6 月 11 日 (水) から 6 月 13 日 (金) まで幕張メッセで開催された Interop Tokyo 2025 に出展されたセキュリティ関連のサービスや製品をいくつかレポートする。
サイリーグホールディングス株式会社の展示ブースでは、アイディルートコンサルティング株式会社、EGセキュアソリューションズ株式会社、SMBCサイバーフロント株式会社、S&J株式会社らが共同出展し、WAF や脆弱性診断、インシデント対応サービスなどの展示と解説が行われた。
サイリーグホールディングス株式会社 マーケティング本部長 南部 弘毅 氏(写真)に話を聞いた。
7 月から提供開始予定の、S&Jとサイリーグホールディングスが共同で開発したサイバーセキュリティ支援サービス「CyLeague サイバーレジリエンス・パッケージ」は、年間 100 万円で契約すると、専門家の定期訪問による情報共有や、ランサムウェア被害などがいざ発生した際の初動対応などのインシデントレスポンスを上限の時間内( 40 時間 / 年)で行ってくれるというこれまでありそうでなかったサービス。情報システム部門というよりは経営層に向けて設計された商品であり、大きく以下のふたつのメリットがある。
・年間コストが事前にある程度算定できる
・事案が発生したら即対応開始できる(通常短くても数日、長い場合 n 週間かけて NDA や見積のやりとりを行うが、そのプロセスを飛ばせる。対応開始が早いほど実害及び風評等々の各種損害も浅く、失うコストも押さえられ、リカバーも早くなる)
パッケージには四半期ごとの脅威インテリジェンス情報の共有や、定例会実施によるリスクの可視化なども行われる。対象は従業員 300 名規模以上の企業や団体。
何も起こらない場合 100 万円は脅威インテリジェンスや定例会のコストとイコールになる訳だが、ガン保険がかけ捨てになって悔しいからガンになってやろうと思う人などまずいないように、契約中にランサムウェア被害に遭わなかったから損をしたと悔しがるような経営者は(オードリー春日が社長でない限り)まずこの世に存在しないだろう。また、そもそも(この額でおさまるかは別だが)JNSA が発表したインシデントレスポンスにかかる費用相場などと比べると 100 万円はとても安い。
エンタープライズ企業に長く業者として出入りするセキュリティ企業は、ある意味このパッケージと似た関係を顧客と構築している。すなわち、すでに NDA 等が締結されており、当該エンタープライズ企業のネットワークやシステム構成に業務遂行過程で通暁し、ビジネスモデルや企業文化、社内のキーパーソン(たとえば常務は IT に関する理解があり、なおかつ社長の信任がある 等々)などを理解しているため、有事の際に新規に新しい依頼先を探すよりも効果的に立ち回ることができる。
サイバーレジリエンス・パッケージは、こういった「かかりつけ医」的な関係を、定期的なミーティング等々で作ろうとする試みでもある。セキュリティ会社からしても、急なインシデントレスポンスの依頼でなんとか人をアサインしていざ火事場に踏み込んだらログも取っていなかった的な「アゴが外れる事態」を回避できるメリットもある。
一方で、サイバーレジリエンス・パッケージが対象とする中小中堅企業が最も求めているのは「この VPN / WAF / UTM / EDR ・・・ を入れればもうセキュリティはすべて安心」という類いの「金を払って思考停止を買う」ことであることは昔もいまも変わらないが、一方で 2024 年 12 月に公表されたサイリーグホールディングスの調査を受けて徳丸浩氏が「経営者も現場もセキュリティの脅威を感じている」とコメントしたように、現状は変化しつつあるかもしれない。
CyLeague サイバーレジリエンス・パッケージは、生活指導や治療、手術までを含むガン保険のような野心的かつクリエイティブなサービスである。「お助け隊」にインシデントレスポンスオプションをつけたような構成である。
通常セキュリティ会社はユーザー企業に侵害や被害が発生すればするほど儲かるという構造に(例外は多くあるものの)おおむねなっており、その構造が「大手アンチウイルス会社は決算時期すなわちクリスマスが近くなるとウイルスをばらまく」という大ウソの都市伝説が生まれる元ともなってきたが、一方で CyLeague サイバーレジリエンス・パッケージは侵害や被害が発生しない方がセキュリティ会社が儲かる構造となっている。この動機は大きい。運用やインシデントレスポンスの現場で揉まれていくことでこのサービスが日本の企業風土にあわせて進化発展していくことが期待される。
