「アウトカムベースセキュリティ」「直感的で使いやすいテクノロジーの追求」「サイバーセキュリティの最前線で培われたノウハウ」「コ・セキュリティ(共同セキュリティ)アプローチ」という考え方が反映され、顧客に価値を提供しているという。

2022年のグローバルにおける業績は前年比3.6%増の1億3470ユーロ(1ユーロ=140円換算で約188億5800万円)となり、製品比率はクラウドベース製品が51.0%、オンプレミス製品が20.2%、コンサルティングが28.8%、地域別の売上比率はヨーロッパが44.8%、北欧が30.4%、日本&そのほか地域が16.1%、北米が8.7%となっている。

  • 2022年のグローバルにおける業績

    2022年のグローバルにおける業績

デューリー氏によると、グローバルにおける法人向けサイバーセキュリティ市場が2025年には、600億ユーロの規模に拡大することが見込まれている。

これは、サイバー攻撃の成功がさらなるサイバー攻撃を生み出し、データ量、ネットーワーク接続性、デバイス数の指数関数的な増加、要因の複雑化に伴うサポートの必要性、セキュリティ投資の増加などがあるためだという。

そこで、企業が直面するセキュリティ上の課題としてサイバー脅威、ITシステムの複雑化、能力・知識のギャップ、地政学の4点を挙げており、デューリー氏は「アウトカムベースセキュリティに簡易化を加えれば、コ・セキュリティのアプローチが可能になる。そのため、当社は総合的なソリューションを提供している」と念を押す。

このような状況下において、特にデューリー氏はWithSecure Elementsと「Cloud Protection for Salesforce」について強く訴求していた。

WithSecure Elementsはクラウドベースで月額課金であり、単一のコントロールパネルでセキュリティを管理でき、EPP(ndpoint Protection Platform:エンドポイント保護プラットフォーム)、EDR、脆弱性管理に加え、Microsoft 365を保護するCollaboration Protectionを提供している、セキュリティプラットフォーム。EPPの要素はエンドポイント保護に必須であり、EDRは脅威の発見・調査・トリアージには人間の関与が必要なため、WithSecure Elements EPPと同EDRがベストな組み合わせだという。

  • 「WithSecure Elements」の概要

    「WithSecure Elements」の概要

また、Cloud Protection for SalesforceはSalesforce環境におけるアップロード/ダウンロードファイル、URLのセキュリティチェック機能を提供している。レポート生成、セキュリティ分析、監査証跡が可能なためシステム管理者は脅威への対応が容易になるという。

  • 「Cloud Protection for Salesforce」の概要

    「Cloud Protection for Salesforce」の概要

最後にデューリー氏は「セキュリティ市場は拡大しており、オンプレミスからクラウドへの移行が加速している。また、脅威は巧妙化、複雑化しており、お客さまのセキュリティ投資への意欲は増加し、当社としてはターゲットを大企業にシフトするとともに、クロスセル・アップセルを推進していく」と展望を語っていた。

ウィズセキュアが定義する“アウトカムベースセキュリティ”

一方、ここまで何度か触れている“アウトカムベースセキュリティ”とはどのようなものなのだろうか。

ウィズセキュアがアウトカムベースセキュリティを提唱する背景について、ベヘラスコ氏は「サイバーセキュリティ業界で仕事をスタートして約20年ほど経過しているが、DXの影響で組織は新たなテクノロジーを適用する半面、複雑化しているのも事実であり、現在の脅威は組織的に高度な攻撃になっている。そのため、アウトカムベースセキュリティが何よりも重要だ」と話す。

  • WithSecure Chief Information Security Officer(最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏

    WithSecure Chief Information Security Officer(最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏

同氏によると、2023年においてもサイバーセキュリティは問題で解決できておらず、攻撃は継続的でありプロセスの中でまとめて対応できる能力が求められるという。

ただ、大きな課題として問題が起こるたびに新しいサイバーセキュリティ製品を買い足せば多くのテクノロジーの中に埋もれてしまう半面、攻撃対象の領域は拡大しており、コストはますます増加する。アウトカムベースキュリティは一歩下がり、大局的な観点でセキュリティを捉えること、との認識だ。

ベヘラスコ氏が定義するアウトカムベースのセキュリティは「組織・企業としてどのような目標を持ち、ビジネスをするのか。サイバーセキュリティがビジネスの目標を達成するために、いかにサポートできるかを考えることがアウトカムベースセキュリティだ」と説く。

つまり、組織のさまざまなメンバーを関連付け、ビジネス目標を検討して望む成果を達成できるようにセキュリティを模索し、成果の特定によりリスクを深く検討するということだ。また、どのような資産がリスクに晒されるているかを確認し、どのような脅威があるのかを調査することも必要だという。

  • アウトカムベースセキュリティの概要

    アウトカムベースセキュリティの概要

なぜ、アウトカムベースセキュリティが求められるのか

ベヘラスコ氏は「Forresterの調査によると、82%のセキュリティリーダーがアウトカムベースセキュリティに興味を持っている。理由としては、全体像の把握、不要な製品の使用停止、フレキシビリティの実現、より良い脅威の可視化、期待するビジネスゴールが提供されるからだ」と強調した。

  • セキュリティリーダーがアウトカムベースセキュリティに興味を持つ理由

    セキュリティリーダーがアウトカムベースセキュリティに興味を持つ理由

アウトカムベースアプローチのメリットとして、第1位が「ビジネスリスクの低減」(42%)、次いで「ビジネスゴールを積極的に支援するサイバーセキュリティ」(39%)、第3位が「サイバー脅威への効果的な対応」(34%)、第4位が「サイバーセキュリティのコスト管理の強化」(31%)、第5位が「長期的な収益性の改善」(30%)と続く。

そして、アウトカムベースセキュリティおける6つのステップは「資産/脅威/リスクモデルの作成」「アウトカムや指標に関する合意」「既存のソリューションとアウトカムの整合性」「アウトカムベースサービスの導入」「不要な技術を排除し簡易化を図る」「ガバナンスの確立とアウトカムの検証」となる。

  • アウトカムベースセキュリティにおける6つのステップ

    アウトカムベースセキュリティにおける6つのステップ

ベヘラスコ氏は「サイバーセキュリティは従来以上に複雑性があるため、コ・セキュリティという形でパートナーやお客さまとともにチームを組み、互いに助け合うことが必要となる。サイバーセキュリティの情報を共有することで、正しいマインドセットを持ちつつ、意識を高めて互いに協力しながら、ビジネスアウトカムを実現できればと考えている」と述べ、プレゼンテーションを結んだ。