コロナ禍で企業は、リモートワーク対応などのためにさまざまテクノロジーを新規導入したが、サイバーセキュリティの点では、リスクをさらに高めた可能性があるという。そう指摘するのは、世界経済フォーラムのサイバーセキュリティ委員会メンバーを務める米Kyndryl セキュリティ&レジリエンシーグローバルプラクティスリーダーのKris Lovejoy(クリス・ラブジョイ)氏だ。
Lovejoy氏は、前職のEYでグローバルコンサルティングのサイバーセキュリティリーダーとして大手企業などのセキュリティ戦略を担当し、それ以前は脅威対策ベンダーのBluVectorの創業者兼CEO(最高経営責任者)を経験。それ以前は、IBMでグローバル最高情報セキュリティ責任者などの要職を歴任した。セキュリティの現場もトップマネジメントも熟知するだけに、現在の企業のセキュリティ対策環境がとても脆弱な状態にあると危機感を募らせているという。
Kyndryl セキュリティ&レジリエンシーグローバルプラクティスリーダーのKris Lovejoy氏
「企業には多種多様なシステムが複雑かつサイロ化した状態で存在し、そこにコロナ禍への対応としてクラウドの新たなシステムが追加されることとなり、以前にも増して複雑化している。サイバー攻撃などの脅威に狙われる領域(アタックサーフェス)がさらに拡大し、セキュリティリスクがより高まることとなった
Lovejoy氏によれば、コロナ禍を経て複雑怪奇と化すシステムのセキュリティ運用に自信を持てなくなった企業が60%にも上る。同氏はまた、日本企業のセキュリティ課題として、業務システムを諸外国より長く利用する傾向を指摘する。「30年近く同じシステムを使い続け、業務のやり方も古いシステムに合わせたままにしている。これが日本企業特有のセキュリティリスクになるだろう」
また日本企業では、経営層とセキュリティ対策の現場の隔たりも依然として大きな課題だという。「サイバーセキュリティは経営戦略の1つ」と叫ばれて久しいが、経営層と現場の間のセキュリティ対策に関するコミュニケーションがそれほど活発になっているようには見えず、セキュリティ対策の推進がされにくい状態が続いている。
米国企業は日本企業よりもセキュリティ対策が進んでいると言われるが、Lovejoy氏は「経営層に対する規制当局からのプレッシャーが大きい」と述べる。
経営層がセキュリティへの意識を高める機会は、大きく(1)自社でセキュリティインシデントが起きること、(2)規制当局などの要請、(3)同業他社やビジネスパートナーで発生したセキュリティインシデント――の3つがあるとLovejoy氏。「米国では証券取引委員会(SEC)などが経営層に対して、自社のセキュリティ対策状況を適切に把握することを強く求める。そのため経営層は現場と連携してセキュリティ状況を理解し、万一のインシデントに対応するプロセスを整備するなどのリスクコントロールを徹底している。本当の意味で企業のセキュリティのリーダーは、CISO(最高情報セキュリティ責任者)ではなくCEO(最高経営責任者)になる」
(1)と(3)は、企業が実際にセキュリティ対策の強化に乗り出す機会になることが多い。だがLovejoy氏は、この2つもセキュリティ対策を複雑にさせていると指摘する。
「インシデントの原因を解決するためのセキュリティソリューションを導入することにより、セキュリティ対策の全体で見れば、対策の分断を招いてしまう。もはや企業には数十、数百のセキュリティツールが導入され、ツールごとに担当者が配置され、バラバラに運用管理されている。そのギャップがセキュリティのリスクになってしまう」