「SPHERE23」開催、CEOが語った「アンカンファレンス形式を採用する理由」とは
WithSecure、年次イベントで「アウトカムベースセキュリティ」をより具体化
2023年06月07日 08時00分更新
2023年5月24日と25日、サイバーセキュリティベンダーであるWithSecure(ウィズセキュア)の年次イベント「SPHERE23」が、WithSecure本社のあるフィンランド・ヘルシンキ市で開催された。
昨年に引き続き、SPHEREはイベントコンセプトとして「世界初のサイバーセキュリティ アンカンファレンス」を標榜している。他のITベンダーが開催する年次イベントとは異なり、SPHEREのメインプログラムには「CEOによる驚きの新製品発表」も「最新の導入顧客事例紹介」も「セキュリティ専門家だけのパネルディスカッション」も存在しない。
その代わりに、SPHERE23で登壇したのはウクライナ政府のサイバー防衛組織トップ、フューチャリスト、スポーツデータアナリスト、Twitter社の元CSOといった面々であり、生成AI(ジェネレーティブAI)の功罪からサイバー戦争の行く末、“サイバーサステナビリティ”まで、広い視野でサイバーセキュリティを取り巻く現状と未来が語られた。
WithSecureがこうした内容のイベントを開催する背景には、同社が掲げる「コ・セキュリティ(Co-Security、共同セキュリティ)」や「アウトカムベースセキュリティ(Outcome-based Security、ビジネス成果を基準としたセキュリティ)」の考えがある。本記事ではまずそこを深掘りしてみたい。
“不快な事実”に対抗するため、社会全体の協働を促す「アンカンファレンス」
WithSecure CEOのユハニ・ヒンティッカ氏は、イベント冒頭のあいさつで「この2日間、われわれは“不快な事実(uncomfortable truth)”に取り組むことになる」と切り出した。
同社が会期中に発表したとおり、現在のサイバー犯罪はまるで大企業のように組織化され、国際的なサプライチェーンも持つ、大規模な“産業”となっている。あらゆる企業にとって、産業化したサイバー犯罪は“顔を持たない競合相手”だ。さらには急速な進化を遂げる生成AI技術によって、フェイクニュースやフェイクビデオ、巧妙なフィッシングコンテンツが大量生産され、社会に対する人々の信頼が失われる未来も容易に想像できる。
こうした“不快な事実”に直面すると、誰しもかなり絶望的な気持ちになるだろう。ただしヒンティッカ氏は「希望はある」と強調する。そのポイントがサイバーセキュリティにおける協働(共闘)、つまり「Co-Security」という考えだ。
「企業どうしの団結は、組織やプロトコルの壁、それぞれの情報機密と秘密主義によって阻まれ、あらゆる企業が『自社の(セキュリティの)ため』だけに戦っている。こうした分断が、サイバー犯罪者に数十億ドル規模のビジネスチャンスを与えている」「もしもわれわれが個別に戦い続けるならば、未来はかなり絶望的だ。だが、この場にいる皆さんがお互いの共通点を見つけ、パートナーシップを構築し、共同でCo-Securityを創造していくのであれば、そこには希望がある。それがWithSecureのコアにある考えであり、SPHEREというイベントの役割だ」(ヒンティッカ氏)
F-Secureとの分社後、WithSecureではサイバーセキュリティの現状を「誰も一人ではセキュリティ課題を解決できない」ものと位置づけ、セキュリティの専門家やIDエンジニアだけでなくあらゆる人にCo-Securityへの参加を呼びかけてきた。SPHEREはその媒介となるイベントとして、参加者全体が議論し、ネットワーキングを図るためのアンカンファレンスと位置づけられる。だからこそ、幅広いテーマのプログラムを組み込んでいるわけだ。
Co-SecurityというWithSecureの企業理念を考えるうえで、発言をもうひとつ紹介しておきたい。同社の主席研究員を務め、長年にわたりサイバー攻撃やマルウェアの研究を行ってきたミッコ・ヒッポネン氏は、メディア向けセッションの中で、インターネットやデジタル、AIが社会へ急速に浸透してきたことで、自身の仕事の位置づけが大きく変わったと語った。
「われわれの仕事は、もはや『コンピューターのセキュリティを守る』というものではなくなった。われわれの仕事は『社会全体のセキュリティを守る』ことだ」(ヒッポネン氏)
CISOと他の経営幹部が“同じ言葉で”セキュリティを語るために
上述のとおり、サイバーセキュリティはもはや企業のCISOやIT/セキュリティ担当者だけの課題ではなくなっている。しかしながら、企業の経営層全体でその重要性が広く認知されているとは言いがたいのが現状だろう。企業内でCISOと他の経営幹部が“Co-Security”を進めるにはどうすればよいのか。
その答えとして、今年のSPHEREでWithSecureが繰り返し発信したキーワードは「アウトカムベースセキュリティ」だった。これはビジネスアウトカム(ビジネス成果)という計測可能なものを基準にセキュリティ対策の価値を検討し、セキュリティ投資を判断するという新たなアプローチだ。詳しくは以下の記事にまとめている。
ヒンティッカ氏は、企業がどのようなセキュリティ対策を行うかを検討するうえで、これまでは「脅威ベース」や「リスク/アセットベース」の考えがとられてきたと説明する。アウトカムベースセキュリティはそれらの次段階にあるコンセプトであり、「ビジネス成果を守る」ことを中心に考える手法だという。
「たとえばまず経営幹部全体で『機会損失を5%減らす』というビジネス目標で合意したうえで、CISOではそれを守るためにどんなセキュリティ体制を構築するか、どんなリソースが必要なのかを検討する」「ビジネスゴールを中心に据えることで、CISOはほかの経営幹部と“同じ言語”で会話できるようになる。全員が理解し合い、同じ方向を向いてセキュリティ対策を進めることができる」(ヒンティッカ氏)
フォレスターコンサルティングの調査によると、企業経営層の83%は「自社でもアウトカムベースセキュリティを取り入れたい」、さらに72%は「単にセキュリティ製品/サービスを提供するだけでなく、アウトカムベースで提案できるセキュリティベンダーに乗り換えたい」と考えている。
ヒンティッカ氏は、アウトカムベースセキュリティは「人」「プロセス」「テクノロジー」の3つの側面から取り組む必要があり、WithSecureとしても顧客やパートナーと密接に協力しながらその動きをサポートしていくと語った。
「たとえば顧客企業のセキュリティチームに、WithSecureから専門家を派遣するようなこともあるだろう。ただし、WithSecureはソフトウェアテクノロジー中心の会社であり、(人的な対応だけでなく)ソフトウェアによるスケールアップや自動化を実現する取り組みも進めていく」(ヒンティッカ氏)
同社のビジネス(2022年度の業績)は、クラウドベース製品(51.0%)とオンプレミス製品(20.2%)の売上がおよそ4分の3を占め、残りがコンサルティングサービス(28.8%)だ。ヒンティッカ氏は、まずは顧客へのコンサルティングを通じて取り組むべき課題を発見し、それを製品/サービス化してより多くの顧客に提供可能にして、テクノロジーによる自動化も進める――それがWithSecureにおける価値創造のかたちだと説明した。