GSXは、これまで提供してきた「情報セキュリティレベル現状調査サービス」に加えて2020年8月から、「情報セキュリティクイックアセスメント」の提供を開始、対策と脅威の棚卸しを行うサービス強化を積極的に行っており、10月から新たに追加される「セキュリティリスクレイティングサービス」もその拡充の一環ということです。
グローバルセキュリティエキスパート株式会社 サイバーセキュリティ事業本部 コンサルティング事業部 事業部長 和田 直樹(わだ なおき)氏と、同事業本部 事業戦略室 室長 和田 武春(わだ たけはる)氏に話を聞きました。
たいていのセキュリティ企業があまり得意ではないことがいくつかあって、今回取り上げるのはそのうちのひとつだ。
本稿で考えるのは「それぞれのセキュリティ対策は、会社全体のセキュリティ向上にどのくらい貢献しているのか」である。WAFを入れたらWebアプリへの攻撃が防がれるのはあたりまえ、脆弱性診断をしたら脆弱性が見つかるのもあたりまえである。「会社全体のセキュリティ向上にどのくらい貢献しているのか」の、「全体」というところにポイントがある。その向上の度合は、できれば客観的な基準に基づく数字で知りたいものだ。
ここで言っているのは、たとえばWAFの月次サブスクリプションに毎月20万円、SOCに毎月40万円、診断に1回200万円等々を、それぞれ限られた予算のなかから支出したとして、それによって企業としての防御力や対応力はどの程度向上しているのか、費用に見合った効果が得られているのか、あるいはいないのか、そういった全体的な判断である。
ほとんどのセキュリティ企業は、自社の提供するひとつ(あるいは複数)の製品によって実現できる「部分最適化」の議論にのみ終始する。顧客のセキュリティ対策の全容を俯瞰し、近年重要性が増している「全体最適化」をなさんとする視点を持つセキュリティ企業は多くない。
だがユーザー企業にとってはそこが一番大事な点である。正直顧客にとってWAFの性能などどうでもいいし、JVNに何件脆弱性を報告したのかなど実はユーザー企業は興味がない。選定の要素としてある程度有効と思えたから判断材料として集めただけ。ユーザー企業の最大関心事はまったくもってそこではない。ユーザー企業の関心事はユーザー企業自身だ。
10月からGSXが提供を開始する「セキュリティリスクレイティングサービス」とは、企業のセキュリティ体制評価を行うSecurityScorecard(セキュリティスコアカード)を活用することで、そんな、ユーザー企業が気にかかる自身のことにこたえてくれるサービスだ。「スコア」とあるとおり、自社のセキュリティに関する評価を数字で定量的に知ることができる。一体どんな評価なのか。それは日本人が死ぬほど知りたい「他人が自分をどう思っているか」である。それもただの他人ではない。
あけすけに言ってしまえば、あなたの会社のシステムやネットワーク、Web、Webアプリ、あるいはグループ会社のそれが、サイバー攻撃を行う犯罪者の目からどれだけカモ(攻撃しやすい対象)に見えているかを調査し、数値化しスナップショットとして保存蓄積するサービスだ。
窓が割れたままになっている地域は治安がよくない可能性が高いし、郵便受けに新聞がいくつもねじこまれていたら長期間留守にしているのは明らかだ。サイバー攻撃者はそうした「外から見えるちょっとした情報」をたくさん集めて分析し、標的を選定する。
APTなどはそうではないことがあるが、大半のサイバー攻撃は経済合理性のもと実行される。要は、成果が上がりやすいターゲットを探す「調査活動」が必ず行われる。GSXのセキュリティリスクレイティングサービスを活用することで、これと同種の調査を、自動で定期的に、顧客の指定する範囲に対して実施する。
つまり、犯罪者から見てあなたの会社はくみしやすいカモに見えるのか、あるいはガードが堅く手間がかかりそうな対象と見えているのか(そう判断されればリストの下の方に下げられ攻撃される可能性が減る)、定量的に知ることができる。
このサービスが評価するのは、ネットワークやDNS、パッチ管理など「外部から調べることができる」計10項目。それぞれ100点満点のスコアリング(点数が高ければ高いほどセキュア)を行い、総合得点を算出する。加えてユーザー企業が属する産業界の平均との比較数値や、開いたままのポートや古いOSなど、攻撃ポイントとなりうる、さまざまな脆弱性の一覧も示される。
よく「攻撃者視点での備えが大切」などと軽々しく口にされる。しかし、いざ攻撃者視点、すなわちハッカー視点を獲得しようとしたら並大抵のことではない。獲得できないならハッカーを雇えばいいかというとそんなこともなく、優秀なハッカーが社内にいたとしたら、優秀であれば優秀であるほど、いろいろ大変だ。GSXが提供を開始するセキュリティアセスメントは、そうしたハッカー視点を、ごく一部に過ぎないものの、お金で購入できるサービスと言うこともできるかもしれない。
セキュリティリスクレイティングサービスは、2021年夏からGSXが提供しているサービス「情報セキュリティクイックアセスメント」と組み合わせることで、さらに効果を発揮する。クイックアセスメントは、セキュリティ対策状況を自己評価して数値化するもので、リスクレイティングと正反対の「内部視点」からセキュリティの評価を行うサービスだ。組み合わせることで、双方向にセキュリティ対策の進捗を把握できる。
これまでセキュリティ対策とその運用は、定量化された指標を用いずに行われてきたが、それはあたかも帳簿をつけずに会社を経営したり、体重計に乗らずにダイエットをすることに似ていた。時代時代に流行りがあって、要はまわりがやっていることをやって皆安心していた訳だが、そうせざるを得なかったのは、いままでは信頼できる、定量化・数値化を行うサービスや尺度がなかったという事情もあった。
情報セキュリティクイックアセスメントのエンジンとなるサービスSecure SketCHは、NRIセキュアテクノロジーズ株式会社が2018年に、同社が持つノウハウを結集させ開発したサービスだ。翌年Security Score CardをSecure SketCHのプラットフォームに追加している。Secure SketCH企画開始時から想定したと思われるタイミングでありクレバーかつ隙がない。そしてSecure SketCHは、これまでもいくつか存在していた凡百の、しょうもないプロダクトを買わせるためのゴールが決まったあみだくじのような「なんちゃって自己診断サービス」とは一線を画している。
NRIセキュアテクノロジーズとGSXはこれまで、標的型メール訓練や研修などの分野で積極的に提携し、共に日本のセキュリティのために共闘してきた。昨2020年には、株式会社野村総合研究所(NRI)がGSXに資本参加することで、単なる事業提携を超え、日本のセキュリティを向上させるという「志を共有する」盟友となった。
日本屈指のシンクタンク、野村総合研究所(NRI)を親会社に持つNRIセキュアと、会計監査系の親会社を出自とするGSXは、共通点も少なくない。会話する言語も遠くないことだろう。しかし、何よりも両者がお互いを補い合うことができるポイントは、メインフィールドとする顧客層の違いである。
創業当初、エンタープライズ層の企業を主要顧客としてセキュリティ事業をスタートしたGSXだが、近年、日本経済を支える中堅企業への支援に大きな方向転換を行い、コンサルティングや、資格を中心とした教育研修サービスの提供を開始した。NRIセキュアテクノロジーズが提供する「エンタープライズ向け」ハイエンドサービスを、中堅企業向けにGSXが再定義を行っていると見ることもできる。
セキュリティ評価の内と外。期せずして今回取材協力を得た、グローバルセキュリティエキスパート株式会社の和田武春氏が、経営企画畑出身の「内」だとするなら、もう一人の和田直樹氏は、社内ではなく「外」で顧客に寄り添い活躍するコンサルタントである。「GSXの対照的な2人の和田」だ。
和田武春氏は「近年、監督官庁からの要請やグループ企業のガイドライン策定などで、ユーザー企業の意識が著しく向上しており、これまでオプションとして提供していたSecurityScorecardの引き合いや要望が増えてきた。そのため正式に標準サービスとして提供することにした」と語った。
また、和田直樹氏は、自社の状況を数字で一度可視化すると、適切な対策を実施すれば、次に評価した際に数字が上がることに言及し「投資の成果を数字で見ることができる点は、とりわけ経営層が高く評価しているポイント」と述べた。経営とITチームが一緒に数字を共有し、ともにそれを追っていくことで、一貫性と継続性のあるセキュリティへの取り組みになるという。
事業会社の直接業務部門で働く人々は皆、売上・粗利・営業利益という数字を、ともに共有することで一丸となる。本稿で紹介したふたつのサービスが、課題を共有し進捗と成長を知る尺度として利用されるのは悪くないことである。
かつて日本では、パスワードをかけたZIPファイルをメールで送った直後に、そのパスワードを別のメールで送るという、まじないというか、ある種オカルト的セキュリティ対策が一種のデファクトと呼べるほどのさばったことがある。ソリューションを販売する企業すら半信半疑だったのだが、プライバシーマーク準拠に必要という都市伝説(ウソ)も蔓延し、売れに売れた。しかし先頃政府が公式に有効性を疑問視したことで、暫時、このセキュリティ対策はこれからメインストリームから姿を消していく運命にある。
しかしそもそも「どれだけ効果を上げているか」という視点がもっと一般的に社会に存在していたなら、ここまでこの奇習は普及しなかった可能性が高い。
内と外の両面から、セキュリティ対策の成熟度や効果を、数字で評価するセキュリティアセスメントサービスが、GSXによって中堅企業向けに提供される価値は大きい。日々の運用管理をしていくことだけで充分手一杯のユーザー企業こそ、進捗や効果を定量的に数字で評価することが、大きな救いともなるかもしれない。
