レガシーシステムを刷新して新しいテクノロジーを導入すると、おのずとアタックサーフェスが拡大し、サイバー攻撃で狙われるIT資産も増えます。セキュリティ部門は、サイバーリスクを低減するだけでなく、万一侵害が発生した時の対応にも当たらなければなりません。Nasdaq の報告書によれば、侵害が公開された後に企業が被る被害の50%は、 長期的なコストであるとのことです。しかも詳細を見ると、厳しく規制されている重要な産業では、そのコストの31%が侵害後2年目に発生し、さらに24%が3年目以降に発生するという、実に不都合な事実が明らかになっています。
では、このように組織の弱体化を招く恐れがあるということを分かっていながら、なぜサイバー攻撃の被害を受ける組織が後を絶たないのでしょうか。企業は、今日のあらゆるモノがインターネットにつながっている世界に対応した、十分なサイバーリスク管理を実行しているのでしょうか。もしくは、何らかの盲点があるのでしょうか。
まず、現実に目を向けてみましょう。企業のサイバーセキュリティ関連の予算は過去2年間、増加の傾向をたどっているにもかかわらず、サイバーリスクを完全に軽減したと答える最高情報セキュリティ責任者(CISO)は、40%に満たない状況です(PDF)。なぜなら、妥当なレベルのリスク態勢を確立するには、脅威の検出と抑制におよそ130個のツールが必要になるからです。そのような多数のツールを使うと、サイロ化されたデータが山のように生成され、数え切れない量のスプレッドシートに出力されて、セキュリティ担当者が読み取れない状況に陥ります。
簡単に言えば、CISOにとって障壁になっているのは、アタックサーフェスの拡大ばかりでなく、対応に必要なセキュリティツールが膨大な数である、ということです。この大きな問題の解決策の一つとして、「的確なサイバーエクスポージャー管理」が挙げられます。
いま必要なのは、自動化されたプロアクティブなアプローチを備えるサイバーエクスポージャー管理です。CISOやビジネス情報セキュリティ責任者(BISO)は、自社の脅威環境を確実に把握しなければなりません。脆弱性やクラウド内の設定ミス、インターネットにさらされている資産、ウェブアプリケーション、攻撃経路の分析などの理解が必要です。さらに、市場や同業他社との比較から得られる知見も必要です。そして企業は、リスクが何かという理解だけでなく、一歩進んで、サイバーエクスポージャーを軽減し管理する方法を学ぶ必要もあります。
統合されたサイバーエクスポージャー管理プログラムがあれば、CISOも実務担当者も、今後予想される脅威の特定、保護、検出、修正、対応、復旧の要求に先手を打って対応しやすくなります。セキュリティの実務担当者や管理担当マネージャー、最高責任者が享受するメリットを次に示します。
