先般、大手出版系企業やエネルギーインフラ系企業において、ランサムウェア被害が発生したことが立て続けに報じられ、社会的にも大きな関心事となった。
比較的リソースに余裕があり、セキュリティ対策にリソースを投入しやすい大企業においてさえ、こうした被害が発生してしまうほど、サイバー攻撃が巧妙になっていることの証左ともいえる。
そうした状況下、準大手・中堅企業では、セキュリティに対応できる人材の不足などリソースが限られる中で、セキュリティ対策を講じていく必要があり、どのような対応をすべきかは、重要な経営課題となっている。
このほど、丸紅I-DIGIOホールディングス株式会社(以下、丸紅I-DIGIO)は、グローバルセキュリティエキスパート株式会社(以下、GSX)と資本業務提携をした。増加し続けるサイバー攻撃の脅威に対応する企業へ、セキュリティサービスの提供を強化したGSXの上席執行役員 後藤 慶氏と、丸紅I-DIGIOの事業推進本部 セキュリティ事業戦略グループ長 林 修好に、セキュリティ対策の課題や、その対応などについて話を聞いた。
準大手・中堅企業が抱えるセキュリティ対策の課題とは
――準大手・中堅企業が抱えるセキュリティ対策の課題には、どのようなものがあるのでしょうか。
後藤 基本的なことでいえば、セキュリティ対策上の課題というものは、大手企業であれ、準大手・中堅企業であれ、あるいは中小企業であれ、それほど違いはありません。
たとえば、セキュリティ人材の不足ということも大きな課題のひとつであり、そのことは企業規模にかかわらず重要課題といえます。ただ、大企業は人員的に余力があるケースがあり、ある程度のIT人材をセキュリティ面に投入することができます。しかし中堅・中小企業ともなると、そもそも業務システム系にセキュリティ人材を振り向けなくてはいけないという事情があり、結果的にインフラ系、特にセキュリティ面に投入できる人的リソースが、大企業よりもさらに厳しい状況になってしまうのです。
準大手・中堅企業のセキュリティ担当は、関連領域を広く見渡すことができ、幅広い見識を備え、一定の経験を積んだ人材でなければ、なかなか対応が難しいという側面があります。そのため、他の分野のIT人材以上に不足気味になるという面があるのです。
林 人材不足がセキュリティ対策における大きな課題のひとつであることは、まさにその通りです。さらに人材に関してもうひとつ課題があるとすれば、人材の定着が難しいという点を挙げられます。そもそもセキュリティ業務というのは、普段は何も起こらない。しかし、いったん何かが発生すると、すべての責任がセキュリティ担当者にあるかのような、重大な責任を負わされることにもなりかねません。企業として、あるいは組織としてはそんなつもりはないとしても、本人はそうした責任感、意識の中で、非常にストレスフルな状況で業務遂行にあたることになります。そのために、なかなか定着しないという側面があることは否めません。
後藤 人材以外で、大きな課題だと感じているのが、正常性バイアスの問題です。特に日本企業の経営層に多いような印象ですが、意識として“わが社は大丈夫”と感覚的に思い込んでしまっているという側面があります。しかし現場のセキュリティ担当者としては、決して大丈夫だとは思っていない。そうした意識的なギャップがある中で、最前線の担当者は、経営層に対してセキュリティリスクを説明し、説得してセキュリティ予算を獲得しなければならないのですが、それがなかなかスムーズにはいかないということも課題だと思います。
日本はサプライチェーンが非常に発達していて、バリューチェーンとしては優れていますが、そこにかかわる関連企業、委託先企業のいずれかにセキュリティ上の問題があると、サプライチェーン全体の情報漏洩やウイルス感染といった被害に発展してしまう危うさがあります。今日のようなデジタルネットワークが高度に発展した世界では、どこもかしこも狙われていると考えるべきで、正常性バイアスによる“わが社は大丈夫”という意識そのものを変えていくことが肝要だと思っています。
林 日本企業の場合、セキュリティ対策は保険的なものだと考えられていて、万が一の場合に備えて最低限必要な保険はかけるけれど、積極的な投資の対象としては考えられていないことが多いようです。売上に直結するような業務系のシステム開発には投資を惜しまなくても、セキュリティに対してはなかなか投資されないというのは、そういうことだろうと思われます。
後藤 しかし現実問題として、IT業界の進化はものすごい勢いで進んでいます。さまざまな新しいテクノロジーが開発され、市場に投入され、自社内のシステムに組み込まれていきます。活用されるテクノロジーが多様化すれば、その数だけセキュリティ上のリスクも増えます。悪意ある攻撃者は、実に巧みにそうした脆弱性をついてきます。だからこそ、企業としては、先手先手でセキュリティ対策を講じていく必要があります。しかし、“わが社は大丈夫”という意識でいるがために、セキュリティ上の重大な被害に遭っている企業は後を絶ちません。最近も、エネルギーインフラ系の大手企業や、出版系の大手企業などが大きな被害に遭っているという報道がありました。あらゆる企業に、適切なセキュリティ対策の必要性を正しく認識していただきたいと思います。
2. セキュリティ対策上の課題に求められるアプローチとは
――そうしたセキュリティ上の課題を抱えている企業としては、その課題解決・問題解決に向けて、どのような取り組みが必要になるのでしょうか。
林 自社の課題に合わせて、適切なITロードマップを作成して、そのロードマップに即して適宜にセキュリティ対策を実施していくことが大切です。適切にITロードマップを作成しているような企業であれば、必要なセキュリティ対策や、その優先順位なども明確化されていると思います。ただ、準大手、中堅、中小といわれる企業の場合、実際問題としてそこまで手が回っていない、というのが実情ではないかと思われます。
後藤 ロードマップを作成できている場合であっても、業務系のアプリケーションや、売上の増減に直結するようなテーマについては、ロードマップ上に明記できているが、セキュリティ対策については疎かになっているというケースは少なくないようです。どういった新しいテクノロジーを取り込むかによって、どんなリスクが発生し得るのか、未知の脅威にどう対処すべきなのか、という点をロードマップに盛り込めていないのです。
これはある意味で、自社の健康状態をわかっていないということです。しっかりしたセキュリティ対策を講じるためには、まずは自社の健康状態を把握することが重要で、そのためのアセスメントが不可欠なのです。たとえば当社の診断サービスなどを活用すれば、その企業のどの領域が弱いのか、業界平均や一般的な企業平均と比べてどうなのか、といったことが定量的に比較できます。自社の脆弱性、弱点が可視化できれば、対策も立てやすくなりますし、どの程度のセキュリティ投資が必要かも明確になるので、経営層に対しての説得もやりやすくなります。経営層としても、どのような投資が必要なのかを判断しやすくなります。
業界団体などが、“××に関するセキュリティ対策としては、こうすべき”というようなベストプラクティスを公表している場合もあります。そうした情報なども組み合わせて、必要に応じた対策をロードマップとして作成していくことが肝要です。
GSX×丸紅I-DIGIOの連携が生み出す、ワンストップのセキュリティソリューション
――今回、GSXと丸紅I-DIGIOが提携したことによって、セキュリティ対策に課題を抱えた準大手・中堅企業に対して、どのようなソリューションサービスを提供できるようになるのですか。
林 まずはGSXがもつアセスメントのノウハウ・知見によって、企業が抱える脆弱性などの問題を発見・把握します。その上で、企業がおかれている状況に応じた適切なソリューションを、丸紅I-DIGIOがもつ多様なソリューションの中から組み合わせて提供していくという、セキュリティソリューションのワンストップサービスを提供することが可能になります。これが顧客企業に対して提供できる大きなメリットになると思っています。
後藤 当社には、これまでの実績によって蓄積された、アセスメントについての知見やノウハウがふんだんにあります。そうした知見・ノウハウをうまく活用しながら、まだまだセキュリティ対策が十分に取れていない準大手・中堅企業に対して、適切なサポートを展開していけることが、ひとつの強みにもなっています。
また当社では、そこに加えて、サイバーセキュリティ教育カンパニーとしてのセキュリティスキルや知識を身に着けることができる教育サービスを提供することができます。エンジニア向けの、セキュリティをより強固にするような教育ももちろんありますが、DXの推進が進む中では、一般の従業員の方も適切なセキュリティ知識は必要ですし、その教育も疎かにはできません。さらには、幹部経営層に対しての教育、意識改革も場合によっては欠かせません。この3層に対して網羅的に人材育成を支援することが可能です。
また教育・訓練をご一緒する中で、たとえば「こんなソリューションが足りていないかもしれない」、「組織体制に不足があるかもしれない」といった気づきが得られることもあり、そうした気づきを迅速に施策に反映させることも可能になります。そうしたサービス提供が可能になるのも、当社に教育サービスがあるからです。
林 脆弱性診断などでは、企業としては第三者機関のようなところに任せることで、より客観的で、中立的な評価結果を得たいというニーズがあります。この点において、GSXと丸紅I-DIGIOは提携関係にあるとはいっても、それぞれに独自の専門性をもったプロフェッショナルですから、中立性を保ちながら、顧客企業に対して最善の提案が可能になると自負しています。第三者機関的に中立性を保ったGSXがアセスメントを実施し、その結果に応じて、多様なツールや手段をもつ丸紅I-DIGIOが個々の企業が抱える課題に対して最適な組み合わせでソリューションを提供する。ワンストップのサービス提供体制という利便性はもちろんのこと、両社の専門性が高いレベルで実現されているという点も、大きな提供価値であると自負しています。
GSX×丸紅I-DIGIOの将来展望
――両社が提携したことで、今後どのような展開をしていくのでしょうか。
林 通常、GSXが提供しているアセスメントは最低でもおよそ3ヵ月以上の期間を使ってじっくりやるものです。そのアセスメントをベースに、丸紅I-DIGIOが展開するソリューション向けに、1ヵ月程度に期間短縮したカスタマイズサービスをご用意いただきました。もちろん、通常版のアセスメントを展開しますが、特にゼロトラストを希望するような企業に対しては、カスタマイズ版を提供することでスピーディに対応し、その後のシステム構築、セキュリティ・システム構築に繋げられるような展開もしていきたいと考えています。また、今後はGSXのノウハウや知見を背景に、ITロードマップの作成をサポートしつつ、顧客企業との長期のリレーションを構築していくことも可能だと思っています。
後藤 今日、セキュリティ対策にしっかりと取り組む必要がある日本企業は数万、いや数十万社以上もあると思っています。しかし、現在のところ、当社がご支援できている企業は数千社に過ぎない。もっともっと、守られるべき企業があるのに、当社の力だけではなかなか対応できませんでした。しかし今回の丸紅I-DIGIOとの提携によって、より多くの企業に最適なセキュリティソリューションを提供できるようになりました。冒頭でも触れたように、大手企業はリソースがあって、セキュリティ対策が進んでいる企業も多いケースもありますが、準大手・中堅、中小企業はなかなかやり切れていないと思います。そうした企業に対して、GSXと丸紅I-DIGIOがタッグを組んだことで、より最適なソリューションをお届けできるようになったと思っています。
ぜひ、GSX×丸紅I-DIGIOの強力タッグに期待していただきたいと思います。