今回 ScanNetSecurity 編集部は、Secure SketCH の開発と運営に関わる NRIセキュアテクノロジーズの足立道拡氏と川崎聡太氏、そしてグローバルセキュリティエキスパートの情報セキュリティコンサルティング事業部 事業部長 和田 直樹氏に取材した。
――では最初に NRIセキュアの足立さんから自己紹介をお願いします。
足立氏: NRIセキュアテクノロジーズ株式会社 足立 道拡(あだち みちひろ)です。 Secure SketCH の事業責任者です。NRIセキュアに入社したのは 2008 年です。直近 20 年ほど、情報セキュリティ、サイバーセキュリティの業界におります。今でこそプラットフォームサービスの提供者ではありますが、元々の出自はいわゆるコンサルティングやシステム構築を生業としていました。基本的にはお客様に対峙してコンサルティングをしていくなかで、セキュリティの経験を積んできました。
2013 年から 7 年連続で、今回同席している川崎と『企業における情報セキュリティ実態調査』の監修をしてきました。日本全国の企業にアンケートを実施して、日本のセキュリティ動向の実態調査を行いました。コンサルティング業務では個別のお客様の課題を見てきましたが、本実態調査に関わることで、日本全国の企業でどういった課題にお客様が悩んでいるのかも同時に見ることができました。「各社にフォーカスした視点」と「日本の企業をマスで捉える視点」という両方の視点を持って仕事を行ってきました。
私たちの悩みのひとつが、セキュリティに関するさまざまな弊社への相談が増えてくるなかで、せっかく御相談いただいているのに対応できない事態が発生し始めたことでした。それはスキルや経験の不足ではなく、案件が多すぎることでリソース不足により案件を受けきれないというケースです。
そこで、コンサルティングで培ったナレッジを、生身の人間が提供するのではなく、プラットフォームに注ぎ込むことで、もっとより多くのIT/セキュリティ担当者にセキュリティレベルを把握し、高めていくことの喜びを味わっていただく機会を提供できないだろうかと考えました。これが Secure SketCH の出発点となっています。コンサルティングの経験とリサーチの能力を掛け算して、さらに新しいテクノロジーを組み合わせて Secure SketCH というSaaSに到達しました。
GRCプラットフォーム部 部長 足立道拡氏
―― NRIセキュアの川崎さんから自己紹介をお願いします。
川崎氏: NRIセキュアテクノロジーズ株式会社 川崎 聡太(かわさき そうた)です。2009 年に NRIセキュアに入社して、足立とともに約 10 年コンサルティング活動をしてきました。その中では、セキュリティ対策計画の策定やPMOとしての実行支援などを行いました。
さきほど話に上がった「企業における情報セキュリティ実態調査」の R&D 活動に長く関わりつつ、セキュリティ対策状況を可視化するフレームワーク(NSF))のサービス開発にも携わりました。その後、米国でお客様先に出向し、1 年間ほどトレーニングなどの業務を行いました。Secure SketCH は企画と運営を主に担当し、Secure SketCH のサービス作りにゼロから携わりました。
GRCプラットフォーム部 セールスチームリーダー 川崎 聡太氏
――では最後に GSX の和田さん、自己紹介をお願いします。
和田氏:グローバルセキュリティエキスパート株式会社 和田 直樹(わだ なおき)です。私は情報セキュリティのコンサルティング事業部 事業部長として、部門の責任者を務めております。入社は 2003 年で、情報セキュリティのコンサルタントとして長年、お客様のセキュリティの課題の改善支援をしてきました。
その仕事の中で、2 年半ぐらい前から、お客様のセキュリティの現状や課題を分かりやすく数字で定量的に可視化するツールとして、NRIセキュア様の Secure SketCH を現場で使ってきました。GSXは、Secure SketCH を活用してお客様のセキュリティ課題を可視化している立場です。
コンサルティング事業本部 コンサルティング事業部
事業部長 和田直樹氏
――あらためて Secure SketCH とはどんなサービスなのでしょうか? 足立さんにお聞きしてよろしいですか。
足立氏: Secure SketCH がチャレンジしていることについてまずご説明します。とかくセキュリティ対策というものは、セキュリティの専門性に自信がある人以外にとっては、とにかく難しくて、分かりにくいものだと思っています。やらなければいけないことは分かっているが、具体的にはなにを、どこまでやればいいのか。必ずしも売上に直結するものではないので、どうしても後回しにされてしまう。書かれている内容も技術的で難解なため敬遠されてしまう。これまでのコンサルティング経験を通じて、それらが課題だと思っていました。
現場にセキュリティ意識がある場合でも、経営層にセキュリティ対策状況を定量的に伝えられないため、結果としてセキュリティ対策が進まない。そのため、セキュリティ対策を評価する担当者が、当該業務をより効率的かつ分かりやすく定量化できることを価値として重視していました。
それにはいろいろな解決策が考えられますが、私と川崎が新規事業開発で課した条件は「分かりやすい」「スケールして多くの人が使える」「廉価に提供できる」の 3 つでした。
Secure SketCH は、お客様が Web で会員登録して 75 問の設問に回答するだけで、これまでコンサルタントに頼まないと出てこなかったレポートがその場ですぐに表示されます。
セキュリティ対策評価で結果を定量化した結果、「あなたの会社はセキュリティ対策が 7 割できています」と言われたとして、それがいいのか悪いのかがわからなければ困ります。そこで、Secure SketCH に入っている約 1,600 社の過去の結果と比較して、偏差値で自社の位置がわかるようにしました。偏差値というキーワードであれば、いくらセキュリティを知らない経営者や担当者であっても、60 だったら「悪くないかな」、70 だったら「良さそうだな」というように共感・理解しやすくなります。
そして、問題点や対策状況の良し悪しが分かるだけでなく、良くない場合にどうすれば良くすることができるのか、ベストプラクティスを提示することも大事にしました。また、レポートには対策をやらない場合にどんなリスクがあるかを記載します。これは、対策を行う必要性やモチベーションを高めるためです。以上がセキュリティ対策実行支援サービス Secure SketCH の機能です。
足立氏:これまで約 20 年間、いろいろなお客様のコンサルティングや支援をしたり、企業アンケートでお客様の声をお聞きしていると、お客様の抱えている課題は 3 つに集約されることに気づきました。
ひとつが、その時代時代の「トレンド」です。今ならランサムウェアや Emotet など、新しい脅威・攻撃が出現するたびに「今の対策のままでいいの?」という観点があります。
次は「ニュース」です。「どこそこの企業がサイバー攻撃」と新聞に出ると、それを見た経営者から「うちの会社は大丈夫なの?」と聞かれることがあります。それに対して的確な答えをしたいという現場のニーズがあります。
3 つめは「規制・基準」です。日本でもいろいろな法律や規制、あるいは海外にもたくさんのガイドラインがありますが、それが更新されるたびに新たな要求事項が現れます。たとえば直近では、サプライチェーン対応が必要だと言われています。それに対してやらなきゃいけないことは分かるけれども「具体的にどこが変わったのですか?」「何をやればいいんですか?」と迷われる企業が多い。
これら 3 つの課題領域を先んじて Secure SketCH がカバーし、同じようなことで悩んでいる、苦しんでいるお客様を一気に救いたいのです。そして、セキュリティ対策以外の業務にもっともっと効率的に時間を使っていただいて、新しい企画やデジタルトランスフォーメーションを進めていただきたい。
―― Secure SketCH が参照している NIST などの規格はどのように選定しましたか?
川崎氏:よく Secure SketCH の質問は何問ですか、その質問はどこから抽出していますか、というお話をいただきます。 Secure SketCH の標準の 75 問の質問は、端的に言うと NRIセキュア独自の 75 項目です。しかし、決して独りよがりのものとか、我田引水したいから作っているものではありません。
これまでのコンサルティング活動を通じて、いろいろなお客様が参照している、大事にしているガイドラインが何であるかわかっています。日本なら伝統的に ISO や ISMS などの情報マネジメントの規格があります。また、オバマ政権以降、サイバーセキュリティの重要性が声高に叫ばれる中で、NIST のサイバーセキュリティフレームワークを参照する企業も増えてきています。表面的プロセスや組織的対策だけでなく、技術的な部分も見なければいけないというところで、CIS Controls というアメリカのガイドラインを参照する企業も増えています。
Secure SketCH の大きな特徴は、トレンドを踏まえて定期的に質問内容や質問の重み・重要度を見直すことです。 2020 年の定期変更時には、近年サプライチェーン管理の重要性が注目されていることから、NIST SP800-171 、CMMC(サイバーセキュリティ成熟度モデル認証)を参照して設問体系を見直して、作り変えを実施しました。
なお、Secure SketCH は、業種業界を問わずに全業種業界が参照できる点を軸に据えていますので、特定領域に特化したガイドラインは今のところは入っていません。
―― Secure SketCH が最初に企画された時期はいつ頃ですか。また、ローンチまでの苦労はありましたか?
足立氏:私がコンサル事業を担当していた 2016 年に新規事業担当に任命されました。川崎と小さいチームを作って新規事業作りを始めました。その年の 12 月に後に Secure SketCH となるモックアップを作り、これなら新規事業としていけるのでは、ということで、2017 年度から正式に新規事業としてゴーサインが出され、その約 1 年後、2018 年 4 月に無料版をリリースしました。2021 年 4 月でサービス開始 3 周年になります。
――最初は川崎さんと 2 人のチームだったんですね。
足立氏:最初の最初は 2 人でしたが、コンサルチームのメンバーの協力もあったんです。主担当は 2 人ですが、コンサルとしてお客さんと対面しているメンバーも適時サポートに入ってもらえました。実際にモックアップをお客さんの所に持って行ったことがあります。「こんなサービスがあったらどう思いますか?」など、お客さんの声を聞きに行ったことを覚えています。
――反応は良かったですか?
足立氏:そうですね。コンサルに個別に頼まなくとも、すぐに数値を見られるところに関して、肯定的な意見が多かったですね。
一番大事だったのは、コンサル本部がリソース不足で本当に困っていた時期でしたので、その解決策になり得る新規事業ということで応援してもらえたことです。お客様のニーズと事業部の課題が一致する方向の先にあった、という記憶があります。
―― 2018 年 4 月のSecure SketCHのローンチまでで一番苦労したことは何ですか?
足立氏:それまでのコンサル事業の中でも、複数のガイドラインを取りまとめて、お客様ごとに個別に設問表を作って評価するという実績はありました。もちろん頭を使いましたが、とりたてて「悩む」ということはありませんでした。ローンチまでに苦労したことは、非機能な側面へのケアでした。
川崎氏:Web プラットフォームとしてお客様に安心して使っていただくこと、Web システムだからこそ万全・盤石な対応をすることに時間をかけました。
足立氏:企業セキュリティにおける人間ドックに資する大切なデータをお預かりするわけですから、そのデータを扱うに値する守りや安心とは何か。「果たしてこの状態で提供して、お客様が安心・納得して自社の状況を入力できるか、お客様が不安に思わないか」 という点のレビューに一番時間をかけました。
―― Secure SketCH に 1,600 社のデータがあるということは、1,600 社のお客様がいるということですか?
川崎氏:のべ数ではさらに多いです。1,600 社というのは最新の設問に対して回答いただいた分で、具体的には2 年以内の回答に限られます。統計データとして利用できる分が 1,600 社ということです。ここに Secure SketCH のポイントが 2 つあると思っています。まず最新のデータであること。ふたつめはそれがフレッシュであることです。過去 2 年以上更新がない古いデータは統計対象から外しています。
足立氏:お客様を登録する際に、バックグラウンドをチェックしなければ、数はいくらでも増やすことができます。しかしそれでは、統計データの信頼性がありません。ご利用お申し込みの際に、単に利用可否だけではなく、本当にその企業が存在するのか、同じ目的で複数の利用をしていないか、というところは必ずチェックしています。また、A 社から 2 名の申し込みがあった場合は、それぞれアカウントを発行せずに「同じテナント(評価対象の単位)を使っていただけませんか」とご案内をするようにしています。
――規模の大きい会社や特定の組織では Secure SketCH を通じて、自社のセキュリティ対策状況に関する情報を提供すること自体、会社のポリシーやルールと抵触することがありそうですね。
足立氏:実は Secure SketCH より前、『企業における情報セキュリティ実態調査』をやっている時から、企業側にはそういった悩みがありました。つまり、どのような確認プロセスを踏めば、企業の対策状況を回答することができるのか?という課題です。
――既存のルールやプロセスとの抵触は DX(デジタル・トランスフォーメーション)を阻む壁のひとつにもなりえます。
足立氏:企業の担当者様と向き合って、お話をお聞きしていくと「事前に設問を下さい」とか「回答を提出する前に上長の承認が必要です」という話になりました。それらすべてに対して、「設問はこういう構成で、回答を送る前には…」等々、個別にフォローしていきました。
同じように、既存のルールも満たしつつ、なんとかして Secure SketCH での可視化を実施したい、というお客様に個別の対応をしているケースもございます。例えば「当社で用意したセキュリティチェックシートに NRIセキュア側で回答していただけませんか」 とご要望をいただくケースもあります。
――広告やキャンペーンで集めた訳ではなく、ひとつずつ、時には個別対応をしながら積み上げてきた 1,600 社 ということですね。
川崎氏:地道な活動の蓄積だと思っています。セキュリティの事業特性上、SNS で広告を打ったからといって必ず数が集まるというものではありません。信頼性を元に口コミで広がったり、お客様同士でご紹介いただいているケースも少しずつ出てきています。そういうところから着実に広がっていく方が大事だと思っています。
――この 1,600 社という数は、情報共有することで社会を良くしたいという思いが、ユーザー企業にあることの証左でもありますね。
足立氏:おっしゃる通りです。 Secure SketCH はセルフチェックツールなので、基本的には自助のツールだと思っています。ただ当初から、プラットフォーム化する意義として、共助・公助の世界観につなげていくことにも寄与したいと考えています。たとえば、プラットフォームのメンバー同士での情報交換などの機会も今後あったほうがいいのかな、というような構想があります。
―― GSX の和田さんにお伺いしたいのですが、Web でアンケートに答えると自社の状況をレーダーチャートで出すようなサービスはいろいろあり、正直ありふれたサービスです。和田さんの目から見て、他のそういった自動診断サービスと Secure SketCH の違いは何でしょう?
和田氏:一番は結果が偏差値で出る点だと思います。次に質問項目とその内容の網羅性と納得感です。NRIセキュアさんのノウハウと知見による品質が感じられました。
――「質問項目の網羅性と納得感」の具体例を挙げていただけませんか。
和田氏:まず設問の最初に「組織の統制・ガバナンス」の質問がきっちり入っているところです。技術的な対策の実施状況に関する質問に終始するサービスが多いのですが、 Secure SketCH はそうではありません。
何と言っても Secure SketCH が優れているのは、たくさんの企業のデータと安心して比べられる点です。
――安心して比べられないサービスがあるんですか?
和田氏: Web から利用できるセキュリティのセルフチェックツールはいろいろありますが、何のチェックもなしに、誰でも入力できるものが少なくありません。「管理されてない結果だな」と感じることもあります。Secure SketCH は、利用の申し込みをきっちり審査し、同一企業での重複等を確認している点が違います。コントロールされていない内容ではなく、ちゃんとした 1,600 社分のデータに基づいた結果だと確信できるので、偏差値にせよ、ABCのランク付けにせよ、お客様に自信を持ってお伝えすることができます。
足立氏:昨今の企業におけるセキュリティは、その総合力が試される時代になっています。以前は ISMS を中心にした情報セキュリティで情報資産の価値づけをして、適切な対策を選んでといった、対策の検討・実行に時間をかけれる時代でした。しかし、サイバー攻撃が全盛になって攻撃のプロセスが早くなる中で、防御対策だけではなく事後対策やインシデントレスポンスなどを、総合的にしかも早い時間軸でやらなくてはならなくなっています。
そう考えた時に一番良い方法はガイドラインを参照して準拠することです。ただガイドラインは、それぞれ強いところやフォーカスしたい範囲が違います。そのため、ガイドラインを組み合わせて利用することがベストですが、ガイドラインを組み合わせた「ちょうどいいもの」はなかなかありません。これがお客様の苦しみでした。
川崎氏:Secure SketCH は色々なガイドラインのいいところ取りをしました。どれか一つだけ採用すれば終わりということではない。 Secure SketCH の 75 問に回答していただくと、本当にバランスの良い対策ができます。最初の一歩として、この75問に回答していただくと、どこにも偏らない包括的な視点でチェックができる、というのが特長の1つです。
この特長が、いま和田さんにおっしゃっていただいた「技術だけでなく組織的なところもバランスがよい」というところにつながるのかなと思っています。設問の位置づけや捉えどころが、今の実態や課題、ニーズに即した項目になっています。だからこそ情報セキュリティのプロフェッショナルである GSX 様にもそう言っていただけるのかなと思います。
足立氏:もう 1 点付け加えると、直近の3 年間は、毎月 Secure SketCH をアップデートしていることです。和田さんにご説明すると「またこの機能ができたんですね」なんて、良い意味で驚かれることもあります。
お客様のニーズやトレンドに応じたサービスを SaaS で作っていこうとした時に、仕様書を作って、ウォーターフォール型で開発して、リリースしたらあとは知りません、というサービスモデルでは駄目だと思っています。我々の中には内製開発のチームがある。そのチームがお客さんの声を聞いてフィードバックして、定期的に質問項目や機能を見直します。アジャイル開発で、お客さんに向き合った内容をプロダクトに反映するということを、日々地道に繰り返しています。
―― Secure SketCH 自体が DevSecOps でサービス更新が行われ続けているということですね。川崎さんにお聞きしますが、こういった「ローンチ後」のことは企画当初から想定されていたのですか?
川崎氏:サービスの拡張性や、ローンチして終わりではないというのは、最初から意識していました。リリースするまで開発に時間がかかりましたが、一回ローンチしてそれで終わりであれば、もっと早くサービスを開始できたと思います。DevSecOps、アジャイル開発をしつつ、安全にサービスをずっと提供し続けるところに、かなり力を入れました。プラットフォームを更新するのもそうですし、設問自体の更新も同じです。これまで 3 回、設問をメジャーアップデートしています。そこが大きな価値だと思っています。
――さきほど毎月というお話がありましたが、設問のアップデートは随時行われるのですか?
川崎氏:メジャーアップデート以外にも、設問の重み付けを定期的に変更しています。一問ごとにスコアが設定されているのですが、たとえば『企業における情報セキュリティ実態調査』の結果や外部の脅威動向を踏まえて、スコアを日々見直しています。マイナーアップデートは、もう少し高い頻度で行っています。
――和田さんにお伺いしたいのですが、Secure SketCH がはじき出した偏差値を元に、経営が動いたエピソードはありますか?
和田氏:一部上場の、とある製造業である顧客の例です。弱点分野なども表示した結果、「 S・A・B・C・D 」の最下位である D ランクで、偏差値は 40 の前半でした。「御社のような名の知れた製造業でこの状況はよくない」という話を直裁にさせていただきました。
事前に担当者の方が報告書を確認し「これは社長以下みんなに聞いてもらおう」ということになって、社長さん以下、役員と管理職が集まった席で報告会を行いました。「偏差値 40 を改善するために、何をしたらいいのか」全員の目的がひとつになった報告会だったと思います。
その後、その顧客では、セキュリティ委員会のメンバーが刷新されました。それまでは一部の担当者が単に「 IT の課題について話し合う場」に過ぎなかったセキュリティ委員会が、経営課題として認識され、しっかり検討が行われ、意思決定できるように体制面から見直されたのです。
こうした会議では「こういう脆弱性があって、こういうサイバー攻撃にやられました」という事例も響かなくはないんですが、やっぱりSecure SketCHの偏差値と「 S・A・B・C・D 」というランクで定量的に示されることで、経営者にも、経営者だからこそピンとくる、伝わるのだと思います。
――偏差値 40 というのは、よくある結果ですか?
和田氏:一部上場企業であれば、さすがに技術的対策は偏差値 50 は行くんですよ。しかし、ガバナンスと有事対応の面がボロボロになっているところも多いです。そこを Secure SketCH で可視化できるのがすごく伝わりやすいと思っています。
――偏差値 60 の企業も出てきたりしますか?
和田氏: GSX ではアセスメントにおいて 60 を超えた経験がないです。「現状を可視化してください」と依頼する企業はそもそも課題があるということなのかもしれません。
――今回 GSX は、 Secure SketCH を活用して「セキュリティクイックアセスメント」というサービスを作りました。GSX ならではのどんな価値を提供できますか?
和田氏:簡単に申し上げると、お客様だけで Secure SketCH を使って評価をすると、どうしてもセルフチェックなので、「お前たちが自分で評価しただけだろう」と経営に言われてしまう場合があります。項目がいくら素晴らしくても、システムで綺麗にレポートが出るとしても、「自分たちで適当に入れただけじゃないか」的な言い方をされる場合がある。そこに第三者性を持ち込んで「専門家に見てもらいました」という客観性が大事だと思います。
――足立さんは Secure SketCH を活用した、GSX の「セキュリティクイックアセスメント」についてどう思われますか?
足立氏:さきほど「自助・共助・公助を支援するためのサービス」と申し上げましたが、お客様からはSecure SketCH で結果を得るだけではなくて、「一緒に悩んだり、専門性を駆使して伴走してくれるようなパートナーが欲しいんです」、「実行支援が欲しいんです」と言われることも多いのです。
そのような要望を受けた際に、適当な会社を紹介するわけにはいきません。Secure SketCH の特性を理解していただいて、たくさんのお客様を持っていて、セキュリティ事業の経験が豊富なパートナーさんが必要になりますが、そういったことをバランスよくできる企業は日本全体を見ても簡単には見つかりません。
その中で GSX 様の長年のコンサルの実績、独自の顧客基盤を持たれているところ、Secure SketCH のコンセプトに共感いただいたところから、セキュリティクイックアセスメントに繋がりました。我々がこなしきれない案件や、「伴走してください」とご依頼を頂くケースにおいて、GSX 様を安心してご紹介できます。
セルフチェックして、その結果をもとに自立的に動ける、自走できる企業はそのままでいいと思います。けれども、必ずしもそういうお客様ばかりではありません。「結果が悪いと分かったけれど、どうすればいいのか?」という時に、一緒に進んでくれるパートナーや、そこに的確なアドバイスをくれる人たちが欲しいというのが、多くの企業様の実態です。そこに向き合っていただけるところが、GSX 様と組ませていただいている、もう一つの大きな価値かなと思っております。
「情報セキュリティクイックアセスメント」の成果物サンプル
――川崎さんはどう思われますか?
川崎氏: NRIセキュアとしては、いろいろなお客様と相対して個別に「相談したい」「補佐してほしい」という要望すべてには対応しきれません。本当はコンサルとして対応したいけれど、リソースの問題で入っていけないもどかしさがあります。そこを GSX 様にパートナーとして入っていただくことで提供できる点が、我々にとってもお客様にとっても意義がある、ありがたいことだと感じています。
足立氏:今回の GSX 様の ニュースリリースに連動してコメントを出す機会を頂戴しました。最後の一文に「この協業とクイックアセスメントという機会が、日本の企業全体がセキュリティ対策を可視化し、アセスメントするというプラクティスを習慣化・常態化することに繋がって欲しい」という期待を書かせて頂いています。
セキュリティの対策状況の可視化・評価というものは、日本企業全体を見た時に一部しか実践できていません。0 を 1 に変えるとか、簡易版でもいいからやってみるところから、日本のセキュリティレベルがより底上げされていくと信じています。放っておいてもやる人はやると思いますが、そうではない人をも巻き込んでいかないと日本全体のセキュリティレベルは上がっていきません。5年後、10年後に振り返った時に「2021年のあの取り組みがあって良かった」と言えたらいいなと思っています。
――ありがとうございました。
