アサヒが突かれた脆弱性、日本企業の実態……Tenableが訴えるプロアクティブなセキュリティへの転換

今こそ“能動的なセキュリティ”へ転換する時、「防御ツールの分断も」課題に

　説明会には、同社の共同最高経営責任者（CEO） スティーブ・ヴィンツ（Steve Vintz）氏が来日登壇した。

　冒頭、「“変化”こそが唯一の恒久的な要素である」と述べるヴィンツ氏。進化を続けるテクノロジーや脅威、外部環境に適応し続けることは特別なことではなく、常に企業や人々が迫られることだとメッセージを送る。また、AIの普及により急速な大規模化・高速化・巧妙化を続けるサイバー攻撃に対し、リアクティブ（受動的）な対策では限界が訪れていると語る。

　「たとえば、侵害を検知してからレスポンスするという従来のエンドポイントセキュリティは、今日では適切な防御とは言えなくなっています。また、数年前のサイバー攻撃というのは、たとえば小売業などを狙ってクレジットカードの情報を盗むといった手口が多かったですが、今は水処理施設やエネルギー施設など、よりクリティカルなインフラを標的とした攻撃が目立つようになっています。単にお金を狙った攻撃ではなく、民主主義や社会のプロセスそのものに対して問題を引き起こすような攻撃です」（ヴィンツ氏）

　日本に視点を移してみると、2024年には200社以上がランサムウェアの攻撃を受けたと言われている。しかし2025年は、上期の時点で116件の報告が入っているとヴィンツ氏。この数は今後ますます増えていくことが予測される。同氏はこうした現状を踏まえ、「プロアクティブ（能動的）なサイバーセキュリティへの転換が必須だ」と訴える。そしてマインドとしても、製品やシステム、アプリケーションを作って後からセキュリティを考えるのではなく、最初の工程から“セキュリティファースト”でプロセスを進めていくべきだとした。

　またヴィンツ氏は、日本で進む能動的サイバー防御の環境整備の取り組みにも言及した。同氏は、政府と民間企業、そのどちらかだけでサイバー攻撃に対抗していくのは現実的に不可能であると述べ、官民連携でリスクと戦っていく日本の姿勢を評価。ただし、その際に認識すべきこととして「今やAIが武器となる時代に突入している」点を指摘した。また、デジタルフットプリントもさらに広範で巨大となっている。

　そこで重要となるのが「エクスポージャー管理」だとヴィンツ氏。能動的に先手を打ってセキュリティ対策を講じるためには、侵害を受ける前の段階でリスクを可視化・特定する必要があるからだという。加えて、増え続けるセキュリティツールにも警鐘を鳴らす。

　「セキュリティの重要性は日本でも急速に理解が進んでいますが、多種多様なセキュリティツールが普及し、たくさんのツールを導入するということになると、可視化という意味では分断化やサイロ化に陥ってしまいます。あらゆるIT環境や資産からアラートが飛んできても、数が膨大すぎてかえってノイズとなってしまうのです。それを手動で修復していくのは至難の業です」（ヴィンツ氏）

　Tenableのプラットフォームは、ユーザー組織にとって最も重要なアラートを特定し、被害が発生する前に重要なリスクに対処できるよう設計されている。また、運用のサイロ化や業務負荷の増大を防ぐために、単一の統合プラットフォームでITやクラウドから、工場のOTに至るまで広範なIT環境をカバーできるようになっている。「ノイズをできる限り排除し、最も重要な脆弱性から対処できる」と同氏は強調する。

　次に、説明会の後半ではバイスプレジデントのギャビン・ミラード（Gavin Millard）氏が登壇し、最近日本で発生したアサヒグループホールディングスなどへのサイバー攻撃事例の要因を分析・考察した。そして、攻撃者がどのような脆弱性を突いてくるのか、同様の手口に対しどのような対策が有効かを解説した。