提供:セキュアソフト
日本企業全体で見れば3分に1回はサイバー攻撃を受けているといわれる時代。防御を固めるセキュリティー関連サービスで急成長しているのがサービス&セキュリティ(SSK)とセキュアソフトだ。グループ経営幹部へのインタビュー後編では、神山竜二セキュアソフト副社長と宮野隆SSK副社長が「同業他社にはない強み」について語った。聞き手は前編に続きフリーアナウンサーの木佐彩子氏が務めた。
サービス&セキュリティ 副社長
宮野 隆 氏
(みやの・たかし)1973年コンピューターサービス株式会社(現SCSK株式会社)入社。2004年株式会社セゾン情報システムズ代表取締役社長、16年株式会社Office HIRYU 最高経営責任者(CEO)〈現任〉。18年サービス&セキュリティ株式会社副社長。企業の社外取締役・顧問・アドバイザーの実績多数。
木佐 姜昇旭社長へのインタビューで、競争力の源泉は人材だとお聞きしました。ニーズが増しているというセキュリティーサービスはいかがでしょうか?
宮野 まずSSKという会社が何をやっているかをお話ししましょう。SSKは1500人を超える社員を抱え、IT(情報技術)人材サービスとして業務システムの運用管理、システム開発、ネットワークなどインフラ構築、それと総合セキュリティーサービスを提供しています。総合セキュリティーサービスとは、①「セキュリティー運用監視センター(SOC)」でおこなう顧客システムの24時間365日監視②「脆弱性診断センター」で実施するシステムの脆弱性発見と対策立案③顧客企業へのセキュリティーエキスパート提供の3本柱です。
運用監視センターか脆弱性診断センターのうち、どちらか一方のセンターを持っている会社はほかにもありますが、両方を運営しているのはSSKを含め数社だけです。エキスパートを顧客企業に提供するオンサイトサービスまで実施しているのは、さらに少数です。ここがSSKの競争力の源泉です。
木佐 セキュリティーエキスパートの存在がますます重要になりますね。
宮野 そうです。当社はeラーニングやテキストを使った机上の勉強だけでなく、自社のSOCと診断センターで実務を経験させながら人材育成しています。2022年、社内に「セキュリティー人材育成委員会」を新設し、27年までにエキスパートを700人育てようというのが現在の計画です。
木佐 サイバー攻撃の被害がやまない今、どのような対策が必要でしょうか?
神山 セキュリティーを考える際の一番のリスクは慢心です。サイバー攻撃が高度化した現在では、万全の対策を行っていても被害にあってしまう可能性があり、被害を最小限にすることが重要です。定期的にシステムを最新化し、サイバー攻撃に悪用されるような穴がないかを点検し、問題があれば対策していくという日々の地道な対応の繰り返しがセキュリティー対策の基本です。しかし、これを完璧に維持することは、人材不足も重なり難しくなっています。
セキュアソフト 副社長
神山 竜二 氏
(かみやま・りゅうじ)セキュアソフト株式会社の技術本部長として自社IPS製品「Sniper ONE」の企画・技術サポートを統括。2016年サービス&セキュリティ株式会社取締役とセキュリティ本部長を兼務し、セキュリティー運用監視センター(SOC)の立ち上げに携わる(18年にサービス開始)。
木佐 慢心せず、地道な対策が必要ですね。
神山 さらに対策を行うだけでは十分ではなく、サイバー攻撃の兆しがあるのか、攻撃によってシステム内部に入り込まれていないかを監視することが重要です。最悪なのは攻撃を受けていることに気づかず、システムに侵入されていることにも自覚がないことです。こうなると対策や復旧策を立てるのが遅れてしまい、被害が広がります。
当社のSOCでは、業務に携わる人員を事前に徹底的にトレーニングし、24時間365日有人の監視を続けています。監視チーム内には常時、経験豊富なエキスパートがおり、夜間でも顧客企業と相談してすぐに対策を立案できます。これが当社の強みです。
さらに当社の監視業務は、顧客企業内にある情報システムだけでなく、顧客企業が利用している第三者のクラウドシステムまでカバーしています。ここまでカバー範囲が広いサービスを提供している会社は少ないと思います。情報システムが高度化した現在、当社の監視サービスで対応する対策システムは、従来型のネットワークセキュリティー対策のファイアウオール、IPS、UTMから、PCのセキュリティー対策であるEDR、テレワークで急激に普及したVPN通信対策のSASEサービス等監視対象を広げています。
木佐 監視業務は自動化できないのでしょうか。やはり人の目は必要ですか。
神山 当社のSOCには、オンラインで顧客企業の情報システムのログが集まってきます。その集まってきたログの中から怪しい動きを検知するわけです。弊社独自の監視システムが高精度な分析で即時に判定を行っていますが、エキスパートの眼力が欠かせない所も残っています。高度技術によりリアルタイムでお客様情報を正確に把握し、経験豊かなエキスパートが的確なアドバイスを行うことで安心・安全に守り続けることが監視センターの使命です。
フリーアナウンサー
木佐 彩子 氏
(きさ・あやこ)青山学院大学在学中からテレビ朝日系の番組にキャスター、リポーターとして出演。大学卒業後の1994年にフジテレビ入社。アナウンサーとしてスポーツ番組や報道番組などを担当。現在はフリーアナウンサー。CMに出演するなど、各種メディアで活躍中。
宮野 監視して今現在のリスクを軽減する一方、将来リスクを減らすには顧客の情報システムに弱点がないか診断することが重要です。防御の穴を見つけたら是正措置をとります。顧客が新しいシステムを立ち上げた場合は、必ずこの脆弱性診断を行います。
木佐 脆弱性診断サービスではどんな特徴があるのでしょうか。
神山 一番の特徴は、顧客企業のシステムにおけるセキュリティー上の穴を見つけ出すエキスパートの技術の高さです。日々、診断時に多種多様な脆弱性が見つかっていますが、現状では経験を積んだエキスパートでしか発見できないものがあります。当社には頼りになるエキスパートが数多くいます。また、診断対象の幅が広いのも診断サービスの特徴で、ウェブサイトのシステムにとどまらずネットワーク、スマホアプリ、クラウドシステムなどの脆弱性も判断し対策を提案します。
木佐 SSKは今後どのようにセキュリティーサービスを拡大していくのでしょうか。
宮野 日本企業全体でみれば3分に1回はサイバー攻撃を受けていると言われています。サイバー空間での攻防戦はまさに、イタチごっこの様相を呈しています。たまたまセキュリティー被害が出ていないから対策を打たなくていい訳ではないと思います。
日本企業でも最近は社内にCSIRT(Computer Security Incident Response Team)を立ち上げる動きが増えています。コンピューターやネットワーク上で問題が起きていないか監視し、問題が発生した場合にその原因解析や影響範囲の調査をするチームです。しかし、すべて社内の人材でチームを結成するのが難しいケースもあります。そうした企業に我々が社内で蓄積した専門的なノウハウを提供するサービスも拡大していきます。
神山 監視、診断のサービスで積み重ねた経験をもとに、セキュリティーに詳しくない顧客企業の担当者様とも平易な言葉で話し合い、ニーズを探り出し、適切なセキュリティー対策の提案ができるコンサルティングサービスを加え、セキュリティーに関わる業務すべてをお任せいただく総合セキュリティーサービス企業のナンバーワンを目指します。
木佐 きょうはセキュリティービジネスにとって、高度な人材と経験豊富なサービスの両輪が競争力の源泉だということがよく理解できました。ありがとうございました。
