イラン情勢でサイバー紛争が激化、インフラへの物理的攻撃も発生──企業や公共のIT環境に生じ得るリスク

どんな対策に着手すべき？ 企業や公共、各国政府が学ぶべき教訓

──今回のような出来事から、企業の経営者やCIO（最高情報責任者）、CISO（最高情報セキュリティ責任者）、さらにはIT企業などが学ぶべき教訓とは何でしょうか。

バーレット氏：サイバー空間での紛争は“誰もが標的になる”ということは前提として認識すべきです。敵対行為が続く間は「戦闘員か、非戦闘員か」という区別は適用されません。そのため、他人事とは思わずにサイバー防御には真剣に取り組むべきです。基本的なサイバーハイジーンから始まり、“Assume breach（侵害を前提とする）”な対策までを実践しましょう。攻撃が成功してしまうことを想定してセキュリティの計画を立て、予防策だけでなく“被害を最小化する”対策を講じるのです。

──アジア情勢も緊張が高まっています。ダメージを最小限に抑える対策として、何に着手すべきでしょうか。

バーレット氏：被害のBlast Radius（影響範囲）を限定するための統制を導入することが必要です。Illumioが採用・提供しているような、ラテラルムーブメント（横展開）を阻止することに焦点を当てた“侵害封じ込め”のアプローチも、被害の最小化を前提として設計されています。ただ、多くの組織は未だ“予防”に固執しているのが現実です。

　予防と検知の時代はすでに終わっています。サイバー攻撃はあまりにも頻繁かつ洗練されており、それらを阻止する、あるいは迅速に特定するのは困難です。組織は「侵害が不可避である」という現実を受け入れ、その影響を封じ込めることに注力しなければなりません。

──今回の中東を取り巻く紛争や、それと関係するセキュリティ、レジリエンスなどの動向で、バーレットさんが特に関心を寄せていることはありますか。

バーレット氏：企業や公共、各国政府が、これを機にサイバーセキュリティに対する考え方を変えられるかどうかに注目しています。今回の紛争とそれにともなうサイバー空間での報復は、“警鐘”となるはずです。

　私たちは、世界規模で接続されたサイバー環境の中で活動しています。そして、そのサイバー環境は私たちの屋台骨であると同時に、アキレス腱にもなっています。誰一人として安全圏にはおりません。紛争時における従来の規範、すなわち国際的な戦争法を含むルールは、サイバー空間ではもはや適用されないように思えます。攻撃の実効性も高まっています。となると、より強固なサイバー防御の必要性が一層浮き彫りになるわけですが、こうした取り組みは、他の“緊急に見える”優先事項の後回しにされてしまうのです。