[市場動向]
「最終的に守るのはビジネスだ!」ウィズセキュアが“アウトカムベースセキュリティ”を提唱する理由
2023年3月23日(木)神 幸葉(IT Leaders編集部)
フィンランドのウィズセキュア(WithSecure)は、エンタープライズ(大規模なIT環境を運用する企業)に特化したグローバルのセキュリティベンダーである。同社日本法人は2023年2月22日に開いた説明会で、同社の製品・サービスのベースにある「アウトカムベースセキュリティ」の重要性を改めて説いた。合わせて、マルウェア感染後の環境回復を行うEPP/EDRの新機能「Activity Monitor」について説明した。
サイバーリスクに向き合い、自社の資産を確実に保護する
2022年3月、エフセキュア(F-Secure)が分社化し、エンタープライズセキュリティ事業を担うベンダーとして始動したウィズセキュア(WithSecure)。日本法人が開いた説明会で、同社 日本担当リージョナルバイスプレジデントのジョン・デューリー(John Duley)氏(写真1)が同社の事業戦略について説明した。
ウィズセキュアの2022年度グローバル実績は、前年度比3.6%増の1億3470万ユーロ(約188億5800万円)、製品・サービス別売上の51%はクラウドベース製品が占める(図1)。地域別で見ると、日本はトップ3のリージョンに位置しており、「当社にとって重要な地域の1つ」(デューリー氏)であるという。
拡大画像表示
同社のビジョンは「サイバー攻撃により、誰も深刻な被害を受けることのない未来を作る」。デューリー氏は、「サイバーリスクから解放されるのではなく、自社のあらゆる資産がしっかりと保護されることが重要」としてそのビジョンを実現する包括的なポートフォリオを示した(図2)。「サイバー脅威はさらに複雑化しており、企業は種々の脅威に対して自社に合った対策を取り入れていく必要がある。当社は企業規模を問わず、顧客に幅広い製品やサービスを提供している」(デューリー氏)
拡大画像表示
このポートフォリオの根底にあるのが「アウトカムベースセキュリティ(Outcome-based Security)」というアプローチだ。同社によると、アウトカム(成果)ベースとは、組織にとっての最終的なビジネス目標に注目し、その達成のために、適切なセキュリティ技術を適用していく方法論であるという。
デューリー氏は、今日のサイバーセキュリティ対策として、脅威、資産、リスクに着目する既存のアプローチのいずれも有効であると前置きした。そのうえで、「ビジネスにおける成果は何か、何がどんなリスクに晒され何を保護したいのか、それにセキュリティの取り組みはどう影響するのかを考える必要がある」と、このアプローチの重要性を訴えた(図3)。
拡大画像表示
ビジネス部門と対話してセキュリティに深く関与させる
同社 CISO(最高情報セキュリティ責任者)のクリスティン・ベヘラスコ(Christine Bejerasco)氏(写真2)は、具体例を挙げながらセキュリティアウトカムベースセキュリティの実践について解説した。
ベヘラスコ氏は、「企業情報システムには、さまざまな新しいアプリケーションやシステム、テクノロジーが常に入ってくるが、使うすべての技術には、攻撃者によって悪用される可能性がある」と指摘。特にデジタルトランスフォーメーション(DX)の推進によって、環境はいっそう複雑化し、ありとあらゆる場所にサイバー脅威になりうるリスクがはらんでいると警告した(図4)。
「20年前と違い、現在のランサムウェアの提供元は組織化しており、国家である場合もある。折から地政学的なリスクも発生している。そうした中で、システムのあらゆる情報・データを1カ所に集約して、そこを守ろうとすることはもはや不可能であり、アウトカムベースセキュリティがますます重要になっている」(ベヘラスコ氏)
サイバーセキュリティはテクニカルな分野であり、専門用語も多い。そのためビジネス部門とは切り離されて考えられることも多かったとベベラスコ氏。「企業はそれでも、ビジネスの視点からもサイバーリスクを認識し、拡大する脅威に対し、自社は何に優先度をつけて保護していくかを真剣に考えていく必要がある」(同氏)
米フォレスター・リサーチ(Forrester Research)の調査によると、サイバーセキュリティのリーダーや意思決定者の82%が「アウトカムベースセキュリティを導入したい」、または「すでに導入し、今後拡大させていきたい」と答えている。こうした層がアウトカムベースに興味を持つ理由としては、ビジネス全体像の把握、不要な製品の使用中止、フレキシビリティの実現、脅威のさらなる可視化、期待されるビジネスゴールの提供などがあるという。
拡大画像表示
それでは、どのようにアウトカムベースのアプローチに取り組めばよいのか。ベヘラスコ氏は6つのステップを示した(図5)。まずは不要な技術を見極めて排除し、自社におけるサイバーセキュリティのガバナンスを確立する。そのうえで、サイバーセキュリティ担当者と経営層の対話を行う。「両者の対話では、自社が掲げた目標達成に向け互いに理解をしながらビジネス成果とリスクについてすり合わせが重要になる」(ベヘラスコ氏)。
拡大画像表示
●Next:ランサムウェア被害後の復元を行うための新機能を発表
会員登録(無料)が必要です
- 1
- 2
- 次へ >
WithSecure / ランサムウェア / サイバー攻撃 / BCP/DR / EDR / エンドポイントセキュリティ / ゼロトラスト / F-Secure / フィンランド