脆弱性管理ソリューションを展開する米Tenableで会長兼最高経営責任者(CEO)を務めるAmit Yoran氏が12月6日、都内で記者会見を行い、サイバーセキュリティ動向について見解などを説明した。
Yoran氏は約30年の業界経験があり、米国土安全保障省(DHS)傘下のサイバーセキュリティ組織「US-CERT」の初代トップやRSA Securityの社長などの要職を歴任している。現職では今回が初来日という。
同氏は、あらゆる企業や組織がサイバーセキュリティの課題に直面し続ける中で、攻撃や侵害などの脅威に対処するには、IT資産の脆弱性の解消といったセキュリティ対策の着実な実践を通じて健全性を確保する「サイバーハイジーン」(サイバー衛生)が重要だと述べる。
同社は約5万社の顧客に対して、脆弱性管理プラットフォームの「tenable.io」やMicrosoftの「Active Directory」向けセキュリティ管理ツール「tenable.ad」、産業制御システム向けセキュリティ管理ツールの「tenable.ot」など展開。10月には、各種資産の可視化とセキュリティ管理を担うサイバーエクスポージャー管理プラットフォーム「Tenable One」の提供も開始した。
米国では、特に重要インフラ組織における脆弱性管理の強化が政府から要請されるなど、サイバーセキュリティの実践がますます重要になるばかりで、Yoran氏は「完璧なセキュリティの実現というのは難しいが、サイバーハイジーンへの取り組みによって脅威に備えることができ、検知や対応をより高い精度で実現することができる」などと述べた。
また、5月にはJoe Biden米大統領がサイバーセキュリティ対策の強化を目指す大統領令に署名し、脅威対策や脆弱性管理を含むソフトウェアのサプライチェーンセキュリティ強化などが米国のあらゆる組織に求められるようになった。昨今では業種業界を問わずデジタル技術を活用した新しいビジネスを展開する取り組みが拡大し、ITベンダー以外の組織がモバイルアプリやオンラインサービスなどを開発、提供する動きも広がっている。
ソフトウェアのサプライチェーンセキュリティでは、ソフトウェア製品に内包されるさまざまなコンポーネントやライブラリーなどに存在する脆弱性対策が重要になる。この点についてYoran氏は、「当社のソフトウェア製品・サービスにおけるセキュリティ対策についはもちろん積極的に取り組み、情報も常に発信しているが、ソフトウェアのサプライチェーンセキュリティが今後あらゆる企業が長年に渡って直面し続けることになりかねない重大な懸念事項になるだろう」と語った。
ソフトウェアの脆弱性は、発見・公表されるものだけでも日々多数あり、2021年12月に発覚した「Apache Log4j」のように利用者が多いと社会的な問題に発展する。Yoran氏は「世界的なITプラットフォームの企業ですら何十年も毎月多数の脆弱性に対処していることを見れば、IT以外の企業にとってソフトウェアのサプライチェーンセキュリティが非常に難しい取り組みなるのは明らかだろう」と指摘している。
会見では日本法人カントリーマネージャーの貴島直也氏が、2023年に予測されるセキュリティ動向も紹介。ランサムウェア攻撃では不正なデータの暗号化だけでなく機密情報の暴露や別の攻撃を組み合わせる多重化が進み、産業制御システム分野でセキュリティ対策支出が増大するだろうした。
また、日本でも企業利用が広がるSaaSアプリケーションへのサイバー侵害が増える恐れもあると予想し、貴島氏は、脆弱性対策を含むIT資産や情報資産を包括的に保護する取り組みが必要になると提起している。
米Tenable 会長兼CEOのAmit Yoran氏(右)と日本法人カントリーマネージャーの貴島直也氏