サイバーセキュリティ予算は増加し続けている。侵害も同様だ。中小企業にとって、このパラドックスは特に深刻である。グローバル企業と同じ攻撃者に直面しながら、防御するための予算、人員、専門知識を持たないのだ。
成功する攻撃の大半は、国家レベルのゼロデイ攻撃の結果ではない。基本的な問題──パッチが適用されていないシステム、デフォルトの認証情報、多要素認証の欠如、または最も必要なときに機能しないバックアップ──が原因だ。これらは解決可能な問題だが、一貫して解決するにはリーダーシップと説明責任が必要である。そして多くの企業にとって、まさにそれが欠けているのだ。
戦略こそが真のギャップである理由
最高情報セキュリティ責任者(CISO)は、方向性を定めることが期待されている。リスクを評価し、管理策に優先順位をつけ、セキュリティが時間とともに改善されるようにすることだ。しかし現実には、専任のCISOは高額で供給不足である。採用は大多数の組織にとって手の届かないものだ。
これが市場の不均衡を生み出している。無数のツールやサービスが利用可能だが、それらのツールを効果的に展開するための戦略的ガイダンスが十分ではない。ジョー・レヴィ氏(SophosのCEO)は筆者にこう語った。「市場の失敗がある。ツールやサービスは不足していないが、大多数の組織は次に何をすべきかわからない」
その結果、企業はセキュリティに資金を投じながらも、どこに焦点を当てるべきか、進捗をどう測定すべきかがわからないために、依然として攻撃の犠牲になるという状況が生まれている。
仮想CISOの登場
仮想CISO(vCISO)は、そのギャップを埋めるために設計された新たなモデルである。
専任の経営幹部の代わりに、組織は部分的な契約またはマネージドサービスを通じてvCISOを起用する。vCISOは、そうでなければ決して得られない環境に、経営レベルの戦略をもたらすことができる。
レヴィ氏は率直にこう述べた。「仮想CISOを制度化するという考えは、人間をソフトウェアやAIに置き換えようとするものではない。CISOが行うことの組織的な知恵とベストプラクティスを、それを持たないすべての組織がアクセスできるようにすることだ」
この変化を推進する別の動きもある。デン・ジョーンズ氏(909Cyberの創業者兼CEO)は、実務者の側からこう見ている。「多くのCISOが、専任職のプレッシャー、説明責任、責任のレベルが魅力的でなくなっていると感じていると言える。より多くのCISOが、これとCEO・取締役会のサポート、資金、文化とのバランスを考えると、ある種の流出が起きていると私に話している。vCISOになることは、負担が少なく、徐々に魅力的になってきている」
しかし、移行には課題がないわけではない。ジョーンズ氏は「単独のvCISOは、クライアントのために働くことと新しいクライアントを見つけることのバランスを取ろうとして苦労することが多い。クライアントの入れ替わり期間中、多くのvCISOは財政的なジェットコースターを感じ、諦める者もいる。だからこそSophosや909Cyberのような企業が存在する──私たちはクライアントとCISOコミュニティの両方が適切なバランスを見つけるのを支援できる」と指摘する。
パートナーシップを通じた規模拡大
vCISOモデルでも、リーチは課題である。世界中に数億の中小企業がある。単一のコンサルタントや企業がその範囲をカバーすることはできない。
ここでマネージドサービスプロバイダー(MSP)が登場する。MSPはすでに多くの組織のITバックボーンとして機能している。vCISOと連携することで、MSPは「スタックの上位」に移行し、単なるチケット解決だけでなくセキュリティ戦略を提供できる。適切なインセンティブと説明責任があれば、週ごとに進捗を測定し、実証できる──露出したシステムの削減、多要素認証の採用増加、フィッシングシミュレーションの改善など。
「MSP集団は力の乗数だ」とレヴィ氏は強調した。「彼らは大規模にセキュリティ戦略を提供するためのラストマイルだ」
AIは力の乗数──ただし限界あり
人工知能(AI)はしばしばあらゆる問題の解決策として売り込まれる。この場合、AIは確かに役割を果たすが、人間の判断の代替としてではない。AIは規模拡大の触媒として機能できる。ベストプラクティスを体系化し、設定ミスにフラグを立て、手動プロセスよりも一貫してリスクを表面化できる。
例えば、AIは設定をスキャンして脆弱な設定を特定し、修復手順の草案を作成し、完了するまでチームに促すことさえできる。大規模に衛生管理を標準化し、人間が例外、リスクのトレードオフ、戦略に集中できるようにする。
しかしAIには方向性が必要だ。レヴィ氏は警告した。「AIはこれをすべて単独で行うわけではない。依然として人間の方向性が必要だ。触媒ではあるが、代替ではない」
重要なことを測定する
あらゆるセキュリティ戦略のテストはシンプルだ。昨日より明日の方が良くなっているか?
成功は頭字語やダッシュボードで測定されるべきではない。具体的な成果に反映されるべきだ。
- インターネットに面したサービスが7つからゼロに削減された。
- 多要素認証がアカウントの95%で強制された。
- バックアップ復元テストが3四半期連続で合格した。
- フィッシング失敗率が18%から6%に低下した。
セキュリティがこれらの用語で組み立てられると、それは単なる技術的な会話ではなく、レジリエンス、継続性、信頼についてのビジネス上の会話になる。
今後の展望
ランサムウェアの経済性により、攻撃者は「サービスが行き届いていない中間層」を標的にし続けるだろう。これらの企業の多くにとって、選択肢はCISOを雇用するかしないかではない。vCISOのような実用的なモデルを採用するか、無防備なままでいるかだ。
仮想CISOは贅沢品ではない。必需品になりつつある。そしてMSPとAIがそのリーチを拡大するにつれ、レヴィ氏とジョーンズ氏は、戦略がついに長い間取り残されてきた数百万の組織に規模拡大できると確信している。
真の問題は、企業がvCISOを持つ余裕があるかどうかではない。持たない余裕があるかどうかだ。
