企業は増え続ける脆弱性に対処できるのか？ カギを握るセキュリティリーダーの役割と対策の第一歩

サイバー脅威のほとんどは「ただ放置されてきただけ」

──現在はTenableのCSO（Chief Security Officer）を務めておられますが、キャリアのスタートは米空軍だったとお聞きしています。

フーバー氏：はい、最初は米空軍のプログラマーでした。当時は、まだ「サイバー」という言葉すら使われていなかった時代です。最初の任期を終えた後も、空軍予備役として18年間勤務し、主にNSA（米国家安全保障局）やサイバー軍の支援を行っていました。また、ロッキード・マーティンでCSIRT設立に携わったり、エネルギー省傘下のアイダホ国立研究所でセキュリティリサーチャーを務めたりもしました。キャリアを通じて、毎日がサイバー犯罪との戦いですね。

　Tenableでは、複数の役職を担っています。まずはCSOとして、製品・アプリケーションのセキュリティや、フィジカル（物理）セキュリティ、さらには従来型のサイバーセキュリティを含む、全般的なセキュリティ業務を統括しています。加えて、リサーチ部門の責任者も務めており、全世界4万4000社の顧客に向けたエクスポージャー管理を支える業務を担当しています。

　社外では、複数のスタートアップ企業にセキュリティアドバイザーとして関わっています。また、大統領の国家安全保障電気通信諮問委員会（NSTAC）にも助言を行っています。

──米空軍に入隊した約30年前と今を比べると、サイバー空間の様子は大きく変化したことでしょう。

フーバー氏：そうですね。世界では常に紛争が起こっていますが、軍事的な視点でサイバー空間が戦いの「領域」となった点は、特に重要な変化の一つです。以前から金銭目的の攻撃者は存在していましたが、現在ではそれが戦闘の一部として扱われるようになっています。

──企業が直面している脅威についてはどう感じていますか。

フーバー氏：昨今のめまぐるしい技術進歩のせいで、トリッキーな攻撃ばかりが注目されがちですが、実際に目にする攻撃の多くは基本的なサイバーハイジーンで対抗が可能で、本当は既に修正や対処がされているべきものです。つまり、ほとんどはニュースで報じられるような劇的な攻撃ではなく、既知の脅威だということです。「ただ放置されているだけ」なのです。

　多くの攻撃や侵害が、組織が認識しながらも未対策であることに起因しています。時折、「サイバーはセクシーだ（魅力的、かっこいいなどの意）」と冗談交じりに言われることがありますが、私から言わせれば決してセクシーな問題ではありません。

　ですから、企業がとりあえずやるべきことは、自社環境全体の脆弱性を特定し、サイバーハイジーンに取り組むことです。それだけで大部分の脅威には対抗が可能なのです。