Cyber Exposure:The Next Frontier for Security（Cyber Exposure：セキュリティの次世代フロンティア）

サイバーセキュリティに関連する投資はかつてなく高額になっています。最近のWannaCryランサムウェア攻撃のような世界中のサイバー攻撃は、サイバーセキュリティが現代に実際に存在する脅威であることを改めて思い出させます。ロンドンのLloydの新しいレポートでは 、深刻なサイバー攻撃のために、世界中で$120,000,000,000以上のコストがかかっていると見積もっています。これは、ハリケーンカタリナとサンディによる自然災害による被害とほぼ同じものです。このレポートによると、想定されるシナリオでは、悪意のあるハッカーがクラウドサービスをダウンさせると、$53,000,000,000以上の損失が引き起こされると見積もられています。多くの注意が喚起され何百ものセキュリティ業界のベンダーが活動しているのに、なぜいつまでも同じ状況どころかますます悪い状況になっているのでしょうか。

IoTとクラウドなどの「未来の」テクノロジーとコンピュータープラットフォームと言われていたものは、実際にはすでに未来のものではなくなっています。現在、実用化されているのです。サイバー攻撃面は、データセンターにある1台のノートパソコンあるいは1台のサーバーではなくなっているのです。Business Intelligenceによれば、2019年までに90億ものIoTデバイスが企業で使用されることになります。これは、スマートフォンとタブレットの市場全体を合わせた数を上回るものです。2016 IDG Enterprise Cloud Computing Surveyによれば、すでに70%の組織がクラウドアプリを保持しており、さらに16%が今後12カ月間内の導入を予定しています。また現在、DevOpsが主流になるといった開発のシフトが観察されています。アプリケーションのより小さい部分にもっとアジャイルな方法で変更を加える手段として、コンテナーやマイクロサービスが台頭しています。451 Research によれば、コンテナー市場はクラウド対応テクノロジーの市場で最も急速に成長しており、2020年まで40%の複合年間成長率(CAGR)で、$762,000,000から$2,700,000,000に成長すると見込まれています。

どのように対応すればよいか

当社はこの問題に何百ものツールを投入しており、それぞれのツールは、ニッチな、しばしば「今週の脅威」スタイルの高度な攻撃から組織を保護することを目的としています。Configuration Management Databases（CMDB）があれば組織は資産と構成のITビューを得られますが、最新の資産のペースについていくように構築されていませんし、セキュリティビューは得られません。ほとんどの組織は、Vulnerability Management（VM）テクノロジーを使用してネットワークをスキャンし問題を特定していますが、従来のVMツールには、クライアント/サーバーとオンプレミスデータセンターの世界で「フリーサイズ」的アプローチで設計されているという問題点があります。このため、それらのツールは、スキャンした時点で実行されている「既知」の資産またはそれらにデプロイされているエージェントしか評価しません。

今の世の中は、新しいIoT、クラウド、SaaS、モバイル、そしてDevOpsの時代です。このため、組織がサイバーリスクを理解するアプローチは、この最新の資産の新しい世界に適応した方法である必要があります。たとえば、IoTのデバイスやモバイルデバイスは従来のツールでは検出できないかもしれません。コンテナとクラウドワークロードは、何カ月も何年も存在するほかのタイプの資産とは異なり、数分から数時間しか存在しない場合があります。そのため検出して保護するのが極めて難しいのです。また、産業制御システムのような、セキュリティが極めて重要なインフラストラクチャやオペレーションテクノロジーがあり、それらに対する攻撃も増えています。これらのシステムはネットワークからファイアウォールによって守られ脅威から遮断されるように設計されていました。そのため、頻繁な変更やソフトウェアの展開はそもそも想定されていないのです。ソフトウェアはすべての産業に浸透しており、これらの産業IoTデバイスは今や保護するべき接続デバイスとなっていますが、古い方法はあまりにも手間のかかるものとなっています。

Cyber Exposure の新時代へ

私たちは サイバーエクスポージャー こそ、急速に変化する最新のアタックサーフェスのサイバーリスクを、組織が正確に把握し、評価し、最終的に減少させる、次世代のフロンティアであると信じています。サイバーエクスポージャーは、セキュリティを、すべての資産の静的または断片化したビューから動的で全体的な可視性に変換します。IoTデバイスであるか従来のITデバイスであるか、クラウドインフラストラクチャか産業制御システムであるかは関係ありません。この動的な表現により、危険にされされている領域がないか、これらの資産を正確に評価し、分析することができるようになります。それは、誤構成であるかもしれませんが、アンチウイルスが古いとか、フラグがつけられた高リスクのユーザーなどの他の衛生面での健康指標である可能性もあります。この情報をほかのデータのソース（CMDBや脅威インテリジェンスなど）と関連させることにより、ビジネスの危険性や問題の深刻度の全体像が得られ、改善すべき点の優先度を決定し、IT部門と協働して問題を修正できます。

サイバーエクスポージャーはIT Service Managementに似ており、ITSMプロセスの実行方法は専門のソフトウェアテクノロジーによりサポートされています。ITSMソフトウェアスイートの中核を成すものは、インシデントの管理とレコードのナレッジベースシステムの管理を行うワークフロー管理システム（サービスデスク）と、構成アイテムとそれらの依存関係を発見しマッピングするConfiguration Management Database（CMDB）です。これらのテクノロジーを統合することにより、インシデントを変更とサービスリクエストにリンクする直感的な方法を構築します。また、ビジネスサービスと根底にあるITインフラストラクチャのビューを提供して、たとえば、トラブルシューティングや変更の影響の分析を加速化できます。ITSMがITサービスの計画、提供、運用のプロセスを提供してお客様をより良くサポートするように、サイバーエクスポージャーは最新の攻撃面のサイバーリスクを管理し測定する規範とプロセスを提供します。これにより、セキュリティチームとITチームが協働して、問題をもっと効果的かつ効率的に特定し解決できるようになります。さらに、CISO、CIO、およびビジネスがサイバーリスクを測定し、戦略的決定や計画に使用する際の、客観性のある方法も提供します。サイバーエクスポージャーのテクノロジーは、セキュリティを管理してリスクを減らし、より良い事業決定を下し、デジタルトランスフォーメーションを阻害するのではなくそれを可能にする、データ、可視化、プロセス管理、指標を提供します。

サイバーリスクを取締役会に伝える

サイバーセキュリティへの意識や準備について、経営役員や取締役会でも多くの議論がなされてきました。あなたは、技術的ではないビジネス用語でサイバーリスクをどのように表現し、伝えていますか？現在のCISOは、たくさんのスプレッドシートにある山のようなデータを、事業部で決定を下すために使用できる直感的なインサイトに変換する必要があります。サイバーエクスポージャーは、CISOが事業部と新しいレベルの話し合いを行う上で助けになります。ビジネスのどの領域が安全あるいは危険であるのかが分かっており、大きなデータセットに照らして組織を測定できるなら、組織がどこにフォーカスするべきかについて、まったく新しい話し合いや決定を行う機会が開けます。たとえば、どこにどれほど投資して、受容できる程度にまでリスクを減らし、戦略的な事業決定を促進するかといったことを決定できます。すべての部門には、その部門に関連したビジネスエクスポージャーを管理し、測定し、予測するための組織的なレコードシステムがあります。たとえば、CRMでは収入と予測のエクスポージャー、ERPでは財務とサプライチェーンのエクスポージャー、Human Capital Management（人事管理：HCM）では社員満足度と人員削減のエクスポージャーが存在します。事業部がこれらすべてのタイプのエクスポージャーで行うように、あらゆる戦略的な事業決定の要素に、主要なリスク指標としてサイバーエクスポージャーのデータが考慮される未来を想像してください。未来は、未来にしておく必要はありません。すでにその未来は来ているのです。

当社は、資産、ネットワーク、脆弱性の理解に関して長年にわたる専門性と知識を適用し、サイバーエクスポージャーのこの新しい時代に皆様を迎え入れる役目をいただいていることに興奮を覚えています。 すべては始まったばかりなのです...