ＤＸを「ブレーキのない暴走車」にしないための「セキュリティトランスフォーメーション」とは？－セキュアワークス株式会社代表取締役社長廣川裕司氏

　10月7日水曜日から3日間にわたって開催される Security Days Fall 2020 は、東京駅至近のJPタワーホール＆カンファレンスの4階で開催され、一部の講演はオンラインによるライブ配信が行われる。

　最終日10月9日金曜日の基調講演として、セキュアワークス株式会社代表取締役社長廣川裕司氏が登壇し「お客様のDXを実現する『セキュリティトランスフォーメーション』とは」と題されたセッションが行われる。

DX（デジタルトランスフォーメーション）を支える概念として廣川氏が考える「セキュリティトランスフォーメーション」とは何か、そして講演の見どころやメッセージについて廣川氏に話を聞いた。

――セキュアワークスが日本市場で先陣を切って、実際の APT の攻撃手法やサイバー攻撃をそのまま模した Red Team サービスを提供開始したときはその先鋭性に驚きました。セキュアワークスは、ハンティングや Purple Team サービスなど、国内でもまだ知る人が少ないような、非常に尖ったサービスばかりをわざわざ選んで日本に紹介し続けている印象があります。

　2015年に Red Team テストを、2016年には標的型攻撃のハンティングサービスを、2017年に脅威インテリジェンスを、2018年に MDR ソリューション、そして2018年に Purple Team テストなど、日本市場で常に一歩先を切り開くサービスを問い続けてきました。弊社のカウンター・スレット・ユニットと呼ばれるサイバー攻撃を解析する特殊部隊では、常に最新の脅威情報をウォッチしています。その経験測から、お客様の環境を守るために、本当に必要なサービスをいち早くお客様へご提供できるように努めてまいりました。

――その先鋭的サービス群が日本市場で受け容れられ見事に実績に結びついていますね。

　日本のお客さんは非常にコンサバティブで、新しいテクノロジーの導入はどうしても二番手三番手になります。しかし、ことセキュリティに限ってはモチベーションが少し違うと思います。なぜなら、ハッカーや脅威は常に最先端だからです。国家支援のハッカーや APT など「尖った攻撃に対応するには尖ったサービスでなければ」とお考えになる方が多いです。「一番尖ったソリューションはないか」というようなお問い合わせをいただくことがあります。

　日本市場での成長は、昨年度及び今年度、連続して 30 ％以上の高い成長を果たしています。グローバルでのマネージド・セキュリティ・サービスの顧客企業はここ数年 4,300 社を維持している状況ですが、日本市場では私が日本法人に入社した2019年初めの 110 社から、今現在は約 200 社まで拡大しました。加えてコンサルティングや診断の顧客も 300 社から 400 社に増えています。

――今回の講演のテーマは DX（デジタルトランスフォーメーション）ですね。

　「日本国中を上げてデジタルトランスフォーメーションに臨む」「スピードを上げて取り組む」と、新内閣発足に向けて、平井卓也デジタル担当大臣がお話をされました。我々は、単に事業部門、単に IT 部門だけではなく、経営も含めた三位一体となった取り組みが必須だろうと考えています。

　その中で気になっているのが「もしブレーキのない新型開発車に乗ったら、とんでもないことになる」ということです。準備無しにデジタルトランスフォーメーションを行ってデジタルデータの活用をすると企業の経営を揺るがす重大な情報漏洩などとんでもないインシデントが巻き起こる可能性があります。

　昨今、セキュリティをなおざりにしてデジタルトランスフォーメーションを進めた結果、セキュリティの穴を突かれた事態がいくつも発生しています。昨年、猛威を振るった Emotet は、当時の菅官房長官が自ら注意を呼びかけましたが、1 年近くたった今でも感染拡大が継続し、JPCERT/CC が改めて注意喚起したばかりです。

　そこで、セキュリティトランスフォーメーション、すなわちセキュリティの準備が必須であると思っています。セキュアワークスは、21年の経験からグローバルデファクトスタンダード（世界標準）である NIST のフレームワークに基づいた対応が、一番効果があると思っています。

―― NISTのフレームワークは「ティア 1」から「ティア 4」までのセキュリティ対策の成熟度を測る指標がありますね。ティア 1、ティア 2、ティア 3の違いを簡潔に言えばどうなりますか。

　ティア 1 は、事故が起きた時に個別に対応しているだけで準備はできていない組織です。ティア 2 は、IT 部門等がセキュリティを見ているところだけはある程度できている。CSIRT や CISO などの組織や役職ができたところはぎりぎりティア 2 と見ていいと思います。日本の大企業の大半はティア 2 にあると思います。

　ティア 3 は、全社横断的に漏れなく全体でセキュリティ対策ができているところです。ティア 3 の日本企業は 5 ％はないと思います。DX の本格的実行にはここまでの準備・対応が重要です。

　そしてティア 4 は、セキュリティがガバナンスではなく文化になって、その文化のもとで企業が動いているところです。我々が知るところでも、国内においてティア 4 レベルの対策が行われている企業はごくわずかです。

――デジタルトランスフォーメーションを成功させるために、セキュリティトランスフォーメーションを具体的にどのような方針で進めればいいのでしょう。

　DX に向けたセキュリティの準備として、脅威・リスクの見える化をしなくてはいけないと思っています。

　可視化できない理由には、「見ていない（見れるところしか見えてない）」「見ることができない（アラート過多、誤検知）」「見えない（テクノロジーで検知できない攻撃・脅威）」の 3 つがあると思います。

　そして、対策度の高い低いを縦のＹ軸、可視性の高い低いを横のＸ軸と考えると、たとえば右上の「可視性が高く対策がとられている」象限には「組織にとって優先度が高いシステムおよびデータ」が該当するでしょう。同時にそこは攻撃者の優先度が最も低い領域でもあります。

　このように対策度と可視化で分けた 4 つの領域を攻撃者視点で眺めたとき、それぞれに対してどのような手段を打つべきか、講演で具体的にご提案したいと思います。

――どんな人に講演を聞いて欲しいですか。

　DX をドライブするための三つの部門、すなわち経営陣、IT 部門ないしセキュリティ部門、そして新しい事業で DX を活用しようという事業部門それぞれの方に有用なメッセージにするつもりです。特に、CSIRT や CISO などの組織や役職ができて、ティア 2 からティア 3 に移行するような組織の方に参考になると思います。

――ありがとうございました。

●お客様のDXを実現する「セキュリティトランスフォーメーション」とは
10月9日(金) 12:15-12:55 PM（オンラインライブ配信有）
https://f2ff.jp/introduction/4030?event_id=secd-2020-02-tokyo
セキュアワークス株式会社代表取締役社長廣川裕司氏

●セキュリティの「可視性」と「対策度」から見える「節穴」の存在とは？
脆弱性を狙うサイバー攻撃に立ち向かうために必要な、セキュリティ運用の要点とは
10月8日(木) 15:25-16:05（オンラインライブ配信有）
https://f2ff.jp/introduction/4017?event_id=secd-2020-02-tokyo
セキュアワークス株式会社マーケティング事業本部
主席上級セキュリティアドバイザー古川勝也氏