専門家社長と読み解く いま、企業のセキュリティ責任者が考えるべきこと：10年でセキュリティはこう変わった

サイバー攻撃の高度化とシステムの複雑化で、企業のセキュリティ責任者はますます厳しい立場に立たされている。フォーティネットジャパン社長の与沢和紀氏が、セキュリティ責任者が持つべき視点について語った。

[PR／＠IT]

PR

　サイバー攻撃の巧妙化や高度化が止まらない。ビジネスを脅かすリスクが増大し続ける中で、企業のセキュリティ責任者が取るべき行動とは。セキュリティ業界で約20年にわたり活躍し、企業へのコンサルティング経験も豊富なフォーティネットジャパン社長の与沢和紀氏が、＠IT編集部の三木 泉と対談した。

三木　今日はセキュリティについて大局的な観点で語り合い、企業のセキュリティ責任者の方々にヒントを提示できればと考えています。

　まず、過去10年間のセキュリティ動向を振り返りたいと思います。一言で表現するなら、「複雑化」だと私は思います。金融機関のAPI（アプリケーションプログラミングインタフェース）提供が象徴するように、ビジネスパートナーとのシステムを通じた連携が深まりました。ネットワークを通じて、重要なデータへのアクセスを提供するケースが急速に広がっています。

フォーティネットジャパン社長執行役員 与沢和紀氏（右）、アイティメディア＠IT編集部 三木 泉（左）

　社内でも従業員が社内の重要データを扱う機会が広がりました。データがクラウド上に置かれ、リモートでアクセスする場面も増えました。ソフトウェアの内製開発も広がり、スピードが求められる中で、開発者はセキュリティ面に注意を払うのが難しくなっています。

　広義の「DX」（デジタルトランスフォーメーション）における取り組み一つ一つがアタックサーフェス（攻撃の対象になり得るシステムやデータ）を生んでいる。この状況を背景に、「XDR」（Extended Detection and Response：拡張検出および対処）や「CSPM」（Cloud Security Posture Management：クラウドセキュリティ態勢管理）、「コンテナセキュリティ」など、新しいセキュリティ用語が次々に登場しており、困惑する人も多いでしょう。

　セキュリティの世界でCEO（最高経営責任者）やCTO（最高技術責任者）を経験しながら、数々の企業にアドバイスをしてきた与沢さんは、この10年間をどう総括しますか。

与沢氏　攻撃側について考えると、ここ数年における一番大きな変化は、楽して金銭的報酬を得ようとする攻撃が大幅に増えたことです。ランサムウェア（身代金要求型マルウェア）被害は相対的にサイバー犯罪全体の9割に及ぶといわれています。攻撃の分業化も進み、マルウェア作成やクレデンシャル情報窃取、攻撃の実行、データの換金などをサービスとして売り買いする「CaaS」（Cybercrime as a Service）が登場しています。

フォーティネットジャパン 社長執行役員　与沢和紀氏　2023年7月18日より現職。フォーティネットジャパン入社前は、NTTセキュリティホールディングスの代表取締役社長。2006年から2011年にかけ、NTTコミュニケーションズで複数の海外サイバーセキュリティ会社などの買収をけん引し、同社のコンサルティングを含む総合力とMSS（Managed Security Service）高度化を実現。2016年、NTTセキュリティ・ジャパンの代表取締役社長に就任。2018年より2021年まで、NTTセキュリティのCTOとしてグローバルR&Dを率いて脅威インテリジェンスの高度化、AI検知技術開発、コネクテッドワールド向け次世代サイバーセキュリティのイノベーションに注力した。

　Fortinetの脅威インテリジェンスおよび調査機関であるFortiGuard Labsは、何百万ものネットワークセンサーと情報網を通じて、世界中の攻撃対象領域を継続的に監視しています。ここからは、中国や北朝鮮、ロシアの一部や旧ソ連圏における金銭目的の攻撃グループに加え、国家が関与するサイバー攻撃やAPT（持続的標的型攻撃）グループが増えている状況が明らかになっています。

三木　最近（2024年2月）主要メンバーが逮捕されたランサムウェア攻撃グループ「LockBit」も、分業制ランサムウェアビジネスの典型例ですよね。LockBitのリークサイトでは、世界各国における多数の組織の機密情報がリスト化されていたといいます。「うちは大丈夫だろう」とはもう言えない状況です。

与沢氏　LockBitの主要メンバー逮捕やインフラのテイクダウン（停止措置）は素晴らしい功績です。ただし、これらは氷山の一角にすぎません。APTグループは150以上あり、うち少なくとも3割が積極的に活動しているといわれています。

　OT（制御技術）システムのセキュリティ動向も注視する必要があります。Fortinetが2023年9月に発表した「2023年OTサイバーセキュリティに関する現状レポート」では、OTを使っている組織の75％が「過去1年に少なくとも1件の不正侵入があった」と回答しています。製造業だけではなく、医療や金融、交易運輸、公共設備を含めた組織向けのOTセキュリティの強化は、非常に重要な課題となっています。

三木　攻撃の高度化に関していえば、セキュリティにおける最も脆弱（ぜいじゃく）な部分（Weakest Link）である「人」を守ることも難しくなってきていますよね。近年は生成AIの進化も手伝って、違和感のない日本語でフィッシングメールが送られてきます。ダークWebなどで出回っている情報をうまく組み合わせて文脈を整えているので、本物と見分けが付きにくい。社員教育によるセキュリティリテラシー強化といった対策には限界があります。

与沢氏　人からクレデンシャル情報を盗むのも当たり前になっていますし、情報自体がアンダーグラウンドで売買されて久しいです。攻撃対象とする企業の従業員をリクルーティングして、社員情報やネットワーク構成などの内部情報を得る攻撃者もいます。

セキュリティ予算策定で“持つべき視点”

アイティメディア＠IT編集部 三木 泉

三木　このような厳しい状況下でもビジネスを止めるわけにはいかず、おのずと実施すべきセキュリティ対策は増えていきます。予算が限られている中で、セキュリティにどこまでコストをかけるべきか悩む企業は多いと思います。

与沢氏　IT予算のうちどれくらいをセキュリティに割り振ればいいのか、という質問はよく受けます。IT予算が増えれば、ビジネスへのIT活用がそれだけ進むということなので、セキュリティ予算も増やすべきで、一般的にはIT費用のうち8〜12％が標準的といわれます。

　大切なのは、ゲートキーパー（門番）としてミニマムな感覚を持つことです。私はこれまで何度も米国でCISO（最高情報セキュリティ責任者）のラウンドテーブルに参加してきました。参加するCISOたちは「防御で100点を取ることはできない」ことを前提に、自社にとって確実に守るべき資産はどれか、侵入された場合の被害を抑える対策は何かを考えていましたし、各種防御技術には大変精通していました。

三木　セキュリティのコストパフォーマンスを考えるということですよね。日本ではなじみにくい考え方なのではないですか。

与沢氏　おっしゃる通り、日本では米国のような考え方がしにくいため、ゲートウェイセキュリティやエンドポイントセキュリティなどポイントごとの対策に飛び付きがちです。ですが、サイバー攻撃は個々の製品で防げるものではありません。幅広い製品で取得した通信やログを相関分析して、侵入や攻撃の有無、深刻度を判断する必要があります。

　とはいえ日本でも大企業を中心に、米国立標準技術研究所（NIST）が策定したサイバーセキュリティフレームワーク（CSF）を学び、適切な対策にコストを割り振る動きが起きていると感じます。ただ製品を入れるだけではない、保護対象のアセスメントや脅威のモニタリング、有事におけるレスポンス（対処）と復旧能力の強化といった対策です。

　サイバー脅威に対する100％の防御は不可能だ、というのはもはや常識になりました。インシデントの早期発見と対処、全社的なセキュリティ体制強化に力を入れる企業が増えています。

三木　そうした取り組みでは、専門性の高い人材が必要になります。人材の雇用や社内における教育に悩むセキュリティ責任者は多いと思います。

与沢氏　セキュリティ状況の現状把握やモニタリングに、マネージドセキュリティサービスプロバイダー（MSSP）の活用も有効だと考えます。セキュリティ製品を導入して100点満点中99点をカバーできたとしても、残り1点を補完するのは人間です。政府の一部組織や大企業を別として、大半の企業ではSIEM（セキュリティ情報イベント管理）を用いたインフラの監視や運用を自前でやるのは大変だと思います。

　セキュリティ予算策定では、製品やサービスを選ぶだけでなく、その運用コストや、場合によってはMSSPを活用するといったコストを含めてバランスを考えるべきです。セキュリティ製品はAI技術を駆使するなど高度化していますが、攻撃側の用いる技術も進化していることを忘れてはなりません。

CISOの責任とセキュリティ従事者の評価

三木　日本企業では、IT関連業務もジョブローテーションの一環に組み込まれてきたいきさつがあり、セキュリティ人材としてのキャリアパス設計は難しそうです。実際どうなのでしょうか。

与沢氏　経済産業省が策定した「サイバーセキュリティ経営ガイドライン」ではCISOの設置を求めており、これに沿うように動く企業は増えましたが、持ち回りでの任命や、CIO（最高情報責任者）など別の役職と兼務するケースは珍しくありません。「専門家でもないのに責任だけ取らされる」という話も聞きます。

　一方で、日本でも大手企業を中心に「専門家」の方々が増えてきました。そうした方々がセキュリティリーダーとして活躍し、経営幹部と話すことで、バランスのいいコスト策定が実現しつつあると感じます。

　社内でセキュリティ業務の経験を積んできた方が昇進し、CISOとなる例も見られるようになりました。このように、キャリアパスは着実に作られつつあると思います。

三木　セキュリティは「守って当然」で、担当者が評価されづらい世界です。セキュリティ責任者がモチベーションを維持するのは難しいと思います。

与沢氏　おっしゃる通りです。「随分コストをかけているけれど、効果を出せているのか説明しろ」といわれてしまう点がやはり難しい。

　ぜひやっていただきたいのは、定量的な効果を示すことです。ログなどを常時監視する中で、怪しい事象が何件あり、うち何件はじいた。侵入を許した場合でも、即時対処したことで何件は大事には至らなかった――といった具合に、要点を定量的にレポートにまとめて上層部に提示することです。

「ベストオブブリード」と「総合ソリューション」どちらを選ぶべきか？

三木　近年、総合的なセキュリティソリューションを提供するベンダーが増えています。意図は分かるのですが、やはり単一ベンダーに依存したくないという企業は多いと思います。

与沢氏　異なるベンダーのポイントソリューションを選んで組み合わせる「ベストオブブリード」を追求する企業は多いです。私はMSSP歴が長いので、複数製品の相関情報を見てようやくインシデント発生をリアルタイムで把握できた、という経験を数多くしてきました。

　重要なのは、どのレベルの運用担当者でも、共通のインタフェースからゲートウェイ、SASE（Secure Access Service Edge）、CASB（Cloud Access Security Broker）、SD-WAN、EDR（Endpoint Detection & Response）、メールセキュリティなど、各種ツールの情報をリアルタイムに把握し、分析や対策につなげることです。検知から初動までの流れをいかにスムーズに実施できるか、全体最適の視点を踏まえて判断すべきだと思います。Fortinetのソリューション群は連携性に優れており、この裏側を支えているといえます。

フォーティネットジャパン社長を引き受けた“3つの理由”

三木　与沢さんは、2023年7月にフォーティネットジャパンの社長執行役員に就任しました。なぜこの会社を選んだのですか。

与沢氏　旧知の仲であったFortinetの創業者で会長兼CEOのケン・ジーから、前職から勇退する数カ月前に話があり、勇退決定を伝えた瞬間に即断となりました（笑）。当社で働くことにした理由は大きく3つあります。

　1つ目は、事業戦略が明確であること。ケン・ジーは、明確な思考とポリシーを持った人物です。クラウドや仮想化のサービス開発に注力する一方でハードウェアも重視し、「高速かつ低価格のセキュリティ専用『ASIC』（特定用途向け集積回路）を提供し続ける」という創業時からのポリシーを貫くと明言しています。実際に、OTセキュリティ製品ではハードウェアのメリットが生かされています。このような芯のある経営方針に共鳴し、彼と仕事ができたらきっと面白いと感じました。

　2つ目は、オペレーティングシステム（OS）やASICなどコア技術を自社開発していることです。Fortinetは企業買収した際、自社技術との連携に注力しています。他社では事業買収しても足し合わせたのみというケースが見受けられます。

　そして3つ目は、統合的なソリューションとして優れていることです。Fortinetは、ハードウェアからクラウドまで統一的なインタフェースを採用しており、異なるコンポーネントでも実装から出力フォーマットまで均一の管理コンソールを提供しています。そのため専門家の有無にかかわらず、全体を俯瞰（ふかん）する相関分析がしやすい。あらゆる事業規模の企業に対して、セキュリティ体制強化のお手伝いができると考えています。