NISTフレームワークに基づくIBMのセキュリティアプローチ
──マーク・ヒューズさんは現在、数千人規模のセキュリティチームのリーダーとしてご活躍されていますが、IBMセキュリティサービスのグローバル・マネージング・パートナーとしてのビジョンと役割についてお聞かせいただけますか?
私はサイバーセキュリティの専門家たちからなる非常に大きなチームを率いており、これは私にとって大きな名誉です。IBMのアプローチは、あらゆる事業にセキュリティを組み込むと同時に、特定のセキュリティサービスに注力することです。
世界でこれほどの規模と能力を集中させている組織は非常に少ないといえるでしょう。IBMのセキュリティビジネスのビジョンはシンプルです。私たちのクライアントは常に複雑な攻撃に直面しています。そういった中で、より良く安全な世界を作ることがIBMのビジョンです。大企業により高度なサイバーセキュリティコントロールとサービスを提供することは、私たちが目の当たりにしている攻撃やその洗練度の高まりに対抗するために喫緊のニーズとなっています。
私はクライアント企業に実際に違いを生み出せるチームと能力を持っていることは非常に恵まれていると考えています。
──IBMは非常に広範なセキュリティ領域をカバーされていると思いますが、グローバルな組織構造と、特に注力されている領域についてご説明いただけますか?
私たちは非常に広範なサービスや製品領域をカバーしています。その中で特に、クライアントのニーズに焦点を当てています。
そこで、セキュリティに関する一般的に受け入れられているフレームワークとして、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークがあります。IBMはこのフレームワークに沿ってサービスを構築しています。
最初の領域は、クライアントがどこでどのようにリスクにさらされる可能性があるかを特定するのを支援することです。組織はますます規制当局に証明する必要があり、セキュリティ担当者は役員会にリスク特定と軽減の状況を示す必要があります。私はまだ多くの組織がリスクをどう認識すべきか理解するのに苦労していると感じています。
2番目の領域は組織を保護するサービスです。リスクの可能性を理解した後、適切な保護対策をどう導入するかを考えるステップです。アイデンティティとアクセス管理、クラウドセキュリティ、インフラセキュリティなど、幅広い保護コントロールが含まれます。
3番目の領域は検出に関するもので、問題が発生しているかを検出できるようにすることです。情報を一元化できるセキュリティオペレーションセンターを設置し、問題発生時の対応方法を検討します。
最後に、インシデント対応があります。クライアントが問題に遭遇した場合、フォレンジック調査を実施し、何が起きたのかを突き止めるチームを用意しています。
──近年、企業が直面するセキュリティ要件は複雑化していると思いますが、特にリスク検出の現状についてはどのような見解をお持ちですか?
良い面と悪い面があります。良い面は、私たちが目にしている攻撃タイプの検出がより良くなってきていることです。情報共有が増え、政府機関が情報共有の中心点として機能し始めています。もう一つの朗報はAIとその活用によって検出業務が支援されるようになったことです。
一方、悪い面は攻撃がより洗練されてきていることです。最近では破壊的な攻撃も見られるようになりました。これは比較的新しい現象です。脅威アクターは複数の手法を同時に使用するという点で洗練されています。また、脅威アクター自身もAIツールを使って組織を攻撃しています。
例えば、AIの活用の悪い例として、フィッシングメールがあります。以前は読むことで違和感を感じる防御線がありましたが、今や完璧なメールが作成されるようになりました。より高度なレベルでは、脅威アクターはAIを使ってコードをリバースエンジニアリングし、脆弱性を見つけ出しています。
進化する脅威トレンドとサプライチェーン攻撃
──長年のサイバーセキュリティキャリアを通して、脅威トレンドがどのように変化してきたとお感じですか?特に最近の傾向について教えていただけますか?
より洗練され、より破壊的になってきていると思います。ランサムウェアの状況がその例です。当初、主な脅威はデータの悪用でした。その後、犯罪者たちは可用性をターゲットにして業務を停止させれば、より多くのお金を稼げることに気づいたのだと思います。
現在では、様々な手法が組み合わされることが多くなっています。脅威アクターは同じ攻撃の中で情報を盗み出すとともに、ランサムウェアも使用するケースが増えています。また、DDoS攻撃を気晴らし戦術として使い、別の攻撃を仕掛けてくることもあります。
攻撃の進化は、単純な情報窃取から、様々な手法を同時に組み合わせる方向へと進みました。しかし、多くの脅威アクターの目的は、組織をできるだけ早くパニック状態に陥れ、支払いを強制することです。
──こうした脅威の変化に対応して、IBMのセキュリティビジネスのポートフォリオも進化してきたのでしょうか?
脅威アクターはサプライチェーンを標的にするようになり、ミッションクリティカルな組織が自己防衛を強化するにつれて、脅威アクターは方向転換しました。そのため、私たちのビジネスアプローチもそれに合わせて変化せざるを得ませんでした。
私たちのビジネスの多くは、組織がサプライチェーン内のサプライヤーにアクセスして、サプライチェーン攻撃から安全を確保する方法に関するものです。ミッションクリティカルな活動に関わっていないように見える小規模な組織でも、重要なビジネスの一部であるため標的にされるケースが見られます。
