セキュリティ業界にあふれる“片仮名バズワード”を正しく理解するコツとは？

●より分かりやすく、ブレない言葉をどう導き出すか

　その意味で、河野氏が「英語を基にした片仮名用語をもっと広く理解されるような日本語に改めていきたいと考えています」と述べてくれたのは、本当にありがたいことだと思います。

　昨今、「EDR」（Endpoint Detection and Response）というキーワードが頻出したと思ったら、いつの間にかそれは「XDR」（Extended Detection and Response）となり、ベンダー各社がさまざまにその用語を拡張していきました。正直、筆者にはそれらの違いを厳密には区別できず、インタビューなどをした際には「それはどういう定義でお話しされていますか？」と聞くこともあります。

　アタックサーフェスマネジメントはシステムを守る上で重要な考え方であり、企業規模を問わず実施が必要です。その際、担当者ごとにキーワードの認識が異なっていると、本来その枠組みですべきことが抜けてしまうかもしれません。そのため、分かりやすい表現が出てくるのはありがたいです。

　しかし、デジタル庁が旗を振るだけでは難しいでしょう。新たなキーワードが出てきても、解釈のブレが避けられる気はしません。そうなると、やはり担当者の皆さんが、曖昧（あいまい）な「アタックサーフェスマネジメント」というキーワードを深掘りし、もう一度「何をすることが重要なのか」をそれぞれで考えなくてはならないと思います。そのきっかけをデジタル庁がつくってくれることを期待しています。

　例えばアタックサーフェスマネジメントでは、外部からの攻撃を想定し、資産とアクセス制御、脆弱性管理を実施する必要があります。これまでも言われているようにセキュリティではまず自社で守るべきものを定義することが重要です。

　その資産を定義したら、重要度ごとにそれらにアクセスできる人やプロセスを整理します。具体的にはIDの権限やネットワーク機器のポート管理、管理者権限がどのように使用されているかを把握します。並行して、これまで実施していた脆弱性管理に対応していきます。この文脈であれば、真っ先に対応すべき脆弱性がどの機器に存在するのかということも考えられるかもしれません。

　こう見ると、新たなキーワードであるアタックサーフェスマネジメントも、これまで通りのセキュリティ項目として理解できるはずです。新しい言葉が注目を集めただけと考えると、実は過去の知識や経験を活用できるものになっていたことに気が付くでしょう。