経営層に「今の危険度」を伝えるために - 全社一丸の能動的サイバー防御へ、KELAの解
「能動的サイバー防御」が急務となる中、経営層はセキュリティ対策のサイロ化と投資対効果の不透明さという課題を抱えている。KELAはCTI、CTEM、TPRMを統合するダッシュボードを発表した。自社の防御体制をスコアで可視化し、現場の具体策までシームレスに連携する。経営と現場の認識を揃え、全社一丸のサイバー防衛を実現する。
法制化が迫る「能動的サイバー防御」と経営の責務
2026年度の法制化を見据え、日本国内でも「能動的サイバー防御(アクティブ・サイバー・ディフェンス:ACD)」の検討が本格化している。サイバー攻撃は今や、あらゆる企業の事業継続を直接的に脅かす経営課題だ。
KELA 執行役員社長 兼 COOの廣川裕司氏は、急増する被害の規模について次のように警鐘を鳴らす。
「2025年のランサムウェアによる被害額は世界で約9兆円に達しました。10年前の約500億円から100倍以上に被害が広がっています。さらに予測では、5年後にはこれが現在の5倍、40〜45兆円規模にまで拡大すると言われています。2025年は日本でも、数千億円の利益が吹き飛んだり、単月で売り上げ300億円が失われたりする深刻な事例が起きました」(廣川氏)
年間約5万件もの新たな脆弱性が発見される現在、従来の対策ではどうしても後手に回りがちだ。
同社リージョナルプロダクトマネジャーの橋本賢一郎氏は、「侵害されることを前提とした受動的なサイバー防御から、攻撃が始まる前の段階にフォーカスした『アクティブなサイバー防御対策』へと転換し、侵害時のトータルコストやリソースを最小化していく必要がある」と指摘する。
「セキュリティのサイロ化」と「不可視な投資対効果」
能動的サイバー防御の重要性が叫ばれる一方で、多くのCIOやCISO、経営トップは深いジレンマを抱えている。それは、「多額のセキュリティ投資を行っているにもかかわらず、自社が今どれだけ安全なのか、その投資対効果が見えない」という問題だ。
廣川氏は、就任以来何百人ものCISOやCIOと面会した経験から、次のように語る。
「企業のトップや責任者の方々の意見を聞くと、日本企業からの最大の要望は『サイバーセキュリティ対策をどこまでやれば、どれだけ投資効果が上がるのかを見える化してほしい』というものでした」(廣川氏)
現在、アクティブなサイバー防御に向けた対策が徐々に広がりを見せている。自社のIT資産の脆弱性管理(CTEM:Continuous Threat Exposure Management)、ダークWeb等に潜む脅威インテリジェンス(CTI:Cyber Threat Intelligence)、そして自社よりセキュリティが手薄になりがちな関連会社や取引先を狙うサプライチェーンリスク管理(TPRM:Third-Party Risk Management)など、多角的な監視に着手する企業が多い。
しかし、問題は、これらの対策ツールが個別に導入され、管理するチームも分断される「サイロ化」が起きている点だ。「CTEMはAチーム、CTIはBチームとそれぞれ専門性を持って実行されているため、バラバラのアラートが散発的に上がるのみで、経営陣が全社のリスクを俯瞰して判断することが極めて困難になっている」(橋本氏)のが実態だ。
サイロ化を打破するKELAの「統合」と「見える化」の価値
こうした経営層の課題を前にしてKELAが発表したのが「アクティブサイバー統合パッケージソリューション」である。
これまでバラバラに運用されていた「外部の脅威(CTI)」「社内システムの脆弱性(CTEM)」「サプライチェーンリスク(TPRM)」の3領域を1つのパッケージとして統合し、その中核として「アクティブサイバー経営管理ダッシュボード」を提供する。
廣川氏はこの新製品について、「ITの現場だけでなく、会社全体の経営視点で、企業全体の脅威とリスクを可視化できるソリューションだ」と自信を見せる。
このダッシュボードは、自社のサイバー防御体制を「100点満点のスコア」として直感的に提示する。「業界標準値なども確認できるので、この数値を見れば、今自分の立ち位置がどこにあるのかが一目で分かるようになります」と橋本氏は説明する。
評価は「戦略的な成熟度」「運用の健全性」「エクスポージャー(露出している脅威)とインパクト」「是正のためのアクション」という4つの階層で構成される。
「単純な足し算でスコアを出しているわけではなく、それぞれのカテゴリーや脅威の重要度などを全て統合し、正しい計算式を組んで算出している」(橋本氏)
さらに、同業他社とのベンチマーク比較も組み込まれており、業界内での自社の立ち位置を客観的に評価することが可能だ。
経営から現場までを貫く「ドリルダウン」と合理的なコスト最適化
ダッシュボードは、単なる経営層向けの可視化ツールにとどまらず、現場の具体的なアクションへとシームレスに「ドリルダウン(深掘り)」できる設計だ。
「経営層が全体を管理できるだけでなく、そこからドリルダウンしていくことで、現場の運用担当者が『これを是正しましょう』と具体的なアクションに落とし込んでいけるプラットフォームになっています」(橋本氏)
ダッシュボード上で、問題が検出された、スコアの低い領域をクリックしていくと、最終的には「最も危険度の高い脆弱性」のリストに到達し、その問題点が本当に自社環境の脅威として有効なものなのかどうかを検証するためのコードまでが取得できる。経営層が把握した「全体のリスク」が、そのまま現場の「対策実行」へと直結する仕組みだ。
さらに、運用統合によるコスト効率化の効果も見込める。
廣川氏は「3つのソリューションを統合パッケージにすることで、運用の負担が縁、本当に重要なピンポイントのリスクにアクセスできるようになります。結果として、個別に導入するよりも大きなコスト削減につながります」と強調する。
なお、KELAのソリューションは、統合した機能群を一括で導入させるアプローチとは異なり、企業規模や必要な対策レベルに応じて個別に選択できる柔軟性を備えている。まずは最小構成で効果を見ながらといった利用も可能なため、予算と成熟度を考慮しながら導入可能だ。
「サイバー防衛」は経営と現場の共通言語になる
サイバー攻撃の手法が日進月歩で進化する中、現在のセキュリティ対策は「この間確認したので大丈夫」とはいかない。常に自社の状態を測定し、是正し続ける継続的なプロセスこそが防衛の要となる。橋本氏も「経営者は、1年に1回チェックするのではなく、継続的にこの値を見てアクションが必要か判断していただきたい」と呼びかける。
イスラエルの国防サイバー部隊をルーツに持つKELAの脅威インテリジェンス(CTI)は、ダークWebなどで自社の機密情報が外部で売買されていないか、攻撃の予兆や噂が立っていないかをエージェントのように探り出す独自性の高いソリューションだ。しかし「見えない脅威を追う」という性質上、導入の有効性が事前に分かりづらく、投資に二の足を踏む企業も多かった。
だが、今回のように脆弱性管理(CTEM)やサプライチェーンリスク管理(TPRM)とともに統合パッケージとして組み込まれることで、CTIにも自然と目が行くようになり、その価値が経営層へ伝わるようになる。
KELAの「アクティブサイバー統合パッケージソリューション」は、「サイロ化されたセキュリティ運用」という長年の壁を壊し、不可視だった脅威と投資効果を「見える化」する。経営と現場の間でサイバー防衛の認識を揃えるツールの1つとして有効ではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
専門学校教員からNECのCISOに! 「人生は筋トレ」、訓練は超難題 - NEC 淵上氏
異色の経歴を持つNECの淵上氏。自社を実験場とする「クライアントゼロ」を実践し、水道のように誰もが意識せず安全にITを使える世界の実現を目指す
絵画の傾きを皆で調整するな! 鳥瞰力で推進するリーダー - 村田製作所 楠本氏
物流や製薬など多業界でIT推進を担ってきた、村田製作所 楠本氏は、細部への固執より、全体を俯瞰する「鳥瞰力」の重要性を説く
子供の夢をYouTuberからホワイトハッカーに! 具現化を進めるCISO - GMO 牧田氏
「人を助ける」原体験から「日本全体を守る」使命へ。DEF CON Cloud Village 3連覇の牧田氏が語る、攻めのセキュリティとCISOの役割tとは
「人に配慮した、厳しくも前向きなセキュリティ環境づくり」 - ライフネット生命 竹山氏
機微情報を扱うネット生保で開発とセキュリティを担う竹山真人氏。非IT人材を巻き込むCSIRTや親身な相談窓口で全社のセキュリティレベルを底上げしている
「CISOの役割は、緩める責任を負うこと」-freee CISO 茂岩氏
創業期から支えたDeNAの経験を活かし、freeeのCISOとして活躍する茂岩祐樹氏は、CISOの責任として「セキュリティを適切に緩めること」と答える