2023年のビジネス戦略を発表、企業が「ビジネス目標」起点でセキュリティ対策を検討するメリットを語る
WithSecureが提唱する「アウトカムベースセキュリティ」アプローチとは
2023年02月27日 07時00分更新
ビジネス目標からセキュリティ対策を検討する新たなアプローチを提唱
この日の説明会で強調されたのが、WithSecureが特徴的なアプローチとしているアウトカムベースのセキュリティである。デューリー氏と同社 CISOのクリスティン・ベヘラスコ氏がそれぞれ、アウトカムベースセキュリティが従来のアプローチとどう異なり、なぜWithSecureではそれを重要視しているのか、企業にとってどのような価値があるのかを説明した。
デューリー氏は、セキュリティ保護を考える観点として、脅威/資産/リスク/成果(アウトカム)の4つがあると説明する。
脅威ベースの観点は最も古典的なものであり、たとえばWebサイトのセキュリティならば「DDoS攻撃を防ぐために保護を実装する」といった具合に、純粋に技術的な観点から検討を行う。同様に、資産ベースの観点ならば「サイト自身やデータ、認証を保護する」、リスクベースの観点ならば「サイトダウンによる損失金額、信用低下を検討して保護内容を決定する」という観点で考える。
一方でアウトカムベースのセキュリティは、経営的な観点からセキュリティを検討していくものとなる。上述のWebサイトセキュリティの例であれば、まず最初に「Webサイトを通じたビジネス目標を理解し、それをふまえてセキュリティを検討する」アプローチだ。もちろん具体的なセキュリティ対策をとるためには、その成果に対するリスクは何か、そのリスクをもたらす資産は何か、その資産をおびやかす脅威は何か――といった具合に、成果から順にドリルダウンしていく必要がある。
「脅威ベースのセキュリティ」と「アウトカムベースのセキュリティ」のアプローチの違い
なぜこうした考え方のアプローチが重要なのか。サイバーセキュリティ業界に20年間携わってきたというベヘラスコ氏は、その背景としてまず、企業における「DXの進展」があると説明する。
DXの進展に伴って、企業は新たなテクノロジーを次々に取り入れてきた。たとえば20年前であれば、業務サーバーは自社内のサーバールームに設置するものであり、業務ソフトウェアはそうしたサーバーやPCに直接インストールして使うものだった。しかし現在ではパブリッククラウド上の仮想サーバーやSaaSも浸透しており、さらには複数のSaaSやクラウド(マルチクラウド)を利用するも当たり前のことになっている。
重要なポイントは、新しいものを導入することで古いものが一掃されるのではなく、「古いものも残りながら新しいものが追加される」状況である点だ。これによって全体の複雑さは増し、攻撃者のアタックサーフェス(攻撃可能なポイント)も拡大することになる。
企業におけるDXの進展によってシステムの複雑さは増し、アタックサーフェスは拡大している
攻撃者の側も20年前とは様変わりしている。20年前は“ちょっとした実験と小銭稼ぎ”くらいの感覚だった攻撃者も、現在は犯罪ビジネスとして組織化され、分業化している。たとえばランサムウェアの場合は、ランサムウェアを開発し提供するグループ(RaaS)、企業に侵入するための情報を提供するグループ、そして攻撃を実行する攻撃者と別れているのだ。「それに加え、地政学的な動向を背景として国家犯罪(国家による攻撃)も登場している」(ベヘラスコ氏)。
そうした変化の帰結として、セキュリティ対策も非常に複雑化し、そこにかかるコストも人手も増大していく。さらに、セキュリティインシデントが発生すれば企業は「緊急事態」となり、多くの関係者を巻き込みつつ迅速な対応を迫られることになる。
「セキュリティ上の問題が増えるたびに、セキュリティ製品を買い足していったらどうなるか。やがてセキュリティ製品の山にうずもれるようなことになるだろう。もちろんそれらをハンドリングするためのスキル、技術知識も必要となり、そこにかかるコストはますます増えていく。これは非常に痛みを伴うサイクルになる」(ベヘラスコ氏)
新たな脅威が出現するたびにセキュリティ製品を追加する、というアプローチではきりがない
こう説明したうえで「だからこそ、アウトカムベースのセキュリティという新たなアプローチが必要なのだ」とベヘラスコ氏は続ける。
「CISOとしても、一歩下がって全体を俯瞰し、セキュリティを捉え直すことができる。社内のビジネスリーダーとコミュニケーションを図り、ビジネス目標を明確にしたうえで、その目標を達成するためにどんなサポートができるかを考えるのが、アウトカムベースセキュリティだ」(ベヘラスコ氏)
アウトカムベースセキュリティで最終的なビジネス成果を目標に据えることによって、対策の優先順位付けができ、不要な対策をやめることも可能になる。また、技術的な言葉ではなく「ビジネスの言葉」で語ることでビジネスリーダーとの会話が成り立ち、なぜそうしたセキュリティ対策が必要なのかの理解と協力が得られることになる。その反対に、自社のビジネス目標達成には不要なセキュリティ対策をやめる判断をして、効率化していくこともできる。
「Forrester Resarchの調査によると、企業のサイバーセキュリティリーダーの82%が、このアウトカムベースのアプローチをセキュリティに導入したいと考えており、中にはすでに採用している、採用を拡大していきたいという回答もある。この数字から、アウトカムベースセキュリティという考え方がいかに適切であるかがわかるだろう」(ベヘラスコ氏)
アウトカムベースセキュリティのアプローチがもたらすメリット
ベヘラスコ氏は「とは言っても、それほど複雑なものではない」と述べたうえで、アウトカムベースセキュリティを実現する6つのステップを紹介した。ポイントとなるのは、ビジネスアウトカムやその指標(メトリクス)についてビジネスリーダーと合意をとること、そこから既存のソリューションとの整合性をとっていくことだ。「セキュリティソリューションについて検討するときは、まずそのソリューションによるアウトカムは何かを理解しなければならない」(同氏)。
アウトカムベースセキュリティの6つのステップ
また、パートナーとなるセキュリティベンダーも、自社のビジネスについて十分に理解をしてくれる、伴走型でコンサルティングを提供してくれるようなパートナーが求められると述べた。
「サイバーセキュリティはチームで取り組むもの。ITがかつてなく複雑化している状況のなかでは“Co-Security(共同セキュリティ)”というかたちで、互いに助けあうことが必要だ。われわれは互いに協力し合いながら生きているのだから、ビジネスもそういうかたちで実現してきたいと考えている」(ベヘラスコ氏)
ベヘラスコ氏はさらに、WithSecureの強みは「顧客とのパートナーシップ」であり、コンサルティングサービスを通じて顧客のビジネスアウトカム実現をサポートすることもできることから、WithSecureとしてもアウトカムベースセキュリティというアプローチを推進していくと説明した。
