セキュリティに悩む経営層の「よろず」相談窓口に–マンディアント日本代表の内山氏

今回は「セキュリティに悩む経営層の「よろず」相談窓口に–マンディアント日本代表の内山氏」についてご紹介します。

関連ワード （トップインタビュー、経営等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　セキュリティサービス企業のMandiantは、6月に日本法人（マンディアント）のカントリーマネージャーとして、デロイト トーマツ サイバーでトップマネジメントに対する危機管理の支援を手掛けた内山純一郎氏の就任を発表した。同社は近年に資本など大きく様変わりしており、内山氏に現マンディアントとしての日本市場の事業戦略などを聞いた。

　Mandiantは2004年に創業し、セキュリティインシデントの対応支援や脅威分析に基づくインテリジェンス情報の提供、各種コンサルティングを主要事業とする。2013年に旧FireEye（現Trellixの一部事業）に買収され、FireEyeの1つの事業部門になったが、2021年にはそのFireEyeから分離し、独立企業となった。ところが今度は、2022年3月にGoogleがMandiantの買収を表明。米国時間9月12日に買収が完了し、Google Cloud傘下の企業となった。

　なお、本記事の取材はGoogleの買収完了直後に行った。取材時点でGoogleとのセキュリティビジネスに関する具体的な情報はまだ発信できないとのことだったが、内山氏は、「Googleと一緒に手を取り合いながらサイバーセキュリティを推進していけることを期待している」と述べた（同社の日本語による公式コメント）。

　内山氏は、国内企業や組織に対するサイバーリスク管理のコンサルティングや大規模インシデントの対応支援を多数手掛けてきたという。マンディアントへの参画理由は、「日本ではサイバーリスクのガバナンスを苦手としている組織が多く、これまでのコンサルティング経験を生かして企業や組織のセキュリティレベルの向上に貢献したいと考えていた。マンディアントは世界的に高く評価されるセキュリティの経験や知見を有しているだけに、この強みとともに、日本が苦手としている部分にリーチしていく」と話す。

　企業や組織において、サイバーセキュリティが経営課題と叫ばれるようになって久しい。だが内山氏は、「サイバーセキュリティの重要性を認識していると話す経営層でも実際の備えが十分に行えているという組織は少ない。近年までは、実際にインシデントや被害を経験してようやくセキュリティに本腰を入れるケースが多かった」と話す。

　ただ、そうしたセキュリティに対する経営層の感覚もコロナ禍で変化しつつあるという。リモートワーク環境の脆弱性を狙う攻撃とその被害が増えたことで、サイバーの脅威に対応する必要性を改めて認識する経営層が増え、対策への取り組みも進展しているという。

　「リモートワークによってアタックサーフェース（攻撃対象領域）が拡大し、そこを狙う攻撃の被害が多発したことで、脆弱な環境への対応が進んだ。（コロナ禍に入ってしばらくは）大規模インシデントのニュースが目立ったが、（2022年に入り）ここしばらくは減っている。これは組織のセキュリティ対策の成熟度が高まった結果だろう」

　こうした直近の変化を踏まえつつも内山氏は、日本の企業や組織にとってサイバーリスク管理の実践が不可欠だと指摘する。その理由は、ランサムウェア攻撃による金銭的被害や事業継続への影響だけでなく、知的財産に関する情報の窃取がビジネスの競争力を低下させる懸念があるからだ。そうしたリスクを顕在化させないためには、サイバーセキュリティとしてのIT環境の保護と、情報セキュリティとしての情報資産の保護を両輪で推進し、かつビジネスへの影響を踏まえて広範な対応が求められてくる。

　「サイバーセキュリティと情報セキュリティはそれぞれ別ではなく、同じものとして推進すべきだと考える。例えば、『レッドチーム』というサービスでは、攻撃者の視点で達成すべきゴールを決めて疑似的に攻撃を行い、ゴールまでの到達度を見ることによって、（攻撃の進行をどの程度防御できるかといった）組織としてのセキュリティ対策状況を評価する。狙われる領域は、自社以外にも支社や海外拠点、取引先などのサプライチェーンにも及ぶだけに、それら全てを保護していくにはガバナンスが必要となる。攻撃によるビジネスへの影響も数値として示す必要がある。こうしたことを踏まえてトップマネジメントがセキュリティを推進していかなればならない」

　内山氏は、平時には難しくともサイバーリスク管理をできるだけ実践すべきだと話す。仮に平時からセキュリティ対策を講じているとの認識でインシデントが発生した場合、それは本当に対策を徹底していながら防げなかったのか、それとも実は対策が不十分で当然の結果として防げなかったかでは、根本的な対応が大きく違ってくるからだ。

　「技術が分からないとの理由で現場や技術者にセキュリティ対策を任せきりにしている経営層が少なくない。しかし、技術は苦手でも危機管理の意識が高くリーダーシップに長けた経営層のいる組織でのインシデントへの対応は、ほとんどの場合において成功しており、経営層の意識が肝心になる」

　そうした経営層のセキュリティ意識を高める方法としては、机上での演習や異なる組織が集まるラウンドテーブルが挙げられるという。机上演習では、シナリオに沿って関係者が自身に与えられた役割を担いながら組織的にインシデントの対応を学ぶ。「架空でも実際の役職でも良いが、経営層が自身の立場でインシデント対応を体験することによって、セキュリティにおける気付きを得ることができる」

　ラウンドテーブルでは、自社のセキュリティ課題あるいはノウハウなどの情報を参加組織の間で共有する。自社では対処し切れない課題の解決方法を他社が持ち合わせていることもあり、お互いにそれらを共有することで全体としてのセキュリティレベルを高めていく。もちろん情報の秘密を守る必要があるので、クローズドなコミュニティーとして、その範囲で共有していく。内山氏によれば、既に同社の呼び掛けでそうした機会を何度か設けており、今後も継続的に開催していくという。

　企業や組織が直面するサイバーセキュリティの脅威情勢は、無差別なフィッシング詐欺からマルウェア「Emotet」による不正侵入、ランサムウェア攻撃による金銭や事業継続での被害といったものだけでなく、2022年はロシアによるウクライナ侵攻におけるサイバー空間での国家的な軍事活動も本格化してしまっている。

　内山氏は、これらの脅威の質が異なっても使われる戦術や手法といったものは共通しており、高度な手口もいずれ大衆的なサイバー犯罪に転用されるなどしていくと指摘する。20年近くになる同社のそうした多様な脅威に関する知見が今後ますます求められるだろとし、「脅威に対してどこまで備えられているのか。どこを備えるべきか。どこまで備えるべきか。そうした課題は組織ごとに異なってくる。サイバーセキュリティとは備えあってこその取り組みであり、顧客のさまざまな悩み事に対応する『よろず』相談の窓口でありたい」と今後の目標を語る。