サイバー脅威のほとんどは「ただ放置されてきただけ」
──現在はTenableのCSO(Chief Security Officer)を務めておられますが、キャリアのスタートは米空軍だったとお聞きしています。
フーバー氏:はい、最初は米空軍のプログラマーでした。当時は、まだ「サイバー」という言葉すら使われていなかった時代です。最初の任期を終えた後も、空軍予備役として18年間勤務し、主にNSA(米国家安全保障局)やサイバー軍の支援を行っていました。また、ロッキード・マーティンでCSIRT設立に携わったり、エネルギー省傘下のアイダホ国立研究所でセキュリティリサーチャーを務めたりもしました。キャリアを通じて、毎日がサイバー犯罪との戦いですね。
Tenableでは、複数の役職を担っています。まずはCSOとして、製品・アプリケーションのセキュリティや、フィジカル(物理)セキュリティ、さらには従来型のサイバーセキュリティを含む、全般的なセキュリティ業務を統括しています。加えて、リサーチ部門の責任者も務めており、全世界4万4000社の顧客に向けたエクスポージャー管理を支える業務を担当しています。
社外では、複数のスタートアップ企業にセキュリティアドバイザーとして関わっています。また、大統領の国家安全保障電気通信諮問委員会(NSTAC)にも助言を行っています。
──米空軍に入隊した約30年前と今を比べると、サイバー空間の様子は大きく変化したことでしょう。
フーバー氏:そうですね。世界では常に紛争が起こっていますが、軍事的な視点でサイバー空間が戦いの「領域」となった点は、特に重要な変化の一つです。以前から金銭目的の攻撃者は存在していましたが、現在ではそれが戦闘の一部として扱われるようになっています。
──企業が直面している脅威についてはどう感じていますか。
フーバー氏:昨今のめまぐるしい技術進歩のせいで、トリッキーな攻撃ばかりが注目されがちですが、実際に目にする攻撃の多くは基本的なサイバーハイジーンで対抗が可能で、本当は既に修正や対処がされているべきものです。つまり、ほとんどはニュースで報じられるような劇的な攻撃ではなく、既知の脅威だということです。「ただ放置されているだけ」なのです。
多くの攻撃や侵害が、組織が認識しながらも未対策であることに起因しています。時折、「サイバーはセクシーだ(魅力的、かっこいいなどの意)」と冗談交じりに言われることがありますが、私から言わせれば決してセクシーな問題ではありません。
ですから、企業がとりあえずやるべきことは、自社環境全体の脆弱性を特定し、サイバーハイジーンに取り組むことです。それだけで大部分の脅威には対抗が可能なのです。
