【対談記事】拡大する攻撃対象、複雑化するリスク─Bitsightと考える“いま必要なセキュリティ対策”

デジタル化が進む現代において、サイバーリスクはもはやIT部門だけの課題ではなく、企業全体の経営リスクとして捉えられるようになってきました。
その中で注目されているのが、外部から客観的に企業のセキュリティ体制を評価する「セキュリティレーティング」です。

本記事では、グローバルに顧客を持つBitsight社のアジア太平洋地域責任者であるKisso氏を迎え、弊社代表・宮村信男との対談を通じて、サイバーリスクの可視化や最新トレンド、日本市場への展望などについて深掘りします。

🎥 対談の様子はこちらの動画(37分35秒)でご覧いただけます。

※対談の内容は2025年3月時点の情報に基づいております。

企業のセキュリティ体制を“外から見る”Bitsightとは

まずKisso氏は、Bitsightの設立背景とその提供価値について語りました。

サイバーセキュリティ分野において、Bitsightは外部から観測可能な情報をもとにセキュリティ体制を評価する「セキュリティ レーティング」の手法をいち早く取り入れた企業のひとつです。信用格付の考え方に着想を得たこの仕組みは、企業のサイバーリスクを定量的に把握する手段として注目を集め、徐々にその活用が広がっていきました。

現在では、単なる「セキュリティ レーティング」の枠を超え、拡張されたアタックサーフェス（攻撃対象領域）全体にわたる可視化やリスクの優先順位付け、さらには経営層・取締役会レベルでの判断材料としても活用できる分析機能を提供するなど、企業全体のリスクマネジメントを支援するプラットフォームへと進化しています。

世界3,000社超が導入─幅広い業界に浸透する実績と信頼

Bitsightは現在、世界中で3,300社以上の企業に採用されており、55,000人を超えるユーザーが日々そのデータを活用しています。

顧客は金融、製造、通信、公共セクターなど多岐にわたり、サイバーリスクがもはや一部門の問題ではなく、あらゆる業種・業界に共通する経営課題であることを示しています。

契約企業名は原則非公開とされていますが、Moody’s、Schneider Electric、Google、NASAなど、名だたる組織がパートナーとして公表されており、同社のデータと信頼性がグローバルに通用するものであることを物語っています。

サイバーリスクの信頼性評価を支える外部検証─Moody’sとの連携が示すデータの価値

Bitsightは、信用格付で知られるMoody’sと戦略的パートナーシップを結んでおり、Moody’sは同社に出資するのみならず、顧客・販売パートナーとしても連携しています。
この背景には、サイバーリスクが財務・ESGと並ぶ経営上の重要リスクと位置づけられていることがあり、Moody’sは信頼性のあるサイバーリスク指標としてBitsightのデータを採用しています。

さらに、保険会社やリスク評価機関など外部の第三者による検証も進み、Bitsightの分析情報は実際のセキュリティインシデントとの相関が高い有用な評価指標として認識されつつあります。

変化するリスク環境とどう向き合うか

Kisso氏は、近年のサイバーセキュリティ領域における主要な課題として、以下の4点を挙げました。

1. アタックサーフェスの急拡大
   リモートワークの定着、クラウドの活用、IoT機器の普及に加え、取引先や委託先を含むサプライチェーンの拡大により、企業が管理すべきIT資産は飛躍的に増加しています。これにより、自社の境界を超えて広がる攻撃対象領域への対応が不可欠となっており、全体を俯瞰したセキュリティ管理体制の構築が求められています。
   
2. 脅威の多様化と高度化
   従来の金銭目的の攻撃者に加え、地政学的な緊張の高まりに伴う国家支援型の攻撃や、高度な犯罪グループによる攻撃も増加しています。さらにAI技術の悪用によって攻撃の自動化・高精度化が進み、防御側には一層の対応力が問われる状況です。
   
3. 限られたリソースの中での対応最適化
   脅威が拡大する一方で、セキュリティ予算やリソースの拡大には制約があるのが実情です。企業には、リスクを見極め、限られた予算やリソースを最も効果的に活用する戦略的な運用が期待されています。
   
4. 規制対応の複雑化と説明責任
   各国でセキュリティ関連の規制が強化される中、企業には法令遵守だけでなく、投資家や取引先、顧客などのステークホルダーに対する説明責任を果たすことが重要な要件となりつつあります。
   

Bitsightが支援する実践的アプローチ

これらの課題に対して、Bitsightは以下のような支援を提供しています。

1. アタックサーフェスの急拡大に対して
   Bitsightは、外部から観測可能なデータを用いて企業やその取引先のIT資産を特定し、サプライチェーン全体のアタックサーフェスを継続的に可視化します。さらに、関連資産の属性やエクスポージジャーなども分析することで、攻撃対象となり得るリスクの把握と管理に貢献しています。
   
2. 高度化・多様化する脅威に対して
   従来のセキュリティ レーティングに加えて、より能動的なリスク対応を可能にするため、Bitsightはリアルタイムかつ実行可能な脅威インサイトの提供を進めています。特に、サイバー犯罪の地下コミュニティから得られる情報をもとに、企業に関連する脅威を早期に捉え、より迅速で効果的な対応につなげています。
   
3. 限られたリソースへの対応として
   セキュリティ レーティングだけではなく、脅威やエクスポージャーの継続的な管理、ガバナンス、ベンダー評価、レポート作成など、複数の機能を1つのプラットフォーム上に統合。複雑化するツール群やテクノロジーの統合を支援し、限られた予算やリソースでも効率的に対応できる環境の構築を後押しします。
   
4. 規制対応と説明責任に向けて
   Bitsightのリスクスコアは、実際のビジネス上のインシデントとの相関が外部機関によって検証されています。経営層や取締役会との内部調整だけでなく、規制当局や保険会社、取引先など社外ステークホルダーへの説明にも活用される、客観的かつ独立性のある指標として位置づけられています。

Bitsightは、サイバーリスクに関するさまざまな課題に対し、包括的に対応できる体制を整えています。
単なるセキュリティ レーティングの提供にとどまらず、実践的で多様な価値を継続的に届けることを重視しています。

これからのBitsight─ロードマップと展望

Bitsightは「デジタル経済における信頼の構築」をパーパス(存在意義)とし、リスクがビジネスに影響を与える前に対応できるよう、組織を支援することをミッションとしています。
将来的には、あらゆるサイバー関連の意思決定において、Bitsightのインテリジェンスが不可欠な存在となることを目指しています。

その実現に向け、長期的な方向性としては、これまで主に外部環境に焦点を当ててきたアプローチを拡張し、組織内部のセキュリティ状況についても可視化・分析できるような仕組みの構築を視野に入れています。

一方で、今後1〜2年の短期的な取り組みとしては、以下の4点に重点を置いています：

1. 脅威・エクスポージャー領域の強化とスキャン精度の向上
   クラウドや公開ストレージといった新たなリスクソースの監視対象を広げ、スキャン頻度も高めることで、より価値のあるインサイトを継続的に提供します。また、レーティングに関する課題も技術的に改善し、検出されたリスク情報をより即時的に反映できる仕組みの整備を進めます。
   
2. レーティングの精度向上に向けた基盤整備
   特にサービスプロバイダのネットワーク構成やゲストWi-Fiの分離など、企業のインフラ構造をより正確に把握できるようにすることで、実際の組織リスクをより正確に反映したレーティングが可能となるよう改善を図ります。
   
3. サードパーティリスク管理機能の強化
   「Continuous Monitoring」のデータとの連携を深め、ワークフロー自動化を含めたVRM（ベンダーリスク管理）機能をさらに拡充。大規模組織にも対応できるエンタープライズ向けの運用体制の整備を進めます。
   
4. Cybersixgillとの連携深化
   BitsightとCybersixgillの強みを融合し、ユーザーにとって、よりシームレスかつ柔軟な利用体験を提供。モジュール化も視野に入れ、さまざまなユースケースに対応できるソリューション展開を進めていきます。

脅威インテリジェンス「Cybersixgill」との連携による相乗効果

Bitsightは2024年、脅威インテリジェンス分野のCybersixgillを傘下に迎えました。Cybersixgillは、ダークウェブや犯罪フォーラムなどから得られる情報をもとに、リアルタイムで脅威インサイトを提供するサービスです。

この機能をBitsightのIT資産検出およびアタックサーフェスの把握機能と組み合わせることで、企業は重要なリスクを自社の状況に照らして整理し、対応の優先順位を判断できます。

今後は、両者の強みを融合させ、より包括的かつ実践的なリスク対応を可能にするソリューション展開が期待されています。

Bitsightは今後も、顧客やパートナーからの声を取り入れながら、現実的で価値あるサイバーリスクインテリジェンスの提供を目指して進化を続けていきます。

AIの活用で、より高度かつ実用的なソリューションへ

Bitsightでは、膨大な外部データを扱う中で、今後AIの活用をさらに強化していく方針です。
たとえば、組織のデジタルフットプリントをより正確に把握するためのアセットマッピングや、世界中のインターネット空間をスキャンする次世代システムの構築にAIを応用していく予定です。また、プラットフォーム上で重要度の高いインサイトを優先的に提示する機能など、ユーザーの判断を支える「アシスタント」のような役割も担わせていく構想です。

傘下のCybersixgillにおいても、AIの活用が進められています。たとえば「Pulse」は、ユーザーの関心や行動をもとに脅威情報をパーソナライズする機能で、今後、より最適なインサイトをタイムリーに提示できるよう進化が期待されています。さらに、経営層、セキュリティ担当者、規制当局など、レポートの読み手に応じた内容をAIによって自動生成する機能の導入も進められており、レポーティング業務の効率化と質の向上が期待されています。

これらのAI活用はすべて、実務担当者が膨大な情報に埋もれることなく、本当に注力すべきリスクに集中できる環境を整えることを目指した取り組みです。今後、BitsightはこうしたAI技術の強化を通じて、より精度の高い意思決定支援を提供していきます。

日本市場へのコミットメント

Bitsightは、日本市場をアジア太平洋地域における最重要市場のひとつと位置づけ、今後さらに支援体制を強化していく予定です。

2025年にはプラットフォームの日本語対応を進め、日本のユーザーにとってより直感的に使いやすい環境の整備を開始しています。さらに、日本国内での営業・技術人材の採用も積極的に進めており、現地のニーズに即したサポート体制の構築を進めています。

近年では、地政学的リスクの高まりとともに、日本企業も中国・ロシア・北朝鮮といった国を背景とした高度なサイバー攻撃の対象となる可能性が高まっています。

こうした状況のなか、Bitsightは日本のセキュリティ・リスク管理体制の強化に貢献すべく、より現地に根ざした支援と価値提供を推進していきます。信頼できる判断基盤の提供を通じて、企業の持続的なリスク対応力向上を後押ししていくことがBitsightのコミットメントです。

世界をリードするセキュリティレーティングプラットフォーム「Bitsight」

Bitsightでは、自社、海外子会社から取引先までサプライチェーン全体のサイバーリスクを可視化しマネジメントできます。

Bitsightのサービスの詳細については、こちらのページをご覧ください。

Bitsight