24時間365日、
見えない脅威と
闘い続ける

本日はお忙しい中ありがとうございます。まず、お二人がセキュリティの世界に入られたきっかけを教えていただけますか。

僕は前職でインシデントレスポンスに従事したことが、非常に大きな転換点だと思っています。実際にお客さまが被害に遭われる場面を間近で数多く見てきたことで、本当の意味で脅威から未然に防御するというところに非常に強く感銘を受けまして。サイバーセキュリティに力を入れようと決断しました。

インシデントレスポンスというのは、お客さまがサイバー攻撃を受けたときに、実際に何が起きたのか、なぜそのインシデントが起こったのかという原因を究明していく業務です。その過程で、失われたデータの大きさ、ビジネスへの影響の深刻さを目の当たりにしました。ただ単に「セキュリティ対策が必要」というのではなく、事前に防げていたら、お客さまのビジネスや人生は大きく変わっていたはずです。その想いが強くなって、未然防止の道へ進もうと決めました。

僕は前の職場でCTFというセキュリティの競技に参加したときに、実際に脆弱性を突いて攻撃ができるシーンを体験したことが、すごく大きな衝撃でした。CTFはセキュリティの技術やシステムの脆弱性をうまく活用して、目的の情報を奪取するという競技なんですけど、その面白さにはまってしまって。そこからセキュリティに興味を持つようになりました。

実際にセキュリティの業務に携わってみると、実装のわずかなミスが全てを台無しにする、そういった危うさと面白さが両立しているんですよ。理論上は安全でも、現実には無数の隙間がある。その隙間を埋めていく作業、つまり実装レベルでのセキュリティに取り組むことが、僕にとっての仕事の醍醐味になっています。

実際にお客さまと接する中で、どのような課題を感じていますか。

多くの企業が「入れて満足している」ケースが多いんです。セキュリティ製品の導入で満足してしまっている。決して意図してそうなっているわけではなく、人材のスキルやリソースが足りないんですよ。アラートが入って最初は対応していたんだけど、だんだんその数が増えてきて複雑化し、アラート対応がしきれなくなって。いわゆる「アラート疲れ」が出てきて、結局それに対処できず攻撃される、というケースが本当に多いんです。

実際にインシデント対応をする中で、「こういうアラートに気づいて、ここで対処していれば止められたのに」というケースは、実はかなり多いんです。つまり、技術的には正しく検知できているのに、運用する体制が整っていないために被害が拡大する。ここに大きな課題があります。

ランサムウェアに感染した場合、例えば製造業だと直接工場が止まって、1日あたりでかなりの損失が出るケースもあります。セキュリティは未然防止という点で、何かしら大きな効果が見える数字で見えるものではないかもしれません。しかし予防として考えていただきたい。予防医療が大事なように、サイバーセキュリティも同じなんです。

多くの企業はセキュリティ製品の導入はしているんですよ。でもセキュリティ機器って導入した後にも、検知したものに対処しなければいけないんです。その部分を自社で行うのはかなり大変。特に中堅・中小企業では、セキュリティ専任者がいない場合がほとんどです。

日々の業務をこなしながら、セキュリティの監視・分析も担当するとなると、どうしても優先順位の低い業務になってしまう。その結果、重要なアラートを見落とす可能性が高まります。セキュリティインシデントというのは被害が拡大していくという性質があるので、できるだけ早く対処して被害を抑えることが重要。つまり、年中365日24時間、そういうきっかけを見つけるということが一番大事なんです。

僕たちが提供しようとしているのが「Cybersecurity Primary Care」というコンセプトなんです。医療に例えると「かかりつけ医」のような存在が重要ですよね。専門的な分野のサービスを提供している方はたくさんいるんです。ペネトレーションテストの専門家とか、クラウドセキュリティの専門家とか。でも、お客さまと専門的なところがいきなりつながれるかというと、そうではないんです。

間にかかりつけ医的な存在がきちんといて、日々健康診断をして、今の状態を把握した上で「これから先、何をやっていけば改善されるのか」を把握する。その上で「この領域は専門家に診てもらった方がいいね」と判断する。そういう構造が必要なんです。

大病院に行くのは不調が出ているとき。でも不調が出る前に「いつもと違うんだけど」という段階で、近くにあるかかりつけ医で健康診断をする。サイバーセキュリティも同じ。何か明確に異変が出るより前に、日々の健康状態を見ましょう、というのがコンセプトです。つまり、常に現在地を把握して、継続的に改善していく——それが本来あるべきセキュリティ対策だと考えています。

セキュリティという分野は本当に日々変わっていくんです。新しい脅威が出てくる、新しい技術が出てくる。その変化に追いついていくためには、継続的な学習が不可欠です。実は僕は30歳から「必ず週末の1日どちらかは自己研鑽にあてる」というルールを自分に課してずっと継続しているんです。手を動かして自分自身で体験して学ぶことが、一番吸収率が高いと感じています。

ダークウェブにも行ってみるんです。実際に攻撃者がどういうやり取りをしていて、ユーザーに対してどういう要求を出しているか。一つでも多くキャッチアップしようと心がけています。そういう最先端の脅威情報を、チーム全体で共有することで、皆のレベルが上がっていくんです。

実際に攻撃をされた通信を分析する業務に携わっているので、それ自体が最大の学習になります。毎日、現実世界で起こっている攻撃を見ているわけですから、机上の勉強よりも何倍も価値がある。

チーム内では様々な形で学習機会を作っています。定期的な勉強会を週1〜2回、5〜10分程度で開催したり、もっと深く掘り下げたい人が1時間かけて学習するセッションを不定期に開催したり。さらに、CTFチームとしても、開発と運用の混成チームで競技に参加して、実際に手を動かしながら学んでいます。

セキュリティ対策というのが一般的になっている一方で、セキュリティ製品の導入というところで留まっていたり満足してしまっているという課題が各社さんあるかなと思っています。そこの導入した製品の運用とインシデントの対処みたいなところを我々のサービスをご利用いただけると、うまく自社のセキュリティ対策につながるかなと思っているので、そういうメリットみたいなところを活用いただければなと思っています。

大切なのは「こういうインシデントがありました」と通知するだけではなく、お客さまが求めている「次に何をしたらいいんだっけ？」に応えることです。私の座右の銘「至誠天に通ず」——自分が誠意を持って対応すれば、必ず相手に伝わるんです。その精神を、SOCサービスの中に落とし込みたいと思っています。

私たちのサービス、世の中的に見ると後発だと思っています。ただ、後発だからこそ柔軟性を持ってユーザー様の声に真摯に耳を傾けながら、お客さまと伴走しながら一緒に成長していくようなSOCであり続けたいなと思っています。

技術的には、セキュリティの自動化とオーケストレーションをさらに推進したいと考えています。脆弱性が発見されてからパッチが適用されるまでの時間を短縮する。その間に攻撃者が脆弱性を悪用するリスクを最小化する。そうした課題に対して、テクノロジーの力で解決していきたいです。

ただし、すべてを自動化できるわけではありません。最終的な判断は人間が行うべきです。私たちが目指すのは、人間と技術が協働するセキュリティ体制。その実現に向けて、これからも学び続け、成長し続ける必要があるんだと思っています。