このように、10のカテゴリーが示す弱点が招きやすい被害として読み直すと、ぐっと自分ごとになる。
いずれも、OWASPをはじめとする専門家コミュニティーが、四半世紀にわたり警告し続けてきた問題だ。毎週ニュースで読む被害は、OWASP Top 10という見取り図の上にある。
この見取り図を基に、セキュリティ問題に対応すべきことは2つの側面で考えられるだろう。
1つ目は、技術的対応だ。技術的判断については、専門の調査や診断サービスを頼むことが多いだろう。また、AIを活用するものも出てきている。例えば、マルウェア検知の精度、脆弱性スキャンの網羅性、パッチ適用の優先順位づけ、アラートのトリアージといったあたりはAIによる処理の優位性が高い。今は不十分なことも多いが、いずれ進化を競って片付けられていくだろう。仕組みに任せられるところは任せていかなければ人手では追いつかない。人は仕組みのアウトプットを受けて判断する役割を担っていくことになる。
もう1つは、事業の観点での重みづけだ。世間で発見された脆弱性を、自社の事業影響に照らして見て、自社のどの弱点をどれだけ急いでどのように塞ぐか、決めるのには組織上の調整が必要だ。
例えば、いくつものシステムを抱える中で、ある情報資産が脅かされる、あるいは情報流出の懸念があるとする。止まれば即座に生産が落ちるものもあれば、漏れるだけで信用が失われるものもあるだろう。その重さは、技術的な深刻度の数字には出てこない。だから、平時の時こそ、各システムへの想定被害が「自社にとってどれだけ痛いか」、見当をつけておくことだ。それだけで、いざ何かが起きた時、どこから手をつけるかが決めやすくなる。
経営者が向き合うべき「3つのポイント」
脆弱性対策は、もはや技術部門の役割を通り越して、経営の領分に入っている。先進的なAIがどれだけ高度になろうと、「AIに守らせればいい」と考える前に気づくべきことがある。脆弱性への備えは、いつのまにか技術の課題から経営の課題に変わっている。それを直視して具体的な対策方針を決定していなければ、賢い守護神であるはずのAIは組織の判断の甘さを前提に、企業への攻撃を「観察するだけ」に終始するだろう。
自社が何を持ち、どう守り、どう動かし続けるか。整理すれば、経営者が向き合うポイントは以下の3つだ。
