［インタビュー］メールセキュリティ部門で顧客満足度１位、信頼ベースのセキュリティが社会の変革を促す　（HDE）

株式会社イードが実施した「エンタープライズセキュリティアワード2014」において、HDE が「メールセキュリティ部門」の総合満足度1位を獲得した。

同アワードは、従業員1000人以上の企業におけるセキュリティ担当者への調査によって決定するもので、まさに現場の声が選んだ結果といえるものだ。

企業システムのクラウド化が進むにつれて、セキュリティソリューションの考え方も変わってきているが、HDEは2000年代初頭からクラウド時代を見据えたセキュリティソリューションを開発していたという。そこで、同社の代表取締役社長兼 CTO 小椋一宏氏に受賞の要因や1月に発表されたクラウドセキュリティソリューション「HDE One」について聞いた。

なお、製品開発に関すること、運用・サポートに関することについては、それぞれ、同社クラウドプロダクト開発部部長箕浦賢一氏、サービスエンジニアリング部部長槙克裕氏が回答した。

――まずは御社のメールセキュリティ製品の歴史についてお聞きします

――小椋氏
弊社は1996年に創業し、2000年からメールセキュリティ事業を展開して今年で14年目を迎えます。メールセキュリティ事業を展開しはじめた当時は、企業においてメールの長期保存（アーカイブ）や誤送信対策、暗号化対策などの必要性に注目が集まっていた時代でした。その後2005年の個人除法保護法など時代の変化に対応する形で製品の改良を重ねてきました。2010年にはクラウド環境にも対応しています。

――それが今回発表された「HDE One」のベースになったのでしょうか

――小椋氏
これらのメールセキュリティソリューションがそのままHDE Oneになったわけではありません。

弊社がデバイスやアクセスまで含めたクラウドセキュリティに注力するきっかけになったのは2011年の東日本大震災です。この被害により企業は、システムの可用性や完全性を考えて、データの分散やクラウドによるリスクヘッジを考えなければならなくなりました。弊社でも天井が落ちるなど被害があり、在宅勤務や災害対応の必要性を実感しました。これをきっかけに、社内のシステムをGoogle Appsに乗せ換えたり、メールセキュリティに限らずクラウド化の必要性を意識するようになりました。

同時にクラウド独自の課題も浮かび上がります。例えば自社のソリューションとしてクラウドメールセキュリティを考えたとき、まず、従来のオンプレミス向けのシステムをどうやってクラウド化するのかが課題になりました。各コンポーネントをクラウド化するため、ほとんどがスクラッチ開発になりました。またあらゆるデバイスからどこからでもアクセスできる反面、だれからもアクセスされる可能性があるなど新たなリスクも考慮しなければなりません。そういった課題に対応していった結果生まれたのが「HDE One」というクラウドセキュリティサービスです。

――「HDE One」の開発コンセプトはどのようなものでしょうか

――小椋氏
クラウドは便利だとはいえ、会社のリソースには、たとえばマンガ喫茶からは接続できないようにするとか、登録デバイス以外は接続させないとかいった制御を行います。企業として当然の対応であるとは思いますが、過度の制限は利便性を損ないかねません。HDE Oneではシステムやデバイスの使いやすさを制限しすぎずにセキュリティを担保できるような設計をおこなっています。

例えば、HDE Oneには、クラウドネイティブな利便性を損なわないように、アーカイブの制限を事実上無制限にスケールできる特徴があります。また、大企業向けには災害・事故が起きても重要なお知らせメールの配信ができるようにしたり、ミッションクリティカルな用途にも対応しています。

――HDE Oneの機能的な特徴について、もう少し詳しく教えてください

――箕浦氏
では、デバイスセキュリティについて考えてみましょう。MDMなど、業務利用のスマートフォンに対するソリューションがありますが、これらはどちらかというと、スマートフォンを仕事で使うのは危険だからこれとこの機能は制限しよう、という発想で作られたものが多いと思います。HDE Oneは、セキュアブラウザを使って会社のリソースやクラウドメールにアクセスする方法でセキュリティを確保します。

メールや会社のサーバーへはセキュアブラウザ経由のアクセスしか許可しないので、個人端末にアプリ制限をしたりプロファイルの設定を強制したりする必要がありません。そのため、会社支給の端末を用意しないで済むかもしれませんし、紛失や盗難対策の「ワイプ」機能も不要です。リモートワイプは、MDMでは定番の機能のひとつですが、ある調査ではワイプの実行指令に対して、実際にデータ消去が行われるのは1/3程度だそうです。そもそも、通常端末をなくしたと思ってもすぐにワイプを実行する人は少ないでしょう。まず心当たりを探すでしょうし、仮に本当に盗難だった場合、その間にデータのハッキングやコピーなどされてしまう確率が高まります。このように「HDE One」では常にクラウドの利便性とセキュリティの両立を目指しています。

――サポート体制や運用支援についてはどうでしょうか

――槙氏
サポート要員はすべてセキュリティに精通したプロフェッショナルを配置しています。対象が企業であるため、大規模なコールセンター的な対応というより、エンジニアに直接質問したり相談できるような体制を整えています。そのため「HDEに連絡すると何でも教えてくれる」いう声もいただいています。

これは開発部隊とも関係するのですが、HDEのソリューションは機能を追加していくというより、本当に必要とされている機能に集約させていくポリシーで開発しています。いわば、機能の足し算ではなく引き算によるチューニングです。カタログやスペック表で機能の丸の数が多いと便利そうだと思えますが、個々のユーザーにとって使う機能は限られています。使わない機能で悩むより、必要な機能がすぐにわかる方が使いやすいでしょう。

このようなサポートや運用部隊からのフィードバックで、最適化されたクラウドセキュリティのソリューションをブラッシュアップしています。そこで足りない機能やコンポーネントがあれば新しく開発していきます。

――最後に、今後のクラウドセキュリティの変化やHDEの考える未来についてお話いただけますか

――小椋氏
個人的にはクラウドはすでにキャズムを越えていると思っています。いま会社において、今の時代に「ネットは危険だから業務では使うな」という上司がいたらおかしいと思いますよね。スマートフォンを使うなという上司は、少し前は珍しくなかったかもしれませんが、これからはそんなことをいう会社はごく少数になっていくでしょう。このようにクラウド化が進むことで、セキュリティに対するバランスというか基準を置く位置が変わってくると思います。

私はセキュリティによって企業や個人の活動が過渡に制限されてはいけないと思っています。どうやってITを使っていくのか、業務の効率を上げるのか、という視点でセキュリティを考えていくべきだと思います。これは我々ベンダにとっての宿題でもあるのですが、企業にとって現実解となるポイント、ソリューションを考えていきたいです。

セキュリティを担保できることでクラウドの活用がさらに進めば、ライフスタイルも変化します。リモートオフィスやビデオチャットを利用した会議など、いまでもその変化は現れています。将来的にはクラウドセキュリティが、たとえば育休や少子化の問題、女性の社会活動の問題、労働力不足やミスマッチなど、社会問題の解決を後押しできればと考えています。

――ありがとうございました