企業を取り巻くサイバーセキュリティーの状況をどう見ていますか。

クリシュナランサムウエアをはじめとする標的型メール攻撃やビジネスメール詐欺、サプライチェーンの弱点を悪用した攻撃など、ビジネスを取り巻くセキュリティーリスクは日増しに多様化、高度化しています。

また今日の企業のIT環境はどんどん複雑化しています。PCやサーバー、アプリケーション、ネットワーク、クラウドサービスなど、攻撃者の狙い目になる面（アタックサーフェス）が広がる中で、企業が機密情報を保護して事業継続性を確保することは簡単ではありません。サイバーセキュリティーはまさに経営の最重要課題であり、対策強化が待ったなしの状況です。

一方で、十分な対策を講じられていない企業は少なくありません。その要因は何でしょうか。

クリシュナ現在の企業は多種多様なセキュリティーツールを導入しています。ところが、ツール＝データの発生源が増えたことで、全体像を俯瞰することが難しくなっています。

「社員のPCで何が、ネットワークで何が起こっているのか」「自社のセキュリティーリスクはどのような状況なのか」――。CISO／ CIOは経営幹部や株主からこれらについて説明と対応策を求められますが、実態を詳しく把握できていないため、十分な説明が行えていません。

求められているのは、セキュリティー対策を立案・推進するCISO／ CIOはもちろん、意思決定を行う経営幹部にも分かりやすく、リスクを定量的に可視化して提示する方法です。そのための仕組みを整えることでリスクの実態を把握し、危険な状況があれば速やかに是正できるようにすることが肝心です。

この状況に対してゼットスケーラーはどのような提案を行っているのですか。

クリシュナ組織を取り巻くリスクを可視化するためには、様々なシステムやツールから情報を収集し、分析・集計する必要があります。これを手作業で行うのは現実的ではありません。そこで当社は「Zscaler Risk360」（以下、Risk360）を提供しています。インターネットやクラウドサービスへの安全なアクセスを実現する「Zscaler InternetAccess」など、お客様が利用中のゼットスケーラーのソリューションはもちろん、様々なサードパーティ製品との連携によって組織全体のリスクに関わるデータを集めて可視化します。

また、サイバー攻撃の調査・研究機関である「Zscaler ThreatLabZ」のリサーチデータも活用することで、組織ごとのリスクの詳細なプロファイルを作成できます。定量化、可視化されたモデルを提供できることがRisk360の特徴です。

まさに360°からリスクを可視化できるわけですね。

クリシュナその通りです。具体的には、攻撃者の狙い目となるインフラ機器のぜい弱性などの「①外部攻撃対象領域」、侵入の足がかりを築く「②侵害」、組織全体に脅威を拡大させていく「③水平移動」、機密データが盗まれたり、流出したりする「④情報漏洩」というサイバー攻撃の4つの段階を網羅的にカバーすることができます。その上で、4つの段階ごとのリスクスコアを作成して提示します。このスコアを見れば、自組織が今どのようなリスクに、どれだけさらされているのかを把握することができるでしょう。

図　Zscaler Risk360のダッシュボード画面

ゼットスケーラー製品やサードパーティツールとの連携に基づき、組織のセキュリティーリスクを全方位的に可視化する。リスクスコアを算出・提示するほか、CISO ／ CIO 向けのレポート、プレゼンテーション用のスライドを出力することも可能だ

とはいえ、システムが出力したデータを経営幹部が読み解くのは難しい気がします。

クリシュナそうですね。そのためRisk360では、CISO／ CIO、経営幹部の方が容易に理解できるレポートを作成して提供します。

リスクの要因や傾向、おすすめの調査のワークフローや同業他社と比較した結果などのほか、リスクが顕在化した場合の財務的な損失の見積もり、推奨される損失軽減策などを含めて分かりやすく提示します。

また、セキュリティーリスクの概況をまとめたプレゼンテーション用のスライドも簡単に作成できます。CISO／ CIOが取締役会などでこのスライドを投影して説明を加えれば、経営幹部や株主がリスクの現状を容易に把握できるようになるでしょう。セキュリティー対策の方向性や投資に関わる意思決定を高度化・迅速化できます。

さらに、Risk360で可視化した情報やリスク分析の結果を社内のセキュリティーチームと共有すれば、組織全体の対策強化にも生かすことができるはずです。

可視化したリスクへの対処は、どのように進めればよいのでしょうか。

クリシュナこの点についても、Risk360が改善に向けた実用的なインサイトを提供します。例えば、リスク修正フレームワークを利用して、対応が必要な問題点一覧を優先順位付きで表示するなど、リスクスコアに応じたポリシーの更新・修正のための具体策を提示します。また、調査ワークフローのガイダンスに応じて特定の問題の調査、分析を実施することで、機密データにアクセスしている従業員を特定するといったことも可能です。

このように様々な特長を備えるRisk360は、既に世界中の企業・組織のCISO／ CIOに活用されています。

例えば、欧州のある放送局は、ロシアにある自社サーバーが侵害にあったことをいち早く察知して危機を回避しました。また、ある金融機関は、セキュリティー被害による財務的損失を未然に防ぐことができました。Risk360の効果を大いに評価したこのお客様は、一層の対策強化に向けた追加のセキュリティー投資を行うことを決定しています。

最後に、Risk360の今後の進化や、ゼットスケーラーのビジネスの今後の展望についても教えてください。

クリシュナ今後も継続的にRisk360の機能を強化していきます。代表的なものが、外部の製品・サービスとの連携強化です。150以上のクラウドサービス、アプリケーションと連携するソリューションを持つAvalorを買収したことで、可視化できるリスクの範囲を今後さらに拡大します。判定可能なリスク要因も増やしていくほか、AI／生成AI技術を活用して、より高効率・高精度なリスクの定量化と可視化を実現していく予定です。

サイバーセキュリティー対策は今や企業にとって避けて通れない課題です。重要な経営課題になる中、ゼットスケーラーはRisk360の提供を通じてCISO／CIOの取り組みを強力にご支援します。