インシデントの重大度基準の定義に沿った対策やAIOpsなどによる自動化が進む

　「AI（人工知能）技術の悪用などで進化した攻撃が増え、基幹インフラや政府、企業への攻撃が予測される。そうしたなかでは、インシデントの重大度に関する統一された定義と、継続的に変化している各国データ規制への対応が重要になる」──。Splunk Services Japan のBusiness Development Executiveである仲間 力 氏は、こう指摘する（写真1）。

写真1：Splunk Services Japan Business Development Executiveの仲間 力 氏

米国政府がサイバーインシデント重大度の定義を2025年に公表

　仲間氏はまず、サイバーセキュリティインシデントの重大度に関して「米国政府が進めている定義が2025年に公表される」としたうえで、その価値を次のように説明する（図1）。

　「統一された定義がないとインシデントへの判断基準が曖昧になり、適切な対応が困難になる。明確な定義があれば、各組織がそれぞれに考える部分が減り、窮地に立たされる事態を回避するための客観的な判断ができるため、実務レベルでの対応強化につながる。加えて、可視化すべき対象や、報告すべき内容が具体的に決まってくるため、抜けや漏れのないインシデント報告が可能になる」

図1：セキュリティインシデントの重大度に関する統一された定義が求められている

　「以前、NISC（内閣サイバーセキュリティセンター）でも重大度の定義に取り組んだことがあるが、インシデントの重大度を定義するのはとても難しい。米国政府から素晴らしい定義が出てくることを楽しみにしている。自動化などを実現できるレベルで具体的に決まってくるとありがたい」と仲間氏は期待する。

　一方、各国のデータ規制について仲間氏は「安全保障の問題から、国ごとにサイバー対策やデータ規制が乱立している。民間企業は、これらの急速な変化への対応を迫られている」と話す。

　特にEU（欧州連合）ではデータ主権に関する規制が増加し、規則間の矛盾や混乱の可能性も高まっている。「組織が規制の罰金や制裁の回避を優先すると、レジリエンス（困難や変化を乗り越え対応する力）確保に影響が出てくる可能性もある」（同）

　対策としては、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）とCIO（Chief Information Officer：最高情報責任者）、法律顧問が連携し部門横断的な対策チームを設立。同チームが規制の変化を監視しつつ、組織レベルで必要な対策を講じる。

　「組織内の責任者や専門家の連携を成功させるには、目的や認識の共有が非常に重要になる。国際的な企業では、多くの国のさまざまな考えの人間が働いているため、何を目的としたセキュリティや規則への対応なのかといった考えの共有が不可欠だ。ダッシュボードやレポートツールなどによる適時適切な情報共有により、チームとしてのまとまりの醸成が期待される」と仲間氏はアドバイスする。

AI投資は成果重視にシフトしAIOpsやSOCへの活用に期待

　デジタル分野で関心が高まる技術にAIがある。AI投資額は2023年に約1540億ドル（約23兆円、1ドル150円換算）に達し、試験的プロジェクトが多数実施された。ただ具体的な成果が不十分だったり期待外れだったりする結果も少なくない。そのため企業は「2024年以降は取締役会を納得させられるだけのROI（Return On Investment：投資対効果）を重視した戦略的投資にシフトしている」と仲間氏はいう（図2）。

図2：AI技術への投資はROI（投資対効果）重視の戦略的投資にシフトしている