米セキュリティ企業のProofpointで最高経営責任者(CEO)を務めるAshan Willy氏は、企業が抱えるセキュリティリスクの中でも、特にサプライチェーン(供給網)への関心が高まっており、日本独特の点に課題があると指摘する。同氏にその背景やビジネスの取り組みなどを聞いた。
同社では、2022年3月に、創業時から19年間CEOを務めたGary Steele氏が退任し、セキュリティ製品・サービス担当エグゼクティブバイスプレジデント兼ジェネラルマネージャーだったWilly氏が昇格した。同氏は、以前にWebex(現Cisco Systems)やJuniper Networks、Polycom(現HP)、Ciscoで上級管理職を務めるなど、25年以上の業界経験を持つ。現職就任後の来日で参加した日本の顧客企業の最高情報セキュリティ責任者(CISO)を招いてのカンファレンスで、上述の課題感を強く認識したと述べる。
Proofpoint 最高経営責任者のAshan Willy氏
「日本のCISOの皆さんは、サプライチェーンのセキュリティリスクに強い関心が抱いていることが分かった。日本企業のサプライチェーンは世界的にとても複雑な構造であり、1社が多数の企業と取引をしている。サプライチェーン全体のセキュリティを強化するにも、大手の1社からガバナンスを効かせるというのは難しく、サプライチェーンに参加する各社がそれぞれに意思決定し対策を講じなければならない点が課題だと感じている」
サプライチェーンにおけるセキュリティリスクが世界的な関心事になったきっかけは、2020年に発生したSolarWinds製品に対するハッキング事件だと、Willy氏は指摘する。この事件では、国家的な支援を受けているとされる攻撃グループがIT製品の脆弱性を悪用して、製品を利用する企業のIT環境を侵害した。
ただ、このケースにおけるサプライチェーンのセキュリティリスクは、主にIT製品に関するものだが、現在の企業が懸念するサプライチェーンのセキュリティリスクとは、ビジネスとしてのつながりがサイバー攻撃で侵害され、ビジネスの健全性が損なわれてしまうものだ。
「最近のさまざまなハッキング事件では、自社ないし取引先の正規のID情報が攻撃者に悪用され、攻撃者がID情報で正規のユーザーになりすましてIT環境へ侵入し、侵入範囲を広げて権限を奪い、不正に権限を昇格させ、ランサムウェアを設置するという流れが共通パターンになっている。IDをいかに守るかが鍵になる」
このため同社は、直近でIDに対する脅威の検知と対応(ITDR:Identity Threat Detection and Response)ソリューションを手がけるIllusiveを買収した。Willy氏によれば、ITDRは、EDR(エンドポイントでの脅威の検知と対応)などとは異なる新しいソリューションだといい、IDをベースにしてIT環境でのさまざまな振る舞いを監視、分析し、不審な兆候を検知すると、より強固な監視や検査、当該IDの隔離といった対応が取れるとする。「特に日本のサプライチェーンのセキュリティリスクに対する有力なソリューションになると期待している」
Proofpointは、メールセキュリティや認証、情報漏えい防止などの各種セキュリティ機能をプラットフォームとして統合、提供し、必要に応じて個別にも利用できるようにしている。Willy氏は、IllusiveのITDRについても向こう6カ月ほどを目標に、Proofpointのプラットフォームの一部あるいは単体で利用できる提供方法を検討していると話す。
