このセキュリティアナリストの講演者としての魅力をうまく言い表す方法がないかと考えに考えたのだが、約 2 年前に取材を実施したときは、うまい表現が最後まで見つからないままギブアップした。
今回「最高に冴えた表現」とまでは言えないにしても、再び彼を取材する機会を得て、何とかたどり着いたのは「棺に入る経験」である。世の中には吸血鬼でもないのに、わざわざ棺桶の中に自ら入り込む経験を提供するアトラクション的サービスが存在する。体験者は棺の中に横たわり、蓋を閉じてもらい、そこで数分間、自分の最終的な結末について思いを馳せる。この経験をした人は良い人生を送り、長生きする傾向があるとか。
エムオーテックス株式会社 サイバーセキュリティ本部 エキスパートの西井 晃(にしい あきら)氏は、デジタルフォレンジックやインシデントレスポンスの業務に長く携わり、サイバー攻撃被害が発生した「後」の数々の現場を歩んできた。デジタルフォレンジックとは、火災現場や事故現場に入って、出火の原因や事故の原因を明らかにする鑑識のように、サイバー攻撃や不正アクセスが起きたシステムを調査し、原因の解明や証拠の保全を行う技術である。
きっと西井氏は、セキュリティコンサルタントとして活動する際にも、今まで巡ってきた様々なサイバー攻撃被害が「起こってしまった後」の光景、いわば最終的な「結末」が頭にこびりついて離れないに違いない。
考えてみて欲しい。こういう人物が行うセキュリティ対策の提案が、やれ SASE だ ZTNA だ NDR だのと、流行りのワードだけを先行させて、お手軽にクローズさせるような軽薄なものになど絶対なるはずがない。
被害現場の惨状を目の当たりにして、そこで判明した原因から逆算したセキュリティ対策を提案しても、世の中のどこかでは必ず事故や被害が発生する。そして一定の確率で西井氏に呼び出しがかかるのだ。まるで被害現場から何度も繰り返しタイムループして、過去に戻ってセキュリティ対策をし続ける呪いのようなキャリアである。
前回も今回も取材中に西井氏は常に微笑(ほほえみ)を消さなかった。目尻にはかすかに笑みのしわが浮かんでいる。初対面のときはニヤけた人だなと思ったが、二度目の取材でようやく、それが彼が自身の仕事の本質を知って覚悟と腹を決めているからだとわかった。よし。今回はわりとちゃんと彼のことを書けている気がする。いいぞ。
さて。ということで記者的にはここで書くのをやめてもいいくらい書き切った感すらあるのだが、しかしそういう訳にも行くまい。今秋開催される Security Days Fall 2025 の西井氏の講演「被害の核心は『対策のズレ』~ 現場対応から導く、セキュリティ強化の 3 アクション」の見どころについて本人に話を聞いた。
--
● 人の脆弱性や抜け漏れ
── 最近の脅威動向についてどう考えていますか?
ソーシャルエンジニアリングのような「人の脆弱性」を狙う傾向が増えています。設計ミス、脆弱なパスワード、初期導入時の設計不備、アクセス制御の不備といったケースです。また、PCでは脆弱性対応ができていても、サーバーまでは手が及んでいないといった盲点や抜け漏れ、ズレが際立ってきています。
● 3 つのアクションプラン
── 講演で提案する予定の 3 つのアクションプランの概要をお聞かせください
1 つ目は「有事を見据えた準備」です。有事が起こったときの準備を平時から考えておく必要があります。CSIRT 等による有事体制の整備についてお話しします。
2 つ目は「公開資産の資産管理をちゃんとする」ことです。資産管理をした上で、経営主導でリスクマネジメントプロセス、例えば脆弱性対策などを回し、社内をセキュアにしていく必要があります。
3 つ目は「より良い防御手法を採り入れる」ことです。ウイルス対策ソフトは基本ですが、その先を見据え、仕組みの導入と運用プロセス、対応プロセスまで踏み込んで考える必要があります。
── 「有事を見据えた準備」として CSIRT 構築支援のようなサービスもエムオーテックスは提供しているんですか?
2023年から「ガイドライン対応サポートアカデミー」というサービスを提供しています。経産省主導のもと2026年度の開始が目指されているセキュリティ対策評価制度(格付け制度)や、昨今増加している取引先からのセキュリティ監査対応も意識し、経産省・IPAや業界団体などが策定しているセキュリティガイドラインに基づいて有事/平時における社内ポリシー策定や運用・評価手順などを整備するものです。弊社セキュリティコンサルタント監修の講座動画や、ガイドライン対応度を判定するチェックシート、各種規程のひな型、添削・個別相談サービスなどを提供しており、学習塾のように、教材で学びながら自分たちに足りないところを整備し、見直していく切り口です。
● 対策のズレ その原因
── 西井さんはフォレンジック調査やインシデントレスポンスの仕事を行われていますね。今も現場に入られたりするんですか?
はい、入ります。実際に現場に入ってインシデントレスポンスを行い、そこで見えた課題や、皆さんが持つべきセキュリティ対策などを講演の場などでお話しするのが私のライフワークになっています。皆様に何らかの気づきを提供し、セキュリティ啓発の一助になればと思っています。
── 講演タイトルにある「対策のズレ」はなぜ生まれると考えていますか?
基本的なことが現場レベルでできていないことです。「野良サーバー」や「未把握資産」など、「資産管理をちゃんとしなければいけない」と上層部は理解し、指示も出しているのですが、現場がきちんと実行できていない懸念があります。特に、現場レベルで「我々の領域はここまで」と定義し、対応漏れが発生してしまうケースが多く見受けられます。
これまでのセキュリティ対策は、端末のソフトウェアアップデートやセキュリティ製品導入、標的型メール訓練といったエンドポイント対策にフォーカスされ過ぎていました。しかし昨今では、サーバー管理者やサーバー、アプライアンス製品への攻撃で侵入されるケースが出てきています。攻撃の巧妙化と言うより、自社における網羅的な管理プロセスや運用プロセスこそが大きな課題だと考えています。
● 運用や考え方を変えれば劇的な改善も
── セキュリティ企業のプレスリリースを読んでいると「APT」とか「巧妙化」とか「進化する攻撃」とか、「一介の民間事業者に何ができるんだ」と暗い気持ちになりますが、運用プロセスを変える話なら、どんな会社でも何か対応できることがありそうですね?
その通りです。大きなお金をかけずにできることもあります。現場の運用や考え方を変えれば劇的な改善があり、少なくとも「今起こっていることの大半は防げる」と言っていいと思います。
もちろん高度化した攻撃も存在しますが、それ以前の問題を抱えている企業・組織がたくさんあり、そうした方々が、現在ランサムウェアをはじめとする攻撃の被害に遭われていると感じます。レベルがまだ十分でないところは、基本的な対策でレベルを上げていく。攻撃が高度化しているからやられてしまった、という理由だけではないと思います。
── 講演を聞きに行こうか迷っている方へメッセージをお願いします。
市場にあふれている情報を見ると、「攻撃が高度化しているから対策しても無駄だ」と思われる方もいるかもしれませんが、少しずつでも基本的な対策のレベルを上げていけば、経営に与えるリスクを減らせますし、事業停止まで行かずに済むかもしれません。セキュリティ対策を諦めるのではなく、経営と共にセキュリティ対策を推進するためのヒントを、ぜひ私の講演で掴んで持ち帰っていただきたいです。
── ブースの展示と大阪・福岡の講演について教えてください。
ブースには弊社が取り扱う全製品・サービス・ソリューションに関して回答できる説明員がいます。デモや個別相談を通じて、お客様の課題に対して最適なものをご紹介します。大阪と福岡でも講演があり、講演者は変わりますが内容は同じです。
また、名古屋のオートモーティブ関連イベントにも出展予定で、自工会所属企業様向けにサプライチェーン対策などが中心となり、サポートアカデミーなどがフィーチャーされる予定です。
── ありがとうございました。
Security Days Fall 2025
大阪 10.10(金) 14:40-15:20
被害の核心は「対策のズレ」~ 現場対応から導く、セキュリティ強化の3アクション
エムオーテックス株式会社
サイバーセキュリティ本部 セキュリティサービス 1 部 セキュリティエンジニアリング課 アソシエイト
廣田 優樹 氏
名古屋 10.17(金) 13:45-14:25
自工会/部工会サイバーセキュリティガイドライン準拠を確実に: 現状把握~規定整備支援、最適製品のご紹介
エムオーテックス株式会社
営業本部 西日本営業部 西日本営業 2 課 課長
小西 晃貴 氏
東京 10.22(水) 11:20-12:00
被害の核心は「対策のズレ」~ 現場対応から導く、セキュリティ強化の3アクション
エムオーテックス株式会社
サイバーセキュリティ本部 エキスパート
西井 晃 氏
福岡 10.28(火) 16:10-16:50
被害の核心は「対策のズレ」~ 現場対応から導く、セキュリティ強化の3アクション
エムオーテックス株式会社
営業本部 副本部長
金子 大輔 氏
