脆弱性は数万種類、プライオリティを決めることが対策の第一歩
──日本企業の多くは、脆弱性への対処の重要性を認識してはいるものの、なかなか有効な対策を打ち出せていない状況にあるのではと感じています。課題は何だとお考えでしょうか。
フーバー氏:攻撃者の侵害を許す脆弱性となる要素は、年々増加しています。2023年には2万5000以上の脆弱性が報告されており、今年はさらに増える見込みです。
こうした中で対策側がまず着手すべきは、先ほども申し上げた「プライオリティを決めること」です。数ある脆弱性の中で、特に自社にとって脅威となり得るものは何か。それを見極め、自分たちの組織やビジネスにとって最も生命線となる、重要なシステムを特定しましょう。そうして明確化になった重大な脆弱性と、重要なシステムの交点となる場所が、優先的に対処すべき領域です。
──セキュリティリーダーに求められる役割とは何でしょうか。
フーバー氏:自社のビジネス全体の重要性を理解し、各部門にとってどのシステムがクリティカルかを把握した上で、対処の優先順位を決める役割が求められます。加えて、経営者をはじめとする組織のリーダーも、サイバーリスクが経営・事業の存続に直結する問題であることを認識する必要があります。
米国の上場企業はサイバーリスクの開示が義務、セキュリティリーダーは経営会議に参加
──米国やイスラエルのようなサイバー先進国と比べると、日本では軍(自衛隊)と民間の距離が離れていたり、安全保障や地政学の教育が浸透していなかったりと、セキュリティリテラシーにもマイナスの影響を及ぼしそうな文化的土壌があります。企業の中にも、サイバーインテリジェンスに精通した方はほとんどいません。フーバーさんがいらっしゃる米国ではいかがでしょうか。
フーバー氏:米国では、エネルギー産業や金融業をはじめ、業界ごとに独自のルールや規制を敷きながらサイバーセキュリティが推進されています。最近では、証券取引委員会(SEC)もサイバーセキュリティのガバナンス要件を導入しました。ですから国全体として、セキュリティリーダーが経営層とともに意思決定の場に参加する場面も増えています。
さらに、米国の上場企業は定期的にリスク要因を国へ開示・提出しなければなりません。サイバーリスクもその中に含まれています。あらゆる上場企業が、サイバーセキュリティプログラムに関する情報なども開示しているのです。
Tenableの場合は、CSOである私がCEOに直接報告を行い、CFOやCIO、CLO(最高法務責任者)とともに経営課題として議論を行います。これは何も変わったことではなく、米国全体でセキュリティリーダー(CSOやCISO)がCEOに直接報告することが一般的になりつつあります。
──日本企業では、CSOやCISOを設置している企業はごく少数です。経営層にセキュリティリーダーを設置するメリットとは、脅威に対する迅速な意思決定を下せる点でしょうか。
フーバー氏:もっと具体的に述べると、新しい市場への参入や新製品の発売、あるいは社内での重要な方針転換などがある際に、他のCxOから出た情報や洞察を的確に把握できるため、セキュリティにおいても迅速にキャッチアップとアクションができる点がメリットだと考えています。要は、ビジネス・経営・サイバーの結びつきがより密接になるということです。会社が新規事業に乗り出す際には、すぐにCIOと議論して、それを守るために必要な新技術を導入したり、新しい機能を開発したりする判断を行えます。
──サイバーとビジネスの距離・結びつきについてお話しされましたが、Tenableが顧客へセキュリティ支援を行う際にも、やはりこの観点を大切にしているのでしょうか。
フーバー氏:おっしゃる通りです。我々が提供するのは、エクスポージャー管理、すなわち脆弱性やIT資産を可視化・管理するソリューションです。加えて、可視化した脆弱性の評価・分析も自動で行い、ユーザーのビジネスにおける重要度と組み合わせて、より迅速に、そして的確に優先順位付けする支援を行います。これにより、リソースの限られた組織でも、より重要な課題に集中できるようになります。
「経営を揺るがすリスク」と聞いたときに、皆さんが真っ先に思い浮かべることは何でしょうか。財務、法務、評判、ブランド、規制……きっと、その答えは様々でしょう。しかしサイバーセキュリティの問題は、これらすべてのリスクに大きな影響を与える可能性があります。そのため、Tenableは単なる技術的な対策だけでなく、経営やビジネスとリンクしたセキュリティ管理を支援し、組織がより効果的にリスクに対処できるようになることを念頭に置いているのです。