SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Press

企業は増え続ける脆弱性に対処できるのか? カギを握るセキュリティリーダーの役割と対策の第一歩

軍や防衛産業を経てサイバー歴約30年、Tenableの最高セキュリティ責任者が日本企業へ提言

脆弱性は数万種類、プライオリティを決めることが対策の第一歩

──日本企業の多くは、脆弱性への対処の重要性を認識してはいるものの、なかなか有効な対策を打ち出せていない状況にあるのではと感じています。課題は何だとお考えでしょうか。

フーバー氏:攻撃者の侵害を許す脆弱性となる要素は、年々増加しています。2023年には2万5000以上の脆弱性が報告されており、今年はさらに増える見込みです。

 こうした中で対策側がまず着手すべきは、先ほども申し上げた「プライオリティを決めること」です。数ある脆弱性の中で、特に自社にとって脅威となり得るものは何か。それを見極め、自分たちの組織やビジネスにとって最も生命線となる、重要なシステムを特定しましょう。そうして明確化になった重大な脆弱性と、重要なシステムの交点となる場所が、優先的に対処すべき領域です。

──セキュリティリーダーに求められる役割とは何でしょうか。

フーバー氏:自社のビジネス全体の重要性を理解し、各部門にとってどのシステムがクリティカルかを把握した上で、対処の優先順位を決める役割が求められます。加えて、経営者をはじめとする組織のリーダーも、サイバーリスクが経営・事業の存続に直結する問題であることを認識する必要があります。

米国の上場企業はサイバーリスクの開示が義務、セキュリティリーダーは経営会議に参加

──米国やイスラエルのようなサイバー先進国と比べると、日本では軍(自衛隊)と民間の距離が離れていたり、安全保障や地政学の教育が浸透していなかったりと、セキュリティリテラシーにもマイナスの影響を及ぼしそうな文化的土壌があります。企業の中にも、サイバーインテリジェンスに精通した方はほとんどいません。フーバーさんがいらっしゃる米国ではいかがでしょうか。

フーバー氏:米国では、エネルギー産業や金融業をはじめ、業界ごとに独自のルールや規制を敷きながらサイバーセキュリティが推進されています。最近では、証券取引委員会(SEC)もサイバーセキュリティのガバナンス要件を導入しました。ですから国全体として、セキュリティリーダーが経営層とともに意思決定の場に参加する場面も増えています。

 さらに、米国の上場企業は定期的にリスク要因を国へ開示・提出しなければなりません。サイバーリスクもその中に含まれています。あらゆる上場企業が、サイバーセキュリティプログラムに関する情報なども開示しているのです。

 Tenableの場合は、CSOである私がCEOに直接報告を行い、CFOやCIO、CLO(最高法務責任者)とともに経営課題として議論を行います。これは何も変わったことではなく、米国全体でセキュリティリーダー(CSOやCISO)がCEOに直接報告することが一般的になりつつあります。

──日本企業では、CSOやCISOを設置している企業はごく少数です。経営層にセキュリティリーダーを設置するメリットとは、脅威に対する迅速な意思決定を下せる点でしょうか。

フーバー氏:もっと具体的に述べると、新しい市場への参入や新製品の発売、あるいは社内での重要な方針転換などがある際に、他のCxOから出た情報や洞察を的確に把握できるため、セキュリティにおいても迅速にキャッチアップとアクションができる点がメリットだと考えています。要は、ビジネス・経営・サイバーの結びつきがより密接になるということです。会社が新規事業に乗り出す際には、すぐにCIOと議論して、それを守るために必要な新技術を導入したり、新しい機能を開発したりする判断を行えます。

──サイバーとビジネスの距離・結びつきについてお話しされましたが、Tenableが顧客へセキュリティ支援を行う際にも、やはりこの観点を大切にしているのでしょうか。

フーバー氏:おっしゃる通りです。我々が提供するのは、エクスポージャー管理、すなわち脆弱性やIT資産を可視化・管理するソリューションです。加えて、可視化した脆弱性の評価・分析も自動で行い、ユーザーのビジネスにおける重要度と組み合わせて、より迅速に、そして的確に優先順位付けする支援を行います。これにより、リソースの限られた組織でも、より重要な課題に集中できるようになります。

 「経営を揺るがすリスク」と聞いたときに、皆さんが真っ先に思い浮かべることは何でしょうか。財務、法務、評判、ブランド、規制……きっと、その答えは様々でしょう。しかしサイバーセキュリティの問題は、これらすべてのリスクに大きな影響を与える可能性があります。そのため、Tenableは単なる技術的な対策だけでなく、経営やビジネスとリンクしたセキュリティ管理を支援し、組織がより効果的にリスクに対処できるようになることを念頭に置いているのです。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

名須川 楓太(編集部)(ナスカワ フウタ)

2022年よりBiz/Zineで取材編集や執筆を担当。2024年4月、EnterpriseZine編集部に加入。サイバーセキュリティ、データ・テクノロジーに携わる方、テクノロジーによる変革を牽引するCIOやCDO、CISOに向けた情報を発信します。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20281 2024/10/30 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング