[インタビュー]

2024年7月25日(木)齋藤 公二（インサイト合同会社 代表）

「デジタルレジリエンス」にどう取り組むか

──SUSEのAPAC CTOとしての視点から、現在、企業のITリーダーが置かれている状況をどう見ていますか。

ビシャル・ガリワラ（Vishal Ghariwala）氏（写真1）：事業のデジタル化が進む中で、ITリーダーは3つの脅威に直面しています。システム停止、サイバーセキュリティ、サードパーティリスクで、いずれも事業継続に大きな影響を与えるものです。かつてのようにITだけを見て対応するのではなく、ビジネスの側面からこうした脅威やリスクに対応していくことが求められるようになっています。

　セキュリティの世界では、サイバーレジリエンスの重要性が急速に増しています。その際は、業務や事業継続の視点からのオペレーショナルレジリエンスも欠かせません。したがって、サイバーレジリエンスとオペレーショナルレジリエンスを組み合わせた「デジタルレジリエンス」が強く求められているのです。

──セキュリティと事業継続を同じ枠組みの中で捉える必要があるということですね。

　はい。実際に、ランサムウェア攻撃によってシステムが停止し、事業継続が脅かされるケースが増えています。停止したシステムを復旧させても、盗んだデータを盾に身代金を要求されると、システム的な対応だけでは問題が解決しません。

　また、サードパーティリスクには、取引先が別の企業に買収されたり、ビジネスプランの変更や、提供サービスのライセンス改定などが急に生じたりといったことがありますが、そこに、サプライチェーンをターゲットにした攻撃なども含まれるようになっています。

　例えば、サプライチェーン上の取引先や顧客が利用しているシステムに潜むセキュリティ上の脆弱性が狙われ、そこを踏み台に自社が攻撃を受けるケースがよく知られています。また、自社のシステム/サービスで利用しているサードパーティのソフトウェアやオープンソースソフトウェア（OSS）に脆弱性が見つかり、その時点で、（脆弱性のあるソフトウェアを利用する）すべてのシステムやサービスがサイバー攻撃のリスクを抱える、ソフトウェアサプライチェーンリスクも想定されます。

──そうした状況からデジタルレジリエンスが不可欠なのですね。この考え方について、もう少し詳しく説明いただけますか。

　デジタルレジリエンスは、サイバーレジリエンスと、オペレーショナルレジリエンスの2本柱で構成されます。サイバーレジリエンスは、実際にサイバー攻撃を受けた際に速やかに復旧し、被害を最小限にとどめるための取り組みです。例えば、ランサムウェア攻撃を受けたとき、脅威を迅速に検知し、インシデントに対応できるようにします。

　一方、オペレーショナルレジリエンスは、業務の視点で、日常から速やかな復旧や被害の最小化を目指すものです。業務プロセスの整備や、部門間での連携、経営陣のコミットメント、外注先やパートナーなどを含むサプライチェーン全体での事業継続など、幅広い取り組みが必要になります。

SUSEがサイバーセキュリティに注力する理由

──SUSEは、歴史の長いLinuxディストリビューションベンダーとして有名です。サイバーセキュリティやデジタルレジリエンスの分野ではどのような製品を展開しているのですか。

　代表的な製品である「SUSE Linux Enterprise Server」も、オペレーショナルレジリエンスに貢献できるソリューションであることを打ち出しています。オペレーショナルレジリエンスでは、ベンダーロックインの排除、さまざまなベンダーの技術・製品との連携、環境を問わないオープン性や相互運用性が重要です。有事の際に複数のソリューションを組み合わせて脅威に対抗したり、必要に応じて環境をクラウドからオンプレミスに移行させたりといった対策が求められるからです。

　オープンで相互運用性が高いSUSE Linux Enterprise Serverは、そうした取り組みを支える土台となります。コンテナオーケストレータのKubernetesを管理するプラットフォーム「Rancher Prime」もそうです。

──Rancherは2020年に米Rancher Labsを買収してラインアップに加わった製品ですね。一方、サイバーレジリエンスについてはどんな製品がありますか。

　2021年に米NeuVectorを買収して得た「NeuVector Prime」があります。こちらは、Kubernetesクラスタを保護するOSSのコンテナセキュリティプラットフォームです。クラウドやオンプレミスのさまざまなKubernetes環境で動作させることができます（図1）。

　現在の企業コンピューティング環境は、オンプレミス、クラウド、エッジなどが混在し、分散化が進んでいます。分散化に伴ってアタックサーフェス（攻撃対象領域）が増え、新しいアタックベクター（攻撃手法）が次々生まれています。サイバー攻撃者にとっては実に攻撃を仕掛けやすい状況なのですが、それに対抗するのがNeuVectorです。

──具体的に、どんな攻撃手法が現れ、企業のどこが狙われているのですか。

　近年、特に問題となっているのが、先に触れた、ソフトウェアサプライチェーンをターゲットにした攻撃です。システムやサービスで部分的に利用しているOSSなどに脆弱性が見つかった途端、攻撃者はその脆弱性を突いて攻撃を仕掛けてきます。システムやサービスを構成するほかの部品がいくら安全でも、脆弱な部分があるだけで攻撃は成功してしまいます。

　アタックベクターとしては、社内ネットワークの抜け道の悪用、内部犯行者との協力、ソフトウェア脆弱性の悪用、CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）などで公開された脆弱性の悪用、悪意のあるコードの送付などがあります。これらは使い古された手法とも言えますが、攻撃対象をソフトウェアサプライチェーンに変えるだけで、新しいアタックベクターとなるのです（図2）。

　また、これまでの対策が通用しにくい攻撃として問題になっているものとして、コンテナ環境への攻撃もあります。コンテナは動的に生成され、その数も多いため、従来のセキュリティ監視だけでは異常を見つけることができません。ランタイムセキュリティと呼ばれる新しいアプローチが必要です。

●Next：ソフトウェアサプライチェーンやコンテナが標的に、どう対策するか？