NECソリューションイノベータ
サイト内の現在位置
近年は、高度化・巧妙化するサイバー攻撃による被害が増えています。また、デジタル社会の進展によってサイバー空間とフィジカルな世界がつながり、リスクの拡大や新たな脅威の台頭も予測されています。そんな時代においてさまざまなリスクから企業とシステムを守り、事業継続や拡大を図るにはどうすればよいか。セキュリティのプロフェッショナルが、重要なポイントやセキュリティのあるべき姿などについて語ります。
入社以来、セキュリティの業務ひと筋
はじめに、NECソリューションイノベータのセキュリティ事業について教えてください。
- 市川:セキュアなインフラ構築や運用サービス、セキュリティ製品の開発やマルウェア解析などのインシデント対応支援も含めたソリューション提供など、幅広く事業展開しています。 また、地域のお客様が抱えるセキュリティ課題を解決するため、全国の拠点に在籍するセキュリティ人材が、アセスメントやコンサルティングを含めたソリューションの提供も行っています。
市川さんのグループでは、どのような業務を行っているのですか。
- 市川:私が統括する事業推進グループでは、当社のセキュリティ事業の方向性や戦略の策定を主な業務として行っています。市場/技術の動向調査やNECとの連携など、内外の視点を取り入れながら事業戦略を立案し、施策を展開しています。
お客様と技術の両方を知る立場として、新しい技術や製品を活用した事業の立上げを行っており、この分野で先行する海外を含めた他社製品からも良いものを発掘し、豊富なSI実績にもとづく当社ならではのノウハウを活用したコンサルティングや導入支援などのサービスメニューとともに、お客様にお届けしています。また、セキュリティ関連の人材育成や採用も重要な役割として担っています。
市川さんのこれまでの仕事の歩みについて教えてください。
- 市川:NECの指紋認証システムにおけるプログラム制御やネットワーク制御を行うソフトウェア開発。入社後に担当したこの業務が、セキュリティに関わるスタートでした。その後社員認証システムに関するSI、パソコンのディスク暗号化プロダクトの拡販やサポート、海外製品の取扱の企画・契約・販売など、約20年の間セキュリティ分野の業務に一貫して関わってきました。
海外製品を担当していた頃、ある製品に関して、多くのお客様へ不便を強いる不具合が発生したことがありました。開発元に問い合わせても「発生頻度があまり高くない。電源を入れなおせば問題なし」という回答。何度伝えても明確な解決の糸口が見えなかったので、PC5台を抱え開発拠点に乗り込みました。現地では当初、双方の意見の相違などで苦しい思いもしましたが、持参したPCで検証を行い、交渉を進め、最終的には修正モジュールの正式版リリースの確約を取りつけることができました。
セキュリティは、米国やイスラエルなどの技術が市場をリードしていますが、どんなにすごい技術を使っていても、ソフトウェアは人が開発したものであるため、想定外の動作や不具合を起こす原因が必ず内在します。お客様により良い製品を届けたいという自分たちのポリシーを曲げることなく、開発元と粘り強くコミュニケーションを行うことの大切さを、この時の経験から学びました。
近年のセキュリティを取り巻く環境変化をどのように捉えていますか。
- 市川:以前は、人のうっかりミスや悪意ある行為など、内部からの情報漏えい対策が中心でした。最近増えているのはプロ化した組織や個人によるサイバー攻撃のリスクです。特定の企業や組織を狙い撃ちする「標的型攻撃」など、その手法は巧妙化・高度化の一途をたどり、いままでの対策では防ぎきれません。最近では「ファイルレスマルウェア」という、もともと端末にインストールされているアプリケーションを悪用した、文字通り攻撃ファイルを必要としないマルウェアも登場しています。攻撃ファイルがなく、痕跡が端末に残ることもないため、従来のマルウェア対策ソフトで検出することが難しいのです。このように、従来にない手法、目に見えない攻撃など、「まさか、これが」といった新たな脅威が生まれています。
セキュリティ対策で重要なのは、「基本」を押さえること
IoTの普及によってセキュリティリスクはどのように変わりますか。
- 市川:IoTでさまざまなモノがつながる時代がくると、セキュリティリスクはこれまでのようなサイバー空間だけでなく、フィジカルな世界へ波及することが予測されます。例えば工場の生産ラインや製造機器の稼働を気づかないうちに低下させるなど、ビジネスインパクトを直接与える攻撃が発生するかもしれません。さらに交通機関、発電所などの重要施設に対するサイバー攻撃のリスクが増すことも懸念されます。今後は、産業システムや社会インフラ全体のセキュリティ対策が重要になってくるでしょう。
企業や組織におけるセキュリティ対策で、重要なポイントを教えてください。
- 市川:セキュリティ対策で重要なのは、基本的な対策をきちんと実施することだと私は考えています。具体的には、しっかりしたパスワード管理、確実なセキュリティプログラムの更新、最新のパッチ適用などが挙げられます。 もう一つ重要なポイントは、「人」もセキュリティの脆弱性になるということを前提に対策を行うことです。経営層から一般社員、パートナー企業まで、事業関係者全体におけるセキュリティ意識の向上は欠かせません。対策の不備は、情報漏えいによる信用失墜やシステム障害による事業停止といった被害を企業にもたらすだけでなく、自社のシステム経由で知らないうちに取引先へウイルス感染被害をもたらすこともあります。ある日突然、他社への加害者になるかも知れないのです。
経済産業省の「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策は経営に関わる問題と警告しています。2017年11月の改訂版では、新たな対応策として「サプライチェーンを含めた管理」が追記されました。いまやセキュリティ対策は、事業の継続や拡大に不可欠という意識を持って、事業関係者全体で対策に取り組むことが必要です。
重くて高価な鎧より、軽くて使いやすいプロテクターを
セキュリティソリューションの提供で、市川さんが重視していることは何ですか。
- 市川:
私が重視しているのは、お客様のセキュリティ課題やリスクをしっかり見極めた上で、適切な製品やサービスをタイムリーにお届けすることです。
セキュリティ対策について、防具を例にご説明しましょう。ある企業にとっていま必要なのは、胸や腹部をガードするプロテクターだとします。そんな時、全身を覆うような高価で重い鎧を勧めたとしたら、お客様にとって必要以上のコストがかかり、使い勝手も悪くなってしまいます。まずは、必要なプロテクターを装備して、後から肩や肘、足など、新たなリスクに対して必要なツールをプラスしていく。さらに、胸や腹部のプロテクターの防御力が低下したら、そこだけ新しく強化する。こうすれば、コストやセキュリティ運用の負担が軽くなります。重要なのは、課題に応じた必要十分な対策と、新たなリスクに柔軟に対応するスピードです。
また、全国のさまざまな業種のお客様に、それぞれ適切なセキュリティソリューションをお届けするために、何をすべきか。人材という視点で考えると、お客様内部にセキュリティ対策の必要性を浸透させるため、情報システム部門と経営層との橋渡しができるSEが求められます。さらに、お客様の業務を熟知した上で、セキュリティを考慮したシステム設計・導入を「当たり前に」サポートできるSEの存在も重要です。お客様の事業成長を支えるシステムをご提供するのが本来の目的であって、セキュリティ対策はそれを下支えするものだと思っています。そのため、セキュリティエキスパートの育成だけでなく、セキュリティ「も」分かるSEなど、層の厚い人材育成を心掛けています。
強みは、SI力を活かしたセキュリティソリューションの提供
市川さんの仕事のやりがいについて聞かせてください。
- 市川:
かつて、全国に端末が20,000台以上ある政府関係の大規模なセキュリティシステムの構築に関わったことがあります。プロジェクトが完遂するまでの責任の重みとシステムが無事稼働したときの達成感は、いまでも忘れられません。 最近では、私が中心になって事業化を行い、販売している製品が、着実に実績を積み重ねていることがあります。問題がなくて当たり前というセキュリティの仕事ですが、私たちがお届けした製品がお客様の役に立っているという実感が、私のやりがいにつながっています。
セキュリティソリューションにおける、NECソリューションイノベータの強みとは何ですか。
- 市川:世界最高水準の生体認証技術や先進AI技術を有するNECや、国内外のセキュリティパートナー企業との密な連携は大きな強みです。また当社は、お客様の業種・業務や課題に応じたアプリケーション開発やシステム構築、運用などのソリューション提供を主力事業としているため、お客様の業務やシステム全体を熟知しているという強みもあります。それぞれの業務に求められるセキュリティは異なり、お客様が必要とされるセキュリティレベルも千差万別です。当社では、豊富なソリューション提供実績にもとづくSI力という強みを生かし、クラウド、オンプレミスシステム、端末などお客様のシステム全体を俯瞰したトータルな領域へ、最適なセキュリティソリューションをお届けすることができます。また地域に密着したきめ細かなサポート体制で、お客様のセキュリティ対策の継続的な改善や運用を支えるという、安心もご提供できます。
さらに当社では、社内のセキュリティ人材育成プログラムを、お客様向けに最適化したサービス提供も行っています。セキュリティ対策のスキル向上を図る研修プログラムのほかに、経営層に向けたワークショップなど、多彩な取り組みを行っています。
理想はセキュリティを意識しないシステム
セキュリティ分野における今後の展望について教えてください。
- 市川:クラウドサービスの活用が進むにつれ、複数のクラウドサービスを安全に利用するためのセキュリティ対策が課題となってきます。お客様には、まずクラウド利用の基本であるID管理やログ管理から始めることをお勧めしています。利用者がストレスを感じることなく、さらに利用者もセキュリティ管理者も安心できる対策を強化していきたいと考えています。また、クラウド環境における多様なデバイス活用に対するセキュリティにも注力していきます。
2020年に向けて、サイバー攻撃のリスクが高まるともいわれています。当社では、時代のさまざまな動き、IoTやクラウド、5Gなどの技術トレンドに伴い新たに浮上する脅威、対策手法の変化など、タイムリーに情報をキャッチしながら、お客様をはじめ社会が必要とするセキュリティ製品やサービスをいち早くお届けしていきたいと思っています。
最後にセキュリティに対する、市川さんの思いを聞かせてください。
- 市川:
私が目指していきたいのは、「セキュリティを意識しないシステム」です。システムとセキュリティがセットになって、安全・安心があらかじめ担保されていれば、お客様はセキュリティの対策や運用に煩わされることなく、事業運営に専念することができます。セキュリティ分野を歩み続けてきた私としては、システムを守るととともに、お客様のセキュリティ対策に関わる手間や時間などの負担を少しでも軽減するお手伝いをしたいと思っています。
(2018年10月23日)
関連情報
情報漏えい対策ソリューション