zero/one:保険のSOMPOが手掛けるサイバーセキュリティの誕生とこれから PartⅢ
SOMPOリスクマネジメントのサイバーセキュリティ事業の責任者を務めます経堂 恭(きょうどう たかし)です。2017年12月の当事業立ち上げメンバーの一人です。
Part0での私自身の自己紹介に始まり、PartⅠ『胎動:新規事業の立ち上げ』、PartⅡ『逆境:向かい風を追い風に』で、事業参入の経緯からこれまでの道のりを振り返ってきたzero/oneの連載コラムですが、今回のPartⅢが最終章となります。
PartⅢは『挑戦:SOMPO CYBER SECURITYのこれから』と題し、現在の状況、そして今後、私たちが向かっていく未来についてお話したいと思います。
挑戦:SOMPO CYBER SECURITYのこれから
zero/one後のエクスパンションプロセス
何もなかった更地に、何度も話し合いやトライアンドエラーを繰り返し、やっと家が建ちました。
zeroだったところから、oneを生み出すプロセスは苦労もありましたが、なんとか無事に完了です。次は、どんな家具や機能を兼ね備えたら、訪問者も増えて、居心地よく、長居してもらえる家になっていけるのか、エクスパンションプロセスの始まりです。
残念ながらサイバーセキュリティの世界ではいわゆる「コンプリート」は存在しません。
コンプリートを目指すのではなく、エクスパンション「拡充・拡張」が続きます。
重要資産を守りたいと思う組織と、それを狙う攻撃者のいたちごっこに終わりはないからです。
ですが、変わりゆくサイバー空間の流れに乗って、柔軟に対応していくことで、建てた家の存在意義は増していくと考えていますし、そうでありたいと願っています。
エクスパンションプロセスを開始するにあたって、私たちの事業のコンセプトを話し合いました。
その結果、たどり着いたのがサイバーセキュリティにおける「シフトレフト」という考え方でした。「シフトレフト」というコンセプトを中心にデザインされていった私たちのエクスパンションプロセスをご紹介します。
サイバーセキュリティにおける「シフトレフト」
まず、最初に私たちがコンセプトに掲げた「シフトレフト」という考え方を簡単に説明します。
近年の「サイバー攻撃を全て防ぐことはできない」という考えから、日本におけるセキュリティ対策は、EDRやNDRといった攻撃を受けた場合の検知・防御のためのソリューションに比重が置かれる傾向があります。サイバーキルチェーンと呼ばれる攻撃者が攻撃を実行するまでの活動の7ステップのうち、攻撃を受けた場合の検知・防御はこの右側、攻撃段階の後半の領域における対策となります。
サイバーキルチェーンにおけるシフトレフト
そうしたアプローチは確かに重要ではありますが、実際にはそれらの導入・運用に係るコストや業務負荷は決して小さくありません。セキュリティ予算は限られていますし、社内のセキュリティ人材が不足している状況では、意図したとおりに運用・管理できている企業はまだ少ないのではないでしょうか。
ソフトウェア開発では、バグや脆弱性による手戻りコストを防ぐため、開発ライフサイクルの早い段階でテストを行い、安全性や品質向上を図る「シフトレフト」という考え方があります。私たちは、この「シフトレフト」をサイバーセキュリティに転用し、サイバーキルチェーンの右側に偏重することなく、左側の対策にも取り組むことで、よりプロアクティブなバランスのとれたセキュリティ対策をご提供することが重要だという考えに至りました。
PartⅠでもお伝えしたとおり、常にお客さまの側に立って一緒に伴走し、目に見えないリスクへの対応を通じてお客さまに安心・安全をお届けすることが私たちのパーパス(存在意義)です。サイバーセキュリティという目に見えにくいデジタル領域のリスクを可視化し、お客さまに安心安全をお届けするべく、この「シフトレフト」を私たちの事業コンセプトとして掲げました。
リスクアセスメントの重要性
コンセプトが明確になったところで、私たちは具体的に何に力を注げばいいのか、そこを考えていかねばなりませんでした。
サイバーキルチェーンの左側の対策とは、つまりは、自社に関わるリスクを洗い出し、分析・評価し、必要な対策の優先付けを行うというリスクアセスメントの取り組みです。私たちは、そのリスクアセスメントを支援するコンサルティングやセキュリティ侵害に悪用される脆弱性を検出・評価する診断・テスト、外部からの攻撃の予兆を早期に察知する脅威情報のモニタリングなど、この領域のサービスに注力して取り組んできました。
コンサルティングでは、従来の主要規格の基準や要求事項に対する準拠性を示すだけでなく、実際のリスクに対して現状の対策が有効に実施されているかを分析・評価することで課題と潜在リスクを可視化する、当社独自のフレームワークを構築しました。当然、コストをかければかけるほど、より堅牢なセキュリティを実現することができますが、「今、本当に必要な対策は何なのか?」、「どこから手を付けるべきなのか?」といった視点を持たないままでは不要なコストをかけることになりかねません。この準拠性評価とリスクベース評価の2軸でのリスクアセスメントを通して、今後取るべき対策のロードマップ・実施計画を提示しますので、自社にマッチした過不足のないセキュリティ体制をお客さま自身で検討することができるようになるのです。
コストも含めた最適な対策の実現のためには、個々のお客さまの状況に応じた対応リスクアセスメントが必要です。お客さま・当社において一定の時間と工数が必要となりますが、現状のリスクを踏まえた実効性のある対策の道筋が見えるようになることで、実際に実施したお客さまからは非常に高い評価をいただいています。
確かに、サイバーキルチェーンの右側の領域のソリューションを取り扱った方が、事業の規模やスピードといった観点では効率が良いのかもしれませんが、SOMPO CYBER SECURITYでは、このリスクアセスメントを今後もサービスの「核」と位置付けて、1社1社丁寧に取り組んでいきます。
サードパーティセキュリティリスクマネジメント(TPSRM)
2018年に事業を立ち上げた当初は、リスクアセスメント系サービスの中でもコンサルティングや脆弱性診断、ペネトレーションテストがご依頼頂くサービスの大半を占めていましたが、2019年頃からは新たなニーズが徐々に顕在化してきました。サプライチェーンリスク管理です。以来、ニーズの高まりは年を追うごとに顕著になり、私たちが提供するサプライチェーンリスク評価サービス「Panorays」に対するお問い合わせ件数も増加傾向にあります。
事業立ち上げ時に、SOMPO Digital Lab Tel Aviv(SOMPOホールディングスが2017年イスラエルのテルアビブに開設した拠点。詳細はPartⅠをご覧ください。)を通じてソリューションのスカウティングを行った際の候補の一つがイスラエルのスタートアップであるPanoraysでした。企業の取引先や委託先などサードパーティのセキュリティ対策状況をシステムに負荷をかけることなくモニタリングし、サプライチェーン全体の弱点を可視化するそのサービスは、サードパーティセキュリティリスクマネジメント(TPSRM)という新たな領域のソリューションであり、私たちの「シフトレフト」のコンセプトに合致するものでした。日本マーケット向けにローカライズし、イスラエル発サービスの第一弾として2018年11月から国内での取り扱いを開始しましたが、残念ながらしばらくの間なかなか受注にはつながりませんでした。Panoraysからも「海外ではユーザー数が伸びているのに、なぜ日本では浸透しないのか?」とプレッシャーを受け続けましたが、日本の企業は自社のセキュリティ対策もまだ十分ではないところも多く、さらに取引先や委託先といったサードパーティまでは、なかなか関心が及ばないというのが実情でした。
しかし、セキュリティが脆弱なサプライヤーをターゲットするサプライチェーン攻撃が国内でも徐々にリスクとして認識されていく中で、2020年頃から少しずつ手ごたえが出てきました。
IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、サプライチェーン攻撃は2019年に初めてランクイン(第4位)し、それ以降毎年上位に入っています(2022年は第3位)。日本の企業もようやく、「自社だけではなく、サプライチェーン全体でのセキュリティ強化が必要」ということに気付き、サードパーティのセキュリティ管理の重要性を感じ始めたのです。
TPSRMの重要性は、当社のコラム『サードパーティリスクマネジメント~TPSRMを確立する~』でも詳しく紹介していますが、企業の意識がサプライチェーンに向く中で、Panoraysへの関心も徐々に高まっていきました。そして、2020年以降、国内の著名・大手企業からも数多くの採用をいただくことができ、ビジネスとしても軌道に乗せることができました。現在、当社は日本におけるマスターディストリビューターとして、自社での提供だけでなく他のセキュリティベンダーにもパートナーとして取り扱っていただくようにもなり、国内にTPSRMを根付かせるべく展開拡大を図っています。
時間はかかりましたが、イスラエルとのパートナーシップを活用し、国内ではゼロから立ち上げたサービスがマーケットに受け入れられたということは、嬉しさと共に大きな自信にもつながっています。
インシデント対応支援サービスの立ち上げ
2021年からは、リスクアセスメントと並ぶもう一つの大きな柱として、インシデントを起点とした新たなサービスを立ち上げました。これが「シフトレフト」のどこに当てはまるのか?というと、最後のステップ、攻撃者の「実行」後の対応なので、一見、シフトレフトとは関係がないように見えるのですが、どうつながっていくのかを少し説明したいと思います。
お客さまの中には、残念ながらインシデントが発生し、大きな被害を受けるケースがあります。実際に、リスクアセスメントのご提案でお客さまを訪問した際に、「今まさにインシデントが発生したので、そちらの支援をお願いしたい」との依頼を受けたこともありました。
私たちは従前から損保ジャパンのサイバー保険の事故対応支援も行っていますが、保険の有無にかかわらず、インシデントでお困りのお客さまに寄り添うべく、フォレンジックや侵害調査、データ・リカバリ等幅広い領域で初動対応から再発防止までをサポートする「インシデント対応支援サービス」を開始したのです。
保険対応での実績・ノウハウはあるものの、緊急性の高いインシデント対応支援をサービスとして提供することは、大きなチャレンジでした。折しも、2021年はEmotetが活動再開し、ランサムウェアによる被害も増え続けている中、サービスリリース後は私たちの対応キャパシティを超える勢いでご相談をいただく事態となりました。しかし、それぞれの領域で高い専門性を持つパートナーとも緊密に連携し、お客さまと同じ目線で一つ一つの案件を対応していくことで、貴重なナレッジが積み上がっていきました。さらに、2022年4月には、サイバー保険への加入の有無に関わらず、損保ジャパンの全ての法人のお客さまが電話でインシデントのご相談ができる「SOMPOサイバーインシデントサポートデスク」を開設。この10月からは24時間365日対応(年中無休)とし、サイバー保険の事故受付も行うなど、大幅に機能拡充しています。
インシデントが発生した時に、事前に想定していたとおりに対処できることはなかなかありません。特に、普段のリスクアセスメントが十分でない企業ほど適切な対応がとれず、被害が拡大することとなります。しかし、そうした企業の多くも、インシデントで被害に遭ったことで平時の取組不足を省みて、再発防止策や恒久対策に向けてリスクアセスメントに積極的に取り組むようになります。
私たちがインシデント対応支援に力を入れるのは、有事の際にお客さまをサポートするということはもちろんのこと、その後のリスクアセスメントへ取り組む“きっかけ“にしていきたいという想いがあるのです。Lesson Learned、インシデントを教訓とし、シフトレフトへの取り組みを強化して、リスク軽減を後押しする、それも私たちのエクスパンションプロセスの大切な要素の一つです。
この「インシデント対応支援サービス」並びに「SOMPOサイバーインシデントサポートデスク」に込めた想いは、別のコラム『サービス、保険、事故対応支援、三位一体で目指す理想のかたち』で詳しく書いていますので、是非そちらもご覧ください。
SOMPO CYBER SECURITYの未来
PartⅡでは「Terrible Twos」という言葉を紹介しました。
人も1~2歳のよちよち歩きの状態から、3歳を過ぎると走ったり、跳んだり、投げたり、蹴ったりと、自分の意思で色々と動けるように成長してきます。私たちも3歳を迎えた2020年の後半ぐらいから歯車が噛み合うようになり、色々と進めてきた取り組みが徐々に実を結ぶようになってきました。その時々成長や環境に見合った対応が求められますし、異なる課題も絶えず出現しますが、一つ一つ積み重ねてきた経験がそれを乗り越える糧となり、自信を与えてくれています。
とは言え、ITとセキュリティの垣根は無くなり、セキュリティ市場は数多くのベンダーがひしめき合っている状況です。海外ではMicrosoftやGoogleなどのビックテックによるセキュリティ分野への投資が急増する中、国内でもベンダー間でのM&Aや資本業務提携などの動きが活発化してきています。その中で、独自の特色や強みが無ければいずれ淘汰されていくでしょう。
私たちには、SOMPOグループの強固な顧客基盤、全国の代理店&営業店の販売チャネル、サイバー保険との連携、イスラエルとのパートナーシップなどの特長があります。こうした特長と実績や経験の地道な積み重ねを強みとし、最大限活用することができれば、他社には真似できない、追随できないSOMPOグループとしての新しいサービスモデルがお客さまに提供できると考えています。
zeroからoneを経て、1から10、さらには100へと歩みを続けるべくSOMPO CYBER SECURITYでは、プロアクティブなセキュリティ対策を支援するリスクアセスメント、そしてサイバー攻撃を受けた際に被害を極小化するためのインシデント対応支援、この2つのサービス領域を柱に、全てのお客さまが自分自身で自律的にセキュリティ対策を実施できるようになる社会の実現を目指します。
“ドッグイヤー”といわれるIT業界で、セキュリティの世界はさらにその変化のスピードが速く、2~3年で新たなサービスの潮流が生まれています。その流れに遅れることなく、次に来る波を的確にとらえ、常に価値のあるサービスをお届けする。そのために、これまでと同様、私たちはお客さまに寄り添って走り続けていきます。
私たちのエクスパンション作業はこれからも続きます。
是非、これからのSOMPO CYBER SECURITYに期待してください。