AIを活用したサイバー攻撃が高度化する今、企業経営者には技術者のバイブルとも言われる「OWASP Top 10」の理解が求められている。アスタリスク・リサーチ代表取締役の岡田良太郎氏は、最新の脅威に対応する前に、企業が向き合うべき基本的な課題があると指摘する。
なぜ経営者がOWASP Top 10を知るべきか
OWASP Top 10は、Webアプリケーションのセキュリティリスクを10のカテゴリにまとめたもので、技術者にとっては必須の知識だ。しかし岡田氏は、経営層がこれを理解することで、セキュリティ投資の優先順位を適切に判断できるようになると述べる。AI攻撃は従来の攻撃より自動化・巧妙化しており、経営者の判断が企業の命運を分ける。
盲点その1:何を持っているか知らない
多くの企業は、自社がどのような技術資産を持っているかを正確に把握していない。岡田氏は「技術の目録」と「ビジネスの重みの一覧」の2つを作成することを提案する。委託先、利用中のSaaS、データ保管先、アクセス権限などをリストアップし、さらに事業にとって重要な部分を特定する。これにより、脆弱性情報が出た際の初動が劇的に変わるという。
盲点その2:守りがリスクに見合っていない
資産を把握したら、その重要度に見合った防御策を講じる必要がある。岡田氏は「守りは1枚ではない」と強調し、侵害を防ぐ対策、侵害を検知する対策、侵害後の復旧対策を重層的に考えるべきだと述べる。多くの企業は、重要でない部分に過剰な投資をし、重要な部分が無防備なままになっている。
盲点その3:運用訓練への投資不足
セキュリティ製品を導入しても、適切に運用できなければ効果は半減する。岡田氏は「新しい道具には投資するが、人や組織の訓練には投資しない企業は少なくない」と指摘。定期的なアドバイスや訓練にコストをかけるかどうかが、経営の本気度を示すと述べている。
経営者が今すぐ取り組むべきこと
最新の脅威に対応する前に、まず自社の資産とリスクを把握し、防御の優先順位を決めることが重要だ。岡田氏は「火が出てから消防団を結成するのでは遅い」と警鐘を鳴らす。経営者は技術者の知識を借りつつ、自らもOWASP Top 10の基本を理解し、セキュリティ戦略を主導すべきである。
