(編集部註:本稿は全文 7,026 文字です)
2026 年 4 月 16 日、虎ノ門ヒルズ TOKYO NODE HALL で HENNGE株式会社が年次新製品発表会「HENNGE Unveiled 2026」を開催し、3 月に提供開始済みの EDR / MDR サービスを含む計 4 製品を披露した。うち 3 製品はこの日が初公開である。
最初に登壇した HENNGE One プロダクト企画責任者の渡辺 宏哉 氏は、同社のクラウドセキュリティサービス「HENNGE One」が、国内 IDaaS 市場シェア No.1 で 3,500 社超に利用されている現在地を示した上で、脅威環境の変化を語った。「ランサムウェアのニュースは後を絶ちません。フィッシング被害の報告件数は毎年過去最高を更新しています。AI の力で言語の壁もなくなり、たった数秒で人の声もコピーされてしまう」
渡辺氏が繰り返し使った言葉が「ちょうどいい」だった。
「より本質的で」「複雑すぎず」「ちょうどいいサイバーセキュリティソリューションが必要」(渡辺氏)
同氏はゼロトラストの構成要素として「デバイス」「ネットワーク」「 ID 」に加え、HENNGE 独自の 4 つ目の領域として「ドメイン」を追加すると述べた。フィッシングやなりすましの起点がドメインにあるという視点だ。
● 新製品(1)デバイス領域 ~ 顧客がやることは 2 つだけのフルマネージドサービス
続くセッションで HENNGE Endpoint & Managed Security プロダクトマネージャーの須佐 和希 氏は、サイバー攻撃者のイメージを解体することから始めた。攻撃者は「倫理的な選択肢が我々と異なるだけで、経済合理性に基づいて行動するビジネスパーソンに近い存在」であると、これまで多くのセキュリティ企業がしてきたように単に恐怖を煽るのではなく、敵を理解可能な存在として提示した。
HENNGE Endpoint & Managed Security は、PC 等の端末に導入する EDR / EPP と、24 時間 365 日で監視・運用を行う MDR を組み合わせたフルマネージドサービスである。価格は端末 1 台あたり月額 950 円で、防御エンジンには AV-TEST「Best Protection Award」受賞の WithSecure Elements を採用した。加えてアタックサーフェス管理(ASM)を標準で含み、外部公開資産の脆弱性を日次・月次で検出して、推奨アクション付きレポートを通達する。
一般的に EDR 導入後は、アラート監視から隔離・復旧・社内報告まで顧客自身が担うが、須佐氏は「お客様にやっていただきたい内容は大きく 2 つのみ」と言い切った。HENNGE から届く報告の確認と、必要に応じた社内への共有。それだけで良いという。ひとつここで記者が補っておくと、最終的な業務判断や端末を隔離することで発生する影響の検討、再発防止策の立案や実施などのインシデント対応の一連の業務は顧客側に残る。当然過ぎる前提だが念のためつけ加えておく。
HENNGE Endpoint & Managed Security は 2026 年 3 月に提供を開始済み。
● 新製品(2)ネットワーク領域 ~ 脱・従来型 VPN
つづいて登壇した、HENNGE Mesh Network プロダクトマネージャー 安齋 早央里 氏は「ネットワークはもっと自由になれる」と語り、ネットワークの「不自由の元凶」として VPN を名指しした。
SSL VPN 製品の多くは長年の機能追加によって実装が複雑化し、脆弱性対応が継続的な課題になっている。とある主要 VPN 製品では、過去 5 年で 28 件の脆弱性が報告されているという。この件数が必ずしも多いとは言えないものの、VPN の脆弱性は実際の攻撃キャンペーンで積極的に悪用される点が問題である。スライドでは VPN がランサムウェア侵入経路の半分以上をも占めるとのデータを示した。安齋氏は VPN の「鍵一本で建物全体に入れてしまう構造」が本質的問題であり、穏やかな口調ながら「従来の境界型防御モデルはすでに崩壊している」と強い表現を用いた。
HENNGE Mesh Network は、オープンソースの VPN プロトコルである WireGuard をベースとした P2P メッシュネットワークである。「不自由の元凶」だったはずの VPN 技術をベースにするのは一見矛盾するが、ここで言う「 VPN 」とは SSL VPN に代表される従来型のリモートアクセス VPN を指す。従来型 VPN は、ゲートウェイ機器がインターネット上に IP アドレスを公開しているので、世界中の攻撃者からのスキャンにさらされざるを得なかった。そして、いざ脆弱性が発見されれば認証を経ずに侵入されるケースすらある。
これに対してメッシュネットワークは、端末同士が直接通信する構造のため、インターネット上に公開される集中型の接続口が存在しない。目立つ攻撃対象を減らすことができる。HENNGE Mesh Network はエージェントをインストールするだけで利用開始でき、ソフトウェア制御によるマイクロセグメンテーションで横展開を遮断する。
HENNGE Mesh Network は HENNGE One Identity Edition の一部として 2026 年 10 月以降に提供予定。将来的には、HENNGE One の ID 管理機能である HENNGE Access Control 側で社員の ID を無効化すれば、Mesh Network へのネットワークアクセスも連動して遮断される機能等の実装も予定している。
● 新製品(3) ID 領域 ~ SSO 非対応サービス向けパスワードマネージャー
HENNGE One はすでに IDaaS / SSO 基盤の HENNGE Access Control を提供しているが、SSO(シングルサインオン)でカバーできるのは主に SAML や OIDC といった標準的な認証プロトコルに対応したサービスに限られる。非対応のオンプレミスシステムや中小 SaaS、取引先から共有 ID をひとつだけ渡される各種ポータル等は管理対象外に落ち、ID・パスワードがブラウザ記憶や Excel 管理という「裏口」に居座り続ける。この裏口を塞ぐために開発されたのが HENNGE Password Manager である。
「攻撃者は最も強固な入口ではなく、最も弱い入口を狙います」登壇した HENNGE Password Manager プロダクトデザイナーのネイシー ピラーカ氏の言葉は端的だった。
HENNGE Password Manager は Chrome 専用のブラウザ拡張機能として動作し、認証情報の自動保存・自動入力・強力なパスワードの自動生成に対応する。直ちには廃止することが難しい共有アカウントをチーム単位で安全に管理する暫定統制として機能し、パスワードを非表示のまま利用させることも可能。「誰が、いつ、どこから、どんな操作を行ったか」等の主要な操作はログとして記録される。
また、サーバ側に復号鍵を一切保存しない設計を採用しており、HENNGE 自身もパスワードにアクセスできない。万が一攻撃を受けても、サーバ側の侵害だけでは復号が困難な設計である。HENNGE Password Manager は HENNGE One Identity Edition の一部として 2026 年 10 月以降に提供予定。
● 新製品(4)ドメイン領域 ~ DMARC ポリシー reject までの最初の一歩
HENNGE Domain Protection セールスプロモーション 増田 悠里 氏は数字で話を切り出した。「従業員 1,000 名の会社では 1 日あたり 6 万 4,000 通のメールをやり取りしています」そして、「なりすましメール送信に特別なハッキングツールは不要で、標準的なプログラミング言語で数行コマンドを書くだけで偽装できる」と続けた。
自社ドメインを詐称したいわゆるなりすましメールを、受信側が認証結果に基づいて拒否・隔離しやすくする技術が DMARC だ。Google / Yahoo! が 2024 年に事実上必須化し、日本でも金融庁・総務省が対応を要請しているが、JP ドメインの DMARC 普及率は約 30 %にとどまっている。
HENNGE Domain Protection は、DMARC レポートの可視化・分析ツールである。ダッシュボード上で、自社ドメインから送信されたメールが正規のものか、なりすましの疑いがあるかを一覧で把握できる。また、なりすましメールの送信元 IP アドレスを可視化し、自社ドメインを使ってメールを送っている全送信元を特定する。これらの情報をもとに、ポリシー引き上げ( none → quarantine → reject )を支援する。必要に応じて Customers Mail Cloud 事業の知見を持つ専門エンジニアによる有償コンサルティングも提供する。
増田氏によれば、開発コンセプトは「伴走から自走へ」、専門家の支援で DMARC 導入を軌道に乗せた後、顧客自身がダッシュボードを見ながら継続運用できる状態を目指すという。
HENNGE Domain Protection は、HENNGE One DLP Edition の一部として 2026 年 10 月以降に提供予定。初期導入費用は無料である。
● 一部大企業と先進企業だけの「特権」だったゼロトラストをより多くの企業へ
クロージングセッションに登壇した HENNGE株式会社 執行役員 今泉 健 氏は、今回の 4 つの製品によってゼロトラスト実現の「 3 つのピースが揃った」と宣言した。「誰が(アイデンティティ)」「どの端末で(デバイス)」「どこへアクセスするか(ネットワーク)」この 3 つの軸を正しく制御できれば、ゼロトラストの本質は実現できるという。
ゼロトラスト導入が進まない原因は複雑性だと今泉氏は指摘した。IDP、SWG、CASB、ZTNA、EDR、SIEM ─ それぞれ別のベンダーが提供する製品群を評価・調達・連携・運用するコストが事業の足を引っ張る。HENNGE は認証・端末管理・ネットワーク制御を単一ベンダーで完結させることで、この壁を下げるという。
恐らく本誌読者はここで、単一ベンダーに寄せることは運用負荷を下げる一方で、ベンダーロックインや、専業ベンダーほどの機能深度を得られない可能性といった別の課題も生むのでは、と考えるだろう。確かにそれは否定できないのだが、いまの日本企業の多くにとってそれより深刻なのは、ベストオブブリードのコンセプトで理想的な製品を個別に選び抜くとか言う以前に、必要と分かっている対策を実装に乗せられていないことである。
今回発表された 4 つの製品の配置は、Mesh Network と Password Manager が HENNGE One Identity Edition、Domain Protection が 同 DLP Edition、Endpoint & Managed Security が 同 Cybersecurity Edition にそれぞれ含まれる。
今泉氏の言葉で最も印象に残ったのは、ゼロトラストの現状に対する率直な認識だった。概念としては正しいと誰もが理解している。にもかかわらず多くの企業が導入できていない。それは導入コストが高すぎて運用にセキュリティ専門人材が必要になるからだ。結果としてゼロトラストを実現できているのは一部の大企業と先進的な企業に限られている ─ この現実を今泉氏は「特権」と呼んだ。
その上で今泉氏は、ゼロトラスト実現のために必要な製品をひとつのベンダーが提供することで、コストと複雑さの壁を下げ、情報システム部門が自ら運用できる「ちょうどいい構成」で届けると述べた。
今泉氏は「ゼロトラストを特権からインフラへ変えていく。より多くの企業が本質的なセキュリティを手にできる世界を目指していきたい」と講演を結んだ。
● 記者所感:これはゼロトラストなのか?
ここまで読んできて、少なくない読者が居心地の悪い思いをしていたのではないかと拝察する。それは「これってゼロトラストなの?」という疑問だ。
そもそもゼロトラストとは何か? 2010 年、Forrester Research 社のアナリスト、ジョン・キンダーバグが提唱したこの概念の出発点は「Trust is a vulnerability(信頼とは脆弱性である)」だった。ネットワークの内側を信頼するという前提そのものが脆弱性だと喝破した。
NIST SP 800-207 におけるゼロトラストの定義はさらに具体的だ。その本質は「いかなるリクエストも、動的なポリシー評価に基づいて、セッションごとに最小権限でアクセス制御を行うこと」にある。
この定義に照らして、今回の HENNGE の 4 つの製品を正直に仕分けしてみる。ZTA(ゼロトラスト・アーキテクチャ)のコア機能(動的なアクセス制御)を構成するのは、Access Control と Mesh Network の連携部分だ。ユーザー認証とデバイスの健全性を検証し、両方が揃って初めてネットワークアクセスを許可するという今泉氏が示したシナリオは、まさに NIST 定義の実装である。
一方、MDR、Password Manager、DMARC はどうか。セキュリティの底上げには極めて有用だが、これらは ZTA のコア機能ではなく周辺コンポーネントである。特に DMARC をゼロトラストの「柱」と位置づけるのは、技術的定義としてはだいぶ乖離がある。DMARC はメッセージングセキュリティの領域であり、「自社リソースへのアクセスをいかに制御するか」というゼロトラストのアーキテクチャとは別の領域だ。
だが、「だからゼロトラストではない」のかというと、そうでもない。
まず、完全なゼロトラストを一社で実現している企業は世界に存在しない。NIST のフレームワーク自体が「ゼロトラストは到達点ではなく方向性である」と述べている。そして各ベンダーが自社の得意領域を「ゼロトラストの中心」と位置づけて売り込んできたのがこの 10 年の歴史だ。キンダーバーグはこれを「ゼロトラストウォッシング」と批判してもいる。
日本市場に目を向けると「国産ゼロトラスト」を標榜するベンダーは既に存在する。Web フィルタリングの老舗が展開する国産 SSE、ログ管理で知られるベンダーのクラウド SASE とデジタル証明書に強い老舗認証ベンダーが組んだソリューション、日本のインターネットインフラを支えてきた大手 ISP のセキュアアクセスサービスなどだ。しかしその多くは「ネットワーク / SASE / SSE」起点のアプローチである。通信が通過するゲートウェイで制御するという発想だ。
HENNGE は明確にこれらと異なっている。同社は約 3,500 社が利用する「HENNGE One」、そして国内シェア No.1 の IDaaS という「認証の牙城」を既に持っている。そこからネットワーク(Mesh Network)、デバイス(Endpoint & Managed Security)へと拡張していく戦略だ。グローバルでは、エンタープライズ IDaaS 市場を牽引するクラウドネイティブ企業や、世界最大級のクラウドプラットフォームを擁するソフトウェアの巨人が取っているいわば王道のアプローチである。日本の国産ベンダーで、この「ID 起点のゼロトラスト」で戦えるポジションにいるのは現時点では HENNGE だけだ。
4 製品の内訳を見れば、いずれも日本の中堅中小企業の現実を踏まえている。(1)高くて運用もできない現実に対する MDR、(2)攻撃経路として悪用され続ける従来型 VPN からの脱却、(3)SSO 管理外に放置された認証情報の統合管理、(4)メール停止を恐れる日本企業にこそ必要な DMARC 導入支援。いずれも先進技術でもイノベーションでもないが、大企業なみの対策が夢物語である中堅中小企業にこそ必要なものばかりだ。
厳密な ZTA の定義に照らせば、HENNGE の提示したものは「コア+周辺」の組み合わせであり、4 製品すべてがゼロトラストの中核というわけではない。しかし「ID 起点で国産ゼロトラストを中堅中小企業向けに展開する」という戦略において、HENNGE は日本市場で唯一のポジションにいる。そして、3,500 社の既存顧客に「これが我々のゼロトラストだ」と言い切った覚悟は一定の評価に値するだろう。
