日本企業を縛る呪い「セキュリティ＝特定・防御」 サイロ化とマルチベンダーに捕らわれない平時の備え方：課金が怖いからログを絞り込む

多くの日本企業が「セキュリティへの投資を継続しているにもかかわらず、一向にインシデントの脅威が減少しない」というジレンマに陥っている。日本企業のセキュリティ対策を支援してきた製品ベンダーへの取材から、その理由を探る。

[宮田健，＠IT]

　現代の企業経営において、サイバーセキュリティへの十分な投資はもはや避けられないものとして認識されている。しかし、多くの日本企業が直面しているのは「投資を継続しているにもかかわらず、一向にインシデントの脅威が減少しない」というジレンマだ。なぜそのようなことが起きているのか。

　日本企業のセキュリティ対策を支援してきたラピッドセブン・ジャパンの代表執行役社長 松田俊幸氏は、現状について「敵を知らずして守りの投資を続けてきた」と指摘する。多くの組織がNIST（米国国立標準技術研究所）のサイバーセキュリティフレームワークを金科玉条としているが、その実態は「特定」「防御」といった左側の対策に過度に集中し、「検知」「対応」「復旧」という右側への備えがおろそかになっている。

　松田氏は、自社のリスク、すなわち「敵がどこを狙い、どのような影響を及ぼすか」を平時から把握していれば正しい投資ができ「守り偏重ではなく、攻めるためのセキュリティ投資にシフトできる」と強調する。

　2026年に向けて企業が成すべきは、平時の「ハイジーン」（衛生管理）と有事の「レジリエンス」（回復力）の境界を消失させ、セキュリティを経営判断と直結する強固な基盤へと再定義することだ。投資のROI（投資対効果）を最大化するには、単なるツールの追加ではなく、運用の「質的転換」が不可欠だ。

レジリエンス体制は、平時の運用と有事の対応から（提供：ラピッドセブン・ジャパン）

「経営・IT・セキュリティ」の三位一体化

　セキュリティ運用の機能不全を引き起こす真因は、技術的な欠陥よりも、むしろ組織内の「分断」にある。同社で最高技術責任者（CTO）を務める古川勝也氏は、現場の課題を「言葉が通じない、目的がバラバラ」という構造的問題として指摘する。経営層、セキュリティチーム、そしてIT運用部門の三者が、異なる指標と専門用語で動いている限り、防御の網の目には必ず致命的な「隙」が生じる。

　この分断を解消する鍵は、情報の「共通言語化」を可能にするプラットフォームの統合にある。単なる情報の可視化にとどまらず、三者が「同じダッシュボード」を見ることで、組織的な意思決定のスピードを劇的に向上させることが可能となる。古川氏は「経営の人、セキュリティの人、ITの運用の人が同じ視点でダッシュボードを見る。これこそデジタル活用のポイント」だと説く。

　「同じ視点」を持つことは、単なる情報の共有ではなく「戦略的一貫性」の確保を意味する。有事の際に「影響範囲は把握できているのか？」という経営層の問いに、即座に確証を持って答えられる体制こそが、デジタル時代の企業に求められる真の姿だ。しかし、組織が一体化しても、実効的な「対応」に時間を要しては意味がない。

「通知」から「着手」までのタイムラグをなくす

　従来の一般的なマネージドセキュリティサービスは、重大な構造的欠陥を抱えていると古川氏は指摘する。それは、脅威を検知してから対応を開始するまでに「顧客による判断」というボトルネックが介在することに起因するものだ。松田氏も「例えばSOC（Security Operation Center）が攻撃を検知したとしても、対応に当たるまでにベンダーによる判断が必要で、最大1、2週間かかるとする。それだと、今のサイバー攻撃のスピードでは守ることができない」と警鐘を鳴らす。

　攻撃者が数時間で侵害を拡大させる現代において、数日、数週間のタイムラグは敗北を意味する。つまり、検知と対応を分断させずに同時並行で走らせるMDR（Managed Detection and Response）モデルが必要だ。特定のアラートを検知した瞬間、裏側ではフォレンジック調査と初期対応が即座に開始される。顧客に通知が行くのは、インシデントだと確定した段階であり、その時点で既に封じ込めや修復が進行している。

　検知を「通知の終着点」ではなく「対応の始発点」とする即応体制への移行が、組織のレジリエンスを決定付ける。もしSOCベンダーと“対応”のベンダーが異なるようなら、タイムラグが発生するのは当然であり、攻撃者の付け入る隙となってしまう。

ラピッドセブンが考える「プリエンプティブ・セキュリティ」（提供：ラピッドセブン・ジャパン）

日本における「ASM」の誤解

ラピッドセブン・ジャパン 代表執行役社長 松田俊幸氏（提供：ラピッドセブン・ジャパン）

　現在、日本国内で注目される「ASM」（Attack Surface Management：攻撃対象領域管理）だが、その解釈は極めて中途半端で危険な状態にあると松田氏は指摘する。多くの組織が“外部”から（External）の検知を主としたEASMにとどまっており、インターネットから見える資産の脆弱（ぜいじゃく）性を洗うだけで満足している。真のリスク管理には、内部資産を可視化する「CAASM」（サイバーアセットアタックサーフェスマネジメント）の視点が不可欠だという。

　CAASMの本質は、API連携を通じて、エンドポイント、クラウドの設定、ID管理、ネットワーク構成といった内部情報の「関係性」をひも付けることにある。これにより、特定の資産が侵害された際の影響範囲を「爆心半径」として平時から特定できるようになる。古川氏は「社内で特定のサーバがやられたら、爆心半径はどうなるか。平時からその影響範囲もあらかじめ特定し、プロアクティブに問題あるものをチェックする」ことの価値を強調する。

　日々新たな脆弱性が発表される今、年に一回の脆弱性診断はもはや無意味に近い。攻撃対象領域を常時可視化し、有事の際の影響範囲を事前に把握しておくことで、初めて「NISTのサイバーセキュリティフレームワークの右側」の対応スピードを最大化できると言える。

　松田氏は、「守りの投資」から「狩る投資」へのシフトを強調する。ロールプレイングゲームでは、敵への先制攻撃が勝利のポイントだ。サイバーセキュリティにおいてもアラートを待つだけの受動的な姿勢ではなく、平時から攻撃の芽を摘み、侵害を前提とした影響最小化の仕組みを構築する「攻守逆転」の発想が必要になるという。

サプライチェーン全体の可視化を阻むもの

ラピッドセブン・ジャパン 最高技術責任者 古川勝也氏（提供：ラピッドセブン・ジャパン）

　ただし、この「狩り」を支えるには、「データの断絶」という大きな壁を乗り越えなければならない。可視性を阻害している要因の一つはSIEM（Security Information and Event Management：セキュリティ情報＆イベント管理）の課金体系にあるという。多くのSIEMが従量課金制を採用しているので、予算を抑えるために「重要なログを絞り込む」という本末転倒な取捨選択が行われている。

　古川氏は「データがそろわない理由は、SIEMが従量課金制だから。厳選ログしか入れないと、必要な情報が入らない」と、ログの「捨て去り」によるリスクを指摘する。この部分が「ベンダー選定のポイントだ」（古川氏）。

　サプライチェーンの弱点を狙う攻撃に対し、グループ全体でフラットにデータを集約し、可視性を確保することは、企業にとって「最大の防御戦略」だという。データを戦略的資産として蓄積し、分析に供することで、有事の際の迷いを一掃し、サプライチェーン全体の強靭（きょうじん）化が可能になる。

サイロ化とマルチベンダーに捕らわれない平時の備え

　ツールの分断を統合プラットフォームで解消し、組織の分断を「三位一体」の共通言語でつなぎ、受動的な防御を「先制防御」へと質的に転換させること。これがセキュリティ運用の質的転換と言えるだろう。

　特に重要なのは、やはり「平時」の備えだ。これまで投資してきたセキュリティ施策で、今何ができているのか、そして進化した攻撃を受けた際に何が足りないのかを把握する。それができていなければ、足りない部分をカバーするにしても、世間で話題になっているだけの間違った製品を買ってしまう可能性がある。わが身を知ること――それを「可視化」と表現されて久しいが、今もセキュリティ業界ではそのキーワードが随所に登場することからも、非常に難しい問題であり続けていることが分かる。第三者視点が有効に機能することが多いので、これまで自社システムを共に運用してきたベンダーと相談することが望ましいだろう。

　今回のラピッドセブンジャパンとの取材を通じても、特にセキュリティにおいては部門間、エリア間の「サイロ化」が大きな課題となる。加えて、多くのベンダーが「セキュリティはベンダーを統一するとメリットが大きい」と話すが、今すぐに対応しにくいことも事実だ。しかしサイバー攻撃は“待ったなし”なので、喫緊の課題として不可分なフローを見つけ、その部分だけでも製品を一体化する方針は、平時のうちに立てておかねばならないだろう。

　セキュリティはもはやバックグラウンドのコストではない。組織のレジリエンスを高め、迅速な経営判断を支える「競争力の源泉」と言える。日本企業が「守り」の呪縛から解き放たれ、デジタル社会において能動的に勝ち抜くための真の力をとなることに期待したい。