ポイントは“濃淡をつける”こと? 煩雑化する脆弱性対応のコツ
企業のDX推進が加速する中、デジタルサービスやシステムの数は増加の一途をたどっており、技術的にも複雑化が進んでいる。これにともない、セキュリティ部門や担当者の業務領域もますます広がり、業務の難易度も上昇する一方だ。阿部氏はこの現況を説明した上で、具体的な2つの課題を指摘した。
1つ目は、サプライチェーンセキュリティの課題。DXが叫ばれ始めた初期の段階では、企業内部におけるデジタル変革が取り組みの中心とされていたが、今やDXは企業の垣根を越えた変革へと発展している。このような中で問題に挙げられるのが、つながっている企業群のうち1社でもセキュリティ対策が弱い箇所があれば、そこが攻撃の起点として利用されてしまう危険性だ。
この課題に対応すべく、政府も対策を講じている。阿部氏は2024年9月に経済産業省が企業のセキュリティ対策を格付けする新たな制度を始める方針を発表したことに言及し、「サプライチェーン上のセキュリティ対策レベルを共通の指標と段階で評価しようとする取り組み」だと説明した。
2つ目の課題は、セキュリティ対策の難易度上昇と業務量の増加だ。Webアプリケーション、Webサーバー、ネットワークなどの幅広い領域において、侵入検知、脆弱性診断、インシデント対応など、実施すべき対策は多岐にわたり、それぞれに専門的知識が要求される。阿部氏は多くの企業担当者が同様の困難を感じていることに触れた。
これら2つの課題に対し、阿部氏は「戦略的思考」による対応策を提唱する。これは重要度に応じて対応すべき課題に「濃淡」をつけるアプローチだ。重要な“濃い”領域には専門家の知見と十分なリソースを投入し、それ以外の“淡い”領域はできるだけリソースを抑えながらも対応を怠らない戦略である。
とはいえ、実際には“濃い”領域の課題に対応する専門人材のリソースは限られている。“淡い”部分と位置づけた領域でも対応すべき事項の数は多く、“濃い”領域に比べて人的・金銭的リソースは限られてしまう。結果として、全体で見たときの負担は決して小さくない。そこで有効な対策として阿部氏が挙げるのが、AIの活用による業務自動化と内製化だ。
「AIを活用することで業務の一部を自動化したり、それによってセキュリティ対策の一部を内製化したりできれば、数の多い“淡い”部分にも対応できるのではないでしょうか」(阿部氏)
