昨今のサイバー攻撃対策のトレンドは、防御や検知といった事後対策から、CTEM(Continuous Threat Exposure Management:継続的脅威エクスポージャー管理) のような、未然に防ぐ予防的なアプローチへと移行しつつあります。この予防的な考え方は「セキュリティ・バイ・デザイン」とともに少しずつ浸透し始めています。では、これが今後さらに広く普及したとき、私たちのセキュリティ対策はどのように変化するのでしょうか?
CTEMの概要についてはこちらのブログで詳しく解説しています。ぜひご参照ください。
防御・検知重視の時代――信頼獲得の手法とは
ビジネスを行う上で、取引先や関係会社からの信頼や評価は非常に重要です。これまでは、情報セキュリティの観点では防御や検知といった攻撃を受けた後、事後対策の強化が、信頼獲得の大きな柱とされてきました。
例えば以下のような取り組みが挙げられます。
- EDR(Endpoint Detection and Response) の導入
- 定期的な脆弱性診断の実施
- テレワーク環境における SASE(Secure Access Service Edge)の実現
- ゼロトラストモデルの推進
特定の製品名を明言しないまでも、「これだけの対策を導入しています」と対外的に示すことは、信頼を得るために重要なポイントでした。
また、ツールによる対策だけでなく、従業員向けの ITリテラシー教育 を実施し、その取り組みをアピールする企業も増えてきています。たとえマルウェアがネットワーク内に侵入したとしても、あるいは不審なメールを受信したとしても、従業員のリテラシーが高ければ重大なインシデントを防げる可能性があります。
具体的な対策状況を公表することが新たなリスクを招く可能性を考慮し、むしろ 教育施策の方を積極的にアピールする企業も少なくない という状況も見受けられます。
予防対策が主流になった世界での「信頼」の新しい形
では、事後対策から予防策へのアプローチの変化が進み、CTEMのような予防的な対策の実施が当たり前になったとき、信頼獲得の手法はどのように変わっていくのでしょうか?
まず、予防的な対策を実施していること自体を公表すること は引き続き有効な手段であると考えられます。むしろ、積極的に取り組みを公開することで抑止力として機能することも期待できるでしょう。CTEMへの取り組みを明確に示す企業が、今後さらに増えていく可能性は十分に考えられます。
一方で、従業員向けのITリテラシー教育の重要性が完全に失われるわけではないものの、ツールによる予防対策が主流となれば、その重要度は相対的に低くなるかもしれません。企業としての取り組みが「予防」に重点を置く中で、個々の従業員に依存するリテラシー教育のアピールはやや影を潜める可能性があります。
そのような状況の中、新たな信頼獲得の手法として注目されるのは、サプライチェーン全体への取り組み です。
昨今のサプライチェーン攻撃の増加を踏まえ、自分たちの組織内だけでなく、関係会社や委託先、パートナー企業、取引先と連携してセキュリティ対策を推進する流れが重要視されています。たとえば、パートナーシップ構築宣言 のように、サプライチェーン内の組織同士が協力して予防的な取り組みを強化する動きはすでに始まっています。今後、予防的なアプローチが一般化するにつれて、このような「エコシステムとしてのセキュリティ対策」がより重視されるようになるでしょう。
未来に備えるために今できること
予防的な対策が日本でどこまで普及するか、そしてその未来が具体的にどのような姿を見せるのかはまだ分かりません。しかし、CTEMのような予防的アプローチに注目が集まっていることは確かであり、それがセキュリティ対策として強力な手段のひとつであることも間違いありません。
従来のように防御や検知の強化を続けるだけでなく、一度立ち止まって「予防」という原点回帰のアプローチを検討してみることが、次の一手を見つける鍵になるかもしれません。
セキュリティの予防対策CTEMの実現方法についてこちらのブログで解説しています。ぜひご覧ください。
