「日本法人よりも日本法人」ってどういう意味? セキュリティ課題に立ち向かう熱き相棒:後編 | ScanNetSecurity
2021.12.07(火)

「日本法人よりも日本法人」ってどういう意味? セキュリティ課題に立ち向かう熱き相棒:後編

後編では、メールセキュリティ特有の事情や、正しい製品選びについて考えてみることにする。

製品・サービス・業界動向 業界動向
株式会社TwoFive 末政 延浩 氏
株式会社TwoFive 末政 延浩 氏 全 2 枚 拡大写真
 本稿の取材をするまでは、たとえば同じ会社の〇〇というセキュリティ製品なら、別にどこからそれを買っても何ら変わりないものと無邪気に考えていた。ましてや「電子メールの領域など枯れた技術だ」と思っていたので、なおさらそれを疑わなかった。

 だがどうやら全くそうではないようだ。これが適切なたとえかどうかわからないが、どんなベンダとインテグレータの組み合わせを選ぶかは、「学校の『普通の先生』と『忘れえない恩師』ぐらいの違いがある」と取材を通じて感じるようになった。

 学習指導要領というプラットフォームで、文部科学省検定済教科書を用いて、教員採用試験をパスした教師が授業なり生活指導をする訳だが、名前も思い出せない大多数の教師がいる一方で、わかりやすい授業を創意工夫し学問の楽しさを伝えたり、生徒の悩みや課題に向き合い寄り添い、人生に大きな影響を及ぼしたり、あるいはときに正しい道へ更正させる先生も世の中には存在する。

 今回取材した株式会社日立ソリューションズ株式会社TwoFiveというふたつの会社は、まさにメールセキュリティという領域において後者に属する会社だったと思う。

 ScanNetSecurity 読者には、そんな熱血教師は願い下げだと思う人が少なくないかもしれないが、メールセキュリティに関しては、後述するその特異性から、『普通の先生』では事足りない。セキュリティベンダとインテグレータのコンビとして両社は、極めて解決が難しい部類の課題に対して、熱い思いで解答を探し当て続けてきた。

 株式会社日立ソリューションズの浅図 達也(あさず たつや)、そして株式会社TwoFiveの末政 延浩(すえまさ のぶひろ)(本文中敬称略)の二人に取材した記事の、今回は後編となる。

 前編では、互いを認め合うきっかけとなったトラブルの発生と、その解決について書いたが、後編では、メールセキュリティ特有の事情や、正しい製品選びについて考えてみることにする。

●なぜメールセキュリティは難しいのか

 そもそもメールセキュリティの難しさとはいったいどの辺りに存在するのか。メールという領域の特殊性について浅図と末政に質問した。

 「メールは歴史が長く、基本となる仕組みやルールは今も変わっていない」と浅図は言う。メールの基本的な仕組みが開発されたのは今から 50 年以上前だが、当時は、性善説的に、悪用されることよりも、「メッセージを相手に届ける」という使命と利便性を重視していた。

 その後、メールを悪用するサイバー攻撃が多発し、深刻な被害をもたらす悪質なものまで登場するようになったことで、それに対抗するために、業界を挙げて仕組みの改良や機能追加が行われ、送信ドメイン認証に代表される新しい仕組みも追加されてはいる。しかし、基本的な仕組みやルールは踏襲されているので、セキュリティ対策はその上に施され、必要なものをパッチワーク的に追加していくことになる。これがメールセキュリティの最大の特徴だ。

 浅図によれば、ゼロから作った方が簡単なのだが、メールは広く一般に使われコミュニケーションのインフラとして定着してしまっているので、少なくとも当面は、ゼロから作り直すことはできない。歴史のある技術を使い続けながら、日々、加速度的に手口が巧妙化、悪質化していくサイバー攻撃にどう立ち向かっていけばよいか…。それが、メールセキュリティの難しいところだ。

 末政は、電子メールという通信の法的側面を強調した。たとえば ISP (インターネットサービスプロバイダ) のメールがたとえごく短時間にせよ停止でもしたら、その事業者は所管官庁である総務省に報告義務が発生する場合がある。メールは「手紙」「電報」「電話」と並んで、日本国憲法で秘密が守られる「通信」のひとつであり、ミッションクリティカルな対応が要求されるのだ。それもリアルタイムで、である。そして一通でも紛失すれば大問題になる。

 そんな難しいメールセキュリティという領域で出会った両社は、20 年近く「共闘」してきた。

 本稿前編で紹介したとおり、重要案件で発生した不具合の原因を、丁寧に時間をかけてつきとめた日立ソリューションズを、末政は「絶対にあきらめない」と高く評価したが、逆に日立ソリューションズの浅図が TwoFive を評価する印象的な言葉があった。それは「日本法人よりも日本法人」という言葉である。

●短い要望の行間にある背景を読む

 たとえば〇〇社という外資のセキュリティ企業があって、日本市場に進出したら、「日本〇〇株式会社」「〇〇ジャパン株式会社」といった日本法人が登記され活動を行う。浅図によれば TwoFive は、こうした日本法人よりも、もっと日本法人なのだという。

 どういうことか? 浅図はこんなエピソードを挙げた。

 浅図と末政は海外出張で、とあるメール製品の米国本社を訪問する機会を持った。浅図は、その製品に対する日立ソリューションズの要望を一緒に伝えることを末政に頼んだという。

 浅図の要望は、日本語にしてわずか一文程度の短いものだったが、ベンダの技術担当者に浅図の要望を伝える末政の説明は 3~4 分に及んだ。それに対するベンダ側の返答もごく短いものだったが、末政はその回答内容を、やはり 3~4 分かけて浅図に説明したという。

 つまり、末政は浅図の要望の背景をくみ取り、ベンダからの回答を、浅図の要望に込められた課題にどう当てはまるのかを的確に説明したのだった。

 そして、結果的にその要望は、米国本社に対応してもらえることになった。

 製品のさまざまなエンハンスリクエストを日本から本社に出しても、かんばしい返事が返ってこないとはよく言われる話だ。海外本社の反応が悪いのは日本市場の重要性が相対的に低いといったことも近年はあるかもしれないが、それ以前に、機能追加が必要になるところの、日本の商習慣や、求められるサービス水準の違いを単純に本社に腹落ちさせることができないという理由もある。

 TwoFive は、米国本社の状況を理解し、あわせて日立ソリューションズやその先のエンドユーザーといった日本の顧客の要望や背景も理解したうえで、それを腹落ちするところまで米国本社に説明し納得させるという交渉力を持つということが、浅図が体験したエピソードから浮かび上がる。

 その交渉力こそが「日本〇〇株式会社」「〇〇ジャパン株式会社」と名乗るオフィシャルな日本法人よりも、はるかにもっと日本法人としての仕事をしているという浅図の評価につながっている。


●「グローバルクオリティ」を「日本クオリティ」さらに「日立ソリューションズクオリティ」へ

 海外では、たとえメール一通紛失しても、こだわって原因追及が行われるとは限らないという。しかし、日本の通信事業者や一部の大企業にとっては、まったくもってそうではない。日立ソリューションズにとって「国際クオリティ」を「日本クオリティ」まで高め、そして前編で書いたようにさらにそれを「日立ソリューションズクオリティ」まで高めることができるパートナーが TwoFive ということなのだろう。

 本稿を執筆する際の浅図と末政の取材はそれぞれ別々に行われた。両者同席の取材にしなかったのは、互いの発言に引きずられることなく、二人の本音を引き出したいという意図だった。言い方は少々不穏当だが、互いにとっての欠席裁判である。スリリングな取材であった。しかし結果的に、二人のお互いを認める発言がちょうど重なり、“相棒”としての関係が築かれていくストーリーが出来あがった。

 「絶対にあきらめない信頼できるインテグレータ」、「下手な日本法人よりちゃんとした日本法人の仕事ができるベンダ」 いずれの言葉も、今回の取材の機会がなければ、生涯互いの口から出ることのなかった、生涯互いに耳にすることのなかったセリフに違いない。

●業界への信頼の地盤低下の恐れ

 最後にひとつ、浅図が大いに懸念していることについて書いておこう。それはメールセキュリティにとどまらない、セキュリティ製品全体への信頼失墜と地盤低下につながりかねない事態である。

 先に挙げたとおりメールセキュリティは、インターネット黎明期の性善説時代に開発された技術を土台に構築され、さまざまなセキュリティ対策技術をパッチワークのように組み合わせ実現している。

 たとえば BEC (ビジネスメール詐欺) 対策ひとつを挙げても、細かいものまでリスト化すれば 5 種 6 種くらいの「BEC対策製品・サービス」が市場には存在する。どれが有効であるかは、当該ユーザー企業のメールの使い方、どんな取引先とどうやりとりをするのか、どんな業種業態なのか等々、おびただしい変数が存在する。

 つまり、たとえば「BEC対策A」が有効な企業に対して、腕の良いセールスパーソンが訪問し、その販売会社が唯一取り扱う「BEC対策B」を買わせてしまった場合、そしてその後、不幸にして BEC被害が発生したとしたら、対策のミスマッチであったことなど知らぬユーザー企業は、単にその BEC対策製品だけではなく、セキュリティ製品やサービス一般が、金はかかるのに言うほど効果が期待できないものだと勘違いしてしまうケースがある。これが浅図の懸念である。

 どこから買っても同じではない、と冒頭に書いたが、無数にある BEC対策の中で、いったい自社に何が必要なのか、対策方法の目利きが充分にできるのであれば事情は異なるだろうし、ScanNetSecurity 読者にはできる人たちが多いことと推察するが、そうでない企業だとしたら、どこから買うかは極めて重要になる。

 塾や大学を除いて、ほとんどの学校で先生を選ぶことはできないが、ベンダやインテグレータ、そしてそのコンビは選択することができる点を、覚えておきたい。


※メールセキュリティの歴史については以下を併せてお読みいただきたい
我らかく戦えり 第1回「 電子メールセキュリティ20年攻防史」

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 沖電気のファイルサーバに不正アクセス、一部データが読み出された可能性

    沖電気のファイルサーバに不正アクセス、一部データが読み出された可能性

  2. MUFGでクレジットカード番号をメール誤送信、「非表示」状態に気付かず

    MUFGでクレジットカード番号をメール誤送信、「非表示」状態に気付かず

  3. 警察庁、活動再開したEmotet解析 新たにThunderbirdも情報窃取対象に

    警察庁、活動再開したEmotet解析 新たにThunderbirdも情報窃取対象に

  4. ロイヤルホームセンター公式サイトに不正アクセス、サーバ入れ替え 12/1 復旧

    ロイヤルホームセンター公式サイトに不正アクセス、サーバ入れ替え 12/1 復旧

  5. みずほ銀行の度重なる障害に業務改善命令、IT現場の実態を軽視

    みずほ銀行の度重なる障害に業務改善命令、IT現場の実態を軽視

  6. 文部科学省でも来年1月4日からPPAP廃止、今後はBoxで添付ファイルをやり取り

    文部科学省でも来年1月4日からPPAP廃止、今後はBoxで添付ファイルをやり取り

  7. 滋賀県のスーパー平和堂のショップサイトで最大4,774件の個人情報が閲覧可能に

    滋賀県のスーパー平和堂のショップサイトで最大4,774件の個人情報が閲覧可能に

  8. DX時代のセキュリティ人材の条件 ~ トレンドマイクロ調査

    DX時代のセキュリティ人材の条件 ~ トレンドマイクロ調査

  9. メール誤送信対策ソフトウェア「WISE Alert」が脱PPAPとして新たにBox対応

    メール誤送信対策ソフトウェア「WISE Alert」が脱PPAPとして新たにBox対応

  10. 複数のエレコム製 LAN ルーターに複数の脆弱性

    複数のエレコム製 LAN ルーターに複数の脆弱性

ランキングをもっと見る