脆弱性管理を中心としたセキュリティソリューションを手がけるTenable Network Security Japanでカントリーマネージャーを務める貴島直也氏は、セキュリティ対策の基本の一つに脆弱性への対応があり、その基本を着実に行うことが、サイバーセキュリティリスクの低減につながると話す。
Tenable Network Security Japan カントリーマネージャーの貴島直也氏
貴島氏は2021年5月に就任し、前職ではRSA Security Japanのカントリーマネージャー、RSA SecurityがDell Technologiesグループから独立する2020年までEMCジャパン 執行役員 RSA事業本部 ゼネラルマネージャーなどの要職を歴任した。IT業界での経験は25年以上になる。
企業・組織のリスク管理の観点でサイバーセキュリティは、あまたあるリスクの一つに過ぎないが、ビジネスとITが深く交わる現代では重要性が高い。また、幾つもの方法があるセキュリティ対策の中で脆弱性への対応は、サイバー攻撃などによるリスクの顕在化を抑止する上で、最も基本的かつ大切な取り組みといえる。
だが、ITの製品や技術が人の手で生み出される以上、脆弱性は無くならない。発覚した脆弱性を迅速に修正してリスクが顕在化する状況を解消する作業を繰り返すことは負担であり、どこかで抜け、漏れが起きてしまい、それがきっかけでセキュリティのインシデントが発生することもある。
貴島氏は、これまでのキャリアでこうした脆弱性対策のジレンマを感じてきたという。「現在のコロナ禍にあってもIT、デジタルは社会を支える基盤であり、守らなければならないもの。そのためTenableへの参加を決めた」と話す。
TenableがForrester Consultingと行った調査では、「自社のセキュリティとリスクに自信がある」と答えたセキュリティ責任者は、10人のうち4人という割合だった。「日本企業は、システム開発の段階では脆弱性対策にとても注力している。ただ、本番環境では、稼働などへの影響を懸念してパッチの適用がとても難しい」(貴島氏)といい、運用時における脆弱性対策の負荷をいかに下げるかがポイントになる。
このため、2月にリリースした「Tenable Exposure Platform(Tenable.ep)」では、IT資産の洗い出しと脆弱性の可視化、リスク評価に基づく対応方法や優先順位などのアドバイスを行えるようにした。
またサイバー攻撃では、攻撃者がユーザー権限を奪取して、侵入範囲を広げたり、情報窃取やシステム破壊などを行ったりすることが多い。従来は、脆弱性の悪用がその発端となりがちだったが、現在はフィッシングなど多様化し、認証情報の保護が重要になっている。この点に対しては、2021年2月にMicrosoftのActive Directory向けのセキュリティ対策を手がけるフランスのAlsidを買収し、同社の技術を取り入れた「tenable.ad.(Active Directory)」を展開していくという。
加えて、産業制御システム(OT)のサイバーセキュリティにも事業領域を広げる。貴島氏は、5月に発生した米石油パイプライン大手のColonial Pipelineに対するランサムウェア攻撃などを挙げ、重要インフラを支えるOTでのセキュリティリスクの高まりを指摘する。OTでは、高度な情報処理への対応やコスト削減などの観点から、近年にITの技術要素が取り入れられつつあり、サイバー攻撃による被害の顕在化の一因になっているとも考えられている。
「専門性の高いOT領域では、これまでITセキュリティ管理者が関わることが難しかったが、ITとOTの両面でセキュリティ対策に取り組む必要性が高まっている。OTのシステムの情報にも対応することで、両者が1つのコンソール画面を通じてセキュリティの状態を把握、共有し、対策を講じていけるようにしていく」(貴島氏)
脆弱性は、狭義ではIT製品の安全性が損なわれる技術的な欠陥を指すものの、現代ではサイバーセキュリティのリスクを顕在化させるさまざまな要因として広義的に捉えた方が、その対策の必要性が分かりやすいだろう。
貴島氏は、今後の同社のかじ取りにおいて、「セキュリティ対策の基本でありながら継続的な実践が難しい脆弱性への対策を支援していきたい」と抱負を語る。