サイバーリスクを正確に把握し削減する「サイバー・エクスポージャー」とは?

Tenable Network Security Japanは2月22日、クラウド型脆弱性管理プラットフォーム「Tenable.io」による日本市場への本格参入を発表した。同日に開催された記者発表会と個別インタビューの内容から、同社のめざすビジョンについて見ていきたい。

新しいサイバーリスクの管理指標「サイバー・エクスポージャー」

Tenable Network Security Japanは、新しいサイバーリスクの管理指標として「サイバー・エクスポージャー」を提唱している。これは、攻撃される可能性がある領域の適切な管理・計測により、サイバーリスクを正確に把握し削減する、という考え方に基づいたものだ。米国Tenable 副社長 兼 プロダクト最高責任者のコーレイ・ボッツィーン氏はサイバー・エクスポージャーについて次のように語った。

「テクノロジは企業のビジネスを加速しています。特に近年では、各種モバイルデバイスやWebアプリケーション、パブリッククラウドといった新たなデバイスやサービスが利用されるなど、デジタルトランスフォーメーションによる恩恵が大きいといえるでしょう。しかし一方で、こうした多様なデバイスやサービスの普及によって、企業がもつ資産の多くが測定・分析できなくなってきているのもまた事実です。これに対して弊社では、『Tenable.io』をはじめとした柔軟かつ強力なツールで完全な可視化を実現。『エクスポージャーはどこに存在するか』『優先されるべきリスクはどれか』『継続的にリスクを排除する方法はなにか』を明確にし、サイバーリスクの最小化を図るのがサイバー・エクスポージャーです」

サイバーリスクの最小化を図る「Tenable.io」

日本市場へ参入する背景について、Tenable Network Security Japan カントリー・マネージャーのダグ・ニューマン氏は『Tenable.io』の果たす役割について語った。

「日本では2020年に向けてIoT化が加速しているほか、ネットワークに接続されたスマートファクトリーも増加傾向にあります。しかし、こうしたデジタルトランスフォーメーションによって新たなチャレンジが生まれている半面、依然としてサイバーリスクの理解不足が続いている状況は否めません。確かに日本は非常に安全性が高く、犯罪率も低い素晴らしい国ですが、現在では2017年5月に世界中で猛威を振るったワーム型ランサムウェア『WannaCry』のように、他国からネットワーク経由で侵入してくる脅威も多いといえます。日本という限定されたエリア内だけでなく、ネットワークが相互接続の状況にあることを考えなければいけないわけです。そこで、企業のあらゆる資産を計測・管理できる『Tenable.io』が重要な役割を果たせると感じました。『Tenable.io』なら、従来型のPCやサーバはもちろん、クラウドやOT（Operational Technology）のインフラ、これまでサイロ化されていたスマートファクトリー、さらにはIoTなどまで包括的に網羅することができます」

「Tenable.io」のプラットフォーム上には、「脆弱性管理」「Webアプリケーション・スキャニング」「コンテナセキュリティ」「レポーティング、ダッシュボード」といった機能が備わっているが、そのなかでも特に日本市場での優位性確保に貢献するのが、コンポーネントのひとつとして組み込まれている脆弱性管理ソリューション「Nessus」だという。 ニューマン氏はこの点について「従来型の工場やスマートファクトリーにおいてもっとも重要なのは、どれくらい装置・機器が効率よく稼働しているかを判断できることです。しかし、多数の装置・機器をすべてスキャニングするのは難易度が高く、なにより効率を考えればセキュリティを入れづらい状況でもあります。こうした課題に対し、ネットワークトラフィックのキャプチャで潜在的な脆弱性が検出できる『PVS-パッシブスキャナ』なら、対象機器に不必要な通信やプログラムを強いることなく、24時間365日のモニタリングが可能です。これにより、効率を落とさず安全にサイバーリスクの最小化が図れます」と語る。

パートナー企業と共に少数精鋭で日本市場に挑む

同社は日本国内の拠点として、2017年11月に2人から活動をスタート。現在はニューマン氏を含めて7名で、2018年末までには16～18人に増員する予定だという。このなかには、セールス、エンジニア、マーケティング、スレットリサーチャーなどが含まれている。

製品・サービスの販売については、一般的な日本のマーケットに倣って基本的にパートナー企業経由で行われるそうだ。ニューマン氏は「お客様から連絡をいただくことは可能ですが、日本のエコシステムに準じる意味でもパートナー企業とのつながりを大切にしたいと考えています」と語る。

現在は東陽テクニカとJBSの2社のみだが、今後はセキュリティベンダーやファクトリー、IoT機器などを扱っている企業を中心に拡大予定となっている。 ただし、「パートナー企業経由でお客様とのつながりを持つにあたり、製品やサービスの魅力を十分にお伝えできるよう、弊社では教育制度に注力していく予定です。テクノロジや脆弱性が絶えず変化していくなか、教育は常にアップデートが求められる継続的な取り組みになっていくでしょう。弊社から十分な教育をご提供するという観点において、パートナー企業を増やしつつも少数精鋭の体制が基本となる予定です」と続けた。

日本国内における「Tenable.io」のターゲットについては、規模を問わず使えるクラウドベースのメリットを活かし、小規模からエンタープライズ、政府まで幅広い層を想定しているそうだ。

「拡大・縮小を自由に行えるのがクラウドのよさです。日本市場においては特に工場・製造業と金融業がサイバー・エクスポージャーの需要が高い分野だと見込んでいますが、それ以外でもIT機器がつながっている企業ならどこでも対象になります」(ニューマン氏)

具体的な取り組みとしては、すでにオープンしている日本語Webサイトにおいて、常に変化する情報をアップデート。「Tenable.io」のローカライズに関しては段階的に実施し、順次段階的に実施予定となっている。このローカライズには、日本語でのレポーティングやドキュメント、UIなども含まれる予定だ。

「重要なのは日本の市場およびプロダクトは世界のなかでも非常にユニークなので、綿密な分析により脆弱性も含めてポテンシャルを十分に理解する必要があると感じています。一方で、セキュリティインシデントが発生した際は情報を逐次日本語に翻訳してパートナーなどへ提供するといった、セキュリティ関連の啓蒙活動はすぐにでも必要です」とニューマン氏は、日本市場におけるニーズと同社の展望について語ってくれた。

[PR]提供：Tenable Network Security Japan