[市場動向]
「企業の情報資産を守るには、サイバーハイジーンの徹底が欠かせない」─TenableのヨーランCEOが警告
2022年12月19日(月)鈴木 恭子(ITジャーナリスト)
サイバーハイジーン──衛生管理のアプローチをサイバーセキュリティの世界に適用して、対策を継続的に取ることでしか、昨今のサイバー脅威/攻撃から企業や顧客を守ることはできない。米Tenable(テナブル)の日本法人、Tenable Network Security Japanは2022年12月6日、説明会を開き、日本におけるセキュリティ管理の課題と、2023年のサイバーセキュリティ予測動向を説明した。登壇した米本社の会長兼CEO、アミット・ヨーラン(Amit Yoran)氏は、「脆弱性管理で重要なのはサイバーハイジーンである。セキュリティ対策に100%はないが、サイバーハイジーンの徹底で攻撃リスクは低減できる」と力説した。
「サイバーハイジーンとサイバーエクスポージャ管理が重要だ」
Tenable(テナブル)は、米メリーランド州コロンビアに本拠を置くセキュリティソフトウェアベンダーである。設立は2002年、初期には脆弱性検査ツール「Nessus」の開発元として知られ、現在は統合的な脆弱性管理ソフトウェア/サービスをグローバルで提供する。
この日、同社日本法人が開いた説明会には、CEOのアミット・ヨーラン(Amit Yoran)氏が登壇した(写真1)。ヨーラン氏は、米RSAセキュリティのCEOや米シマンテックのバイスプレジデントなどセキュリティベンダーの要職を歴任した人物である。また、米国土安全保障省の合衆国コンピューター緊急事態対策チーム(US-CERT)プログラムの初代所長や、米国防総省CERTプログラムの創設メンバーを務めるなど、約30年にわたり情報セキュリティ業界を牽引してきた。TenableのCEOに就任したのは2017年1月で、同職としては今回が初来日となる。
冒頭の「サイバーハイジーン(Cyber Hygiene:サイバーセキュリティ衛生)」とは、サイバー空間の健全性と安全性の確保を目的に、セキュリティリスクに対して基本対策を日常的に講じるアプローチを指す。2015年頃から言われ始め、現在では、インターネット接続環境の把握や脆弱性修正プログラムの適用、認証/アクセス権の制御をはじめ、エンドユーザーのセキュリティ意識向上までを包含している。
ヨーラン氏は「官・民を問わず世界のトップが懸念するのは、(自組織が管理するシステムの)どこに、どの程度のリスクがあり、何をすればリスクが低減して安全性が担保できるのかだ。こうした課題に対応するには、サイバーハイジーンの考え方を理解し、既知の脆弱性を修正することだ」と指摘した。
サイバーハイジーンの徹底で重要なのは、脆弱性の可視化とその評価だ。すべての機密性情報資産やソフトウェア、認証機能などの脆弱性を一元的に可視化すること。そのうえでサイバー攻撃によって引き起こされるインパクトを予測し、攻撃経路と保護すべき機密性情報資産の優先順位、脆弱性の度合いなどの相関関係を理解する。ヨーラン氏は、「今後はリスクベースの脆弱性管理からサイバーエクスポージャ管理へと、セキュリティ対策のマインドを)シフトする必要がある」と説いた。
サイバーエクスポージャ管理(Cyber Exposure Management)は、2017年にTenableが提唱したコンセプトだ。外的リスクにさらされているIT資産やシステム構成、クラウドを含めた各設定やIDなどが適切に管理しているかを把握し、リスクに応じて対処するアプローチを指す。それを具現化したのが、2022年10月リリースの「Tenable One」である(画面1)。
拡大画像表示
Tenable Oneは、企業が導入しているセキュリティ製品の評価や脆弱性情報、企業が持つIT資産特性を相関的に分析し、脆弱性評価と脅威予測を行う。「脆弱性検知に対する需要が世界的に高まっている。すでに国内でも導入事例はあり、引き合いは非常に多い」(日本法人カントリーマネージャーの貴島直也氏、写真2)
米国ではサイバーセキュリティ・インフラセキュリティ庁(CISA:Cybersecurity & Infrastructure Security Agency)が連邦政府機関に対し、連邦政府のネットワーク上における資産の可視化と脆弱性検知の改善を義務づける新たな拘束的運用指令(BOD:Binding Operational Directive)を発行した。同指令は民間企業に対しては「推奨」レベルだが、こうした動きは日本にも波及することが予想されている。
今後はこれまで以上に脆弱性の検知精度を上げ、迅速に対応することが求められる、とヨーラン氏。「日本企業の経営層はセキュリティを『コスト』と考える傾向があるが、サイバーセキュリティは『戦略的投資』だ。セキュリティ人材の確保が難しくなる状況下、効率的な脆弱性管理のアプローチを考えるのも経営層の役割だ」と指摘した。
●Next:多重恐喝や社会インフラ攻撃、ハクティビズムの活発化……2023年にさらに脅威を増すサイバー攻撃
会員登録(無料)が必要です
- 1
- 2
- 次へ >