ビジネス成果ベースでセキュリティを構築する6つのステップ

十分なセキュリティ対策を講じることを重視するあまり、スピーティなビジネスの実行に悪影響を及ぼしてしまえば本末転倒だ。ビジネス視点でセキュリティを構築するとはどういうことだろうか。WithSecureが提唱するアプローチを見てみよう。

[吉田育代，ITmedia]

　WithSecureは2023年2月22日、事業説明会を開催した。同説明会では、社名をリブランドした背景や新ブランドで展開する新しい概念のセキュリティアプローチ「アウトカムベースセキュリティ」を紹介した。その他、EPP（Endpoint Protection Platform）およびEDR（Endpoint Detection and Response）向け振る舞い検知エンジン「Activity Monitor」も初披露された。

　既存のセキュリティ概念の一新を目指す同社が提唱する「アウトカムベースセキュリティ」とは一体どのような概念なのか。実現に向けたポイントとは。

新ブランドWithSecureが提唱する「アウトカムベースセキュリティ」とは？

　WithSecureはフィンランドのセキュリティベンダーだ。2022年まではF-Secureという名称だったが、社名およびブランド名をWithSecureに一新した。

WithSecureのジョン・デューリー氏

　同社のジョン・デューリー氏（日本担当　リージョナルバイスプレジデント）は「新ブランドでは“サイバー攻撃により、誰も深刻な被害を受けることのない未来を作る"をビジョンに、顧客およびビジネスパートナーとのグッドパートナーシップ構築を目指す」と意気込みを語る。

　多くの企業が、セキュリティ脅威および地政学的脅威の増大、クラウドシフトを含めた情報システム環境の複雑化、対応に足る専門知識の不足といった悩ましいセキュリティ課題に直面している。そうした中、同社が提唱する新たなセキュリティアプローチが「アウトカム（成果）ベースセキュリティ」だ。

アウトカムベースセキュリティとは（出典：WithSecure発表資料）

　デューリー氏によると、アウトカムベースセキュリティは従来の脅威ベースセキュリティ、資産ベースセキュリティ、リスクベースセキュリティの上位に位置する概念だ。

　脅威ベースセキュリティがどこに脅威が存在するかを考慮し、攻撃者の攻撃方法を理解しながら取り組むアプローチ、資産ベースセキュリティが情報システムを資産と捉えて保護を考えるアプローチ、リスクベースセキュリティが侵害によってどれほどの損失や信用低下を招くかを想定するアプローチであるのに対し、アウトカムベースセキュリティは保護対象のビジネス目標を検討し、組織が望む成果を達成できるようにセキュリティを検討する。

　保護対象がWebサイトであれば、“ただ単に守る”という観点だけではなく、Webサイトを展開する「ビジネス上の目的は何なのか」「そこから得たい成果はどういうものか」を考え、その目的達成が阻害されることがないように対策を検討するということになる。

　「アウトカムベースセキュリティは、保護対象からどのようなビジネスの成果を得たいのかを検討することから始める考え方で、当社はここに焦点を置いています」（デューリー氏）

　もう一つ、同社が重視するセキュリティアプローチとして「コ・セキュリティ」がある。これは現代のサイバー脅威はもはや一社では解決できないという前提で、顧客やパートナーと協力してセキュリティのエコシステムを構築するというアプローチだ。

　これらの概念を実現する同社の製品ポートフォリオとしてはクラウドベースの統合サイバーセキュリティプラットフォーム「WithSecure Elements」や、「Salesforce」を悪意のあるコンテンツから保護するCloud Protectionシリーズ「WithSecure Cloud Protection for Salesforce」がある。

WithSecureの製品・サービスポートフォリオ（出典：WithSecure発表資料）

アウトカムベースセキュリティ導入6つのステップ

WithSecureのクリスティン・ベヘラスコ氏

　次に、アウトカムベースセキュリティの発案者であるWithSecureのクリスティン・ベヘラスコ氏（最高情報セキュリティ責任者）が登壇し、同セキュリティアプローチ導入のポイントを紹介した。

　ベヘラスコ氏によると、これまで脅威とセキュリティ対策はいたちごっこであり、新たな脅威が出現するたびに対応するセキュリティ製品を追加するという繰り返しに企業は疲弊している。これまでの技術志向のセキュリティアプローチは、高度なセキュリティ知識を有していなければ対策を講じられないという問題点もある。

　それに対して、アウトカムベースセキュリティは「オペレーション効率の最大化、ビジネスアジリティの向上、顧客からの信頼がビジネスゴールとして何より重要」という考え方に基づき、これらを達成するために「単に守るというだけでなくセキュリティで何ができるか」をセキュリティの専門用語ではなく、ビジネスの言葉で考えるアプローチだ。

　アウトカムベースセキュリティの導入には6つのステップがある。

アウトカムベースセキュリティの導入における6つのステップ（出典：WithSecure発表資料）

　まずは脅威や資産、リスクベースでよいのでセキュリティモデルを考える。次に、そこにアウトカムベースの考え方を適用し、「自社では何をアウトカムとするのか」「そこでの指標をどう設定するか」の合意を形成する。続いて、その合意に照らして、既存のソリューションとアウトカムベースセキュリティとの整合性を図る。その先は、アウトカムベースサービスを導入するとともに、目的に沿わない不要な技術については排除する。最後に新しいガバナンス体制を確立し、このアプローチでの取り組み成果を検証するというプロセスだ。

　ベヘラスコ氏によると、Forrester Researchの調査では82％の企業がアウトカムベースセキュリティアプローチに前向きな関心を示した。加えて、メリットについて聞いたところ「ビジネスリスクが軽減する」「サイバーセキュリティがビジネスの目標をプロアクティブにサポートできる」「サイバーセキュリティに対して効果的な対応ができる」という回答が上位にランクインした。

エンドポイントをセキュアに保つサンドボックス機能を提供

　同発表会では、EPPおよびEDR向け振る舞い検知エンジンActivity Monitorも披露した。Activity Monitorはエンドポイントにサンドボックス機能を再現する技術だ。ここでアプリケーションの挙動を解析し、システムやファイルに何か不審な変更が実行されていると判断した場合、事前に取得しておいたバックアップにロールバックする。この機能は侵害を受けた後でも適用でき、エンドポイントで活動を行っても、ユーザーエクスペリエンスを損なわないという点でも優位性がある。

　Activity Monitorは、他のWithSecureの技術と併用できる。EPPソリューションと併用して振る舞い検知機能を向上させたり、EDRソリューションで変更をロールバックするための機能として使用したりできる。

　ただし、これを普遍的なバックアップソリューションとして活用することは難しいようだ。監視対象のシステムやファイルでない場合は同機能は働かず、悪意がないと判断された挙動の結果でシステムやファイルが暗号化されたときは復元できない。さらに既に盗まれてしまったデータの復元もスコープ外となる。

　その他、説明会ではエンドポイント保護ソリューション「WithSecure Elements Endpoint Protection for Servers」の新機能である「Server Share Protection」についても解説があった。

　Server Share ProtectionはActivity Monitorを活用した機能だ。ネットワーク内の感染したコンピュータから、サーバ上の共有フォルダがランサムウェアによって暗号化されるのを防ぐ。保護されていないコンピュータに脅威者が侵入して、共有フォルダ上のファイルを暗号化し始めると、Server Share Protectionは保護されていないコンピュータからの攻撃をブロックするとともに、暗号化されたファイルをロールバックする。

Server Share Protectionで想定しているランサムウェア攻撃（出典：WithSecure発表資料）

　WithSecureのブロデリック・アキリーノ氏（リードリサーチャー）は「Activity Monitorはエンドポイント保護製品にとってのもう一つの振る舞い検知エンジンです。今後は、振る舞いを見るためのより完全なビューを提供するとともに、より正確な検知、より強力な検知をめざし、特に複数のプロセスを個別ではなくグループ化して分析できるようアップデートしていきます」と語った。