フィンランドのセキュリティ企業であるWithSecureの日本法人であるWithSecureは6月23日、都内でカンファレンス「WithSecure SPHERE2YOU Japan 2026」を開催した。
国内のサイバー脅威と待ち受けるSCS評価制度
はじめに、ウィズセキュア 代表執行役員社長の藤岡健氏が登壇した。例年であれば、同社はフィンランド・ヘルシンキでフラッグシップイベントとして「SPHERE」を2024年まで開催していたが、2025年から注力する主要国ごとの開催とし、SPHERE2YOU Japanは昨年11月に続き、2回目の開催となる。
-
ウィズセキュア 代表執行役員社長の藤岡健氏
藤岡氏は、直近1年間の国内におけるセキュリティ情勢について、アサヒホールディングスがランサムウェアグループからの被害で物流が長期停止したほか、街のダンス教室のような小規模事業者にも攻撃が及んでいることを紹介。国内では身代金要求に応じても約7割は返金されない状況が起きており、公開情報は氷山の一角で、未報告の被害が多数存在していることを示唆した。
そのうえで、同氏は「日本は島国であり、国内のみで自発的にすべてをまかなえる前提ではないため、海外取引先が日本企業のセキュリティをバックエンドでアセスメントしている。結果として、投資対象として信頼があると評価されていることから、セキュリティの役割が一層重要だ」と述べている。
国内では2026年度末に「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の開始を予定し、国内セキュリティ標準の整備・評価が見込まれている。
藤岡氏は「日本は大企業が5~7%程度、90%以上は中小・中堅企業で構成されている。日本としてサプライチェーンを含めたセキュリティのあり方を見直し、堅牢なビジネスインフラを構築する必要があり、当社と顧客の環境を熟知するパートナー企業の役割・使命が重要だ」と話す。
同氏が言及しているように、ウィズセキュアでは中小企業・中堅企業のミッドマーケットに重点を置いており、企業ピラミッド構造における90%以上を占める層に対して、高付加価値かつリーズナブルな価格帯でのセキュリティソリューションの提供を目指している。
AI時代に求められるサイバーセキュリティ戦略
続いて、WithSecure CRO(Chief Revenue Officer)のMorgan Jay氏がAI時代におけるサイバーセキュリティ戦略を説明した。
まず、同氏は「すでにAIの革命は始まっており、サイバーセキュリティは、これまでの単なるツールや脆弱性検知からマシンスピードのレジリエンス(回復力)が求められる領域へと変化した。AIを活用した攻撃者は、人間の対応能力をはるかに超える速度・スケールで攻撃が実行でき、結果として脆弱性を検知するだけでなく、“事前に修正する”というプロアクティブ(能動的)な対応への転換が不可欠となっている」との認識を示した。
-
WithSecure CRO(Chief Revenue Officer)のMorgan Jay氏
そして、同氏は「もし世界中のあらゆるシステムを破壊できるほど強力なものを開発してしまい、安全のためには封印するしかないとしたら、あなたならどうするか?」と聴衆に呼びかけた。
これは、Anthropicが4月に発表した最新モデル「Mythos」が完成した際に直面した現実として紹介された。ご存知の通り、AnthropicではMythosの能力の高さゆえに、一般公開を見送っている。
Jay氏は「現在では、中程度のスキルしか持たないサイバー犯罪者でも、1年半前には専門ハッカー集団でなければ不可能だった規模と速度の攻撃を実行できる。攻撃・防御側の双方において環境は大きく変化している」と指摘する。
一方、日本では藤岡氏が話したように、SCS評価制度が2026年度末に施行される。同制度は、国内の300万社の中堅・中小企業に対し、一部は推奨、一部は義務としてセキュリティ対策が求められる。
Jay氏は「日本はサイバーセキュリティの深刻な人材不足にも直面しており、今後の規制対応に必要な人材確保は困難であるため、既存スキルを活用するMSP(Managed Service Provider)にとって大きなビジネスの機会。とりわけ、中小・中堅市場はわれわれの主戦場だ」と強調する。
ミッドマーケットを狙うWithSecureの戦略
こうした状況をふまえ、同社は戦略の柱に「AIネイティブオペレーション」「プロアクティブなセキュリティシフト」「パートナーシップ効果」の3つを据えている。AIネイティブオペレーションでは、イノベーションの加速や高度なサポート、パートナーの成功を先手で後押しし、人間のチームだけでは対応できない規模で実現するという。
プロアクティブなセキュリティシフトではAIによる自己学習型の防御モデルを構築し、脅威が迫る前に阻止することでMDR(Managed Detection and Response)レベルの品質を提供するとのこと。
パートナーシップ効果は、MSPやVAD(Value Added Distributor:付加価値型ディストリビューター)が同社の主要な販売チャネルとなることから、パートナーシップを深めるとともにパートナーの中小・中堅市場での成功を支援し、事業を拡大するとしている。
-
WithSecureにおける戦略の柱
同氏は「当社は日本市場で欧州発の主要なサイバーセキュリティ企業を目指しており、MSPを通じてプロアクティブな防御を提供していく。また、“パートナーが成功すれば自社も成功する”というパートナーファーストのモデルを事業の中核に据え、AIを活用した攻撃者に先んじるための継続的なイノベーションを重視している」と述べていた。
プロアクティブセキュリティを支える「WithSecure Elements」
最後に、WithSecure CPO(Chief Product Officer)のNina Laaksonen氏がカスタマイズされたソフトウェア、サービス、セキュリティ機能を統合したクラウドネイティブなプラットフォーム「WithSecure Elements」を中心とした製品戦略について説明に立った。
-
WithSecure CPO(Chief Product Officer)のNina Laaksonen氏
Laaksonen氏によると、従来は数時間~数日を要していた脆弱性の悪用による攻撃がAIの活用により、数秒~数分で実行できるほか、高度なコーディングスキルや大規模なチームを必要とせず、高速かつ複雑な攻撃が誰でも実行可能になった点を挙げる。
同氏は「従来のリアクティブ(受動的)なセキュリティ(インシデント後の対応)はマシンスピードの攻撃環境では常に後手に回る。プロアクティブなセキュリティはチェスのように攻撃者の次の手を予測し、悪用される前に脆弱性を特定・対処するアプローチ。それを実現するものがWithSecure Elementsだ」と説く。
ElementsはMSP向けに設計されており、少数の専門人材でも多数の顧客にサービスが提供でき、非専門家でも明確性や迅速性、統制を提供することを可能としている。Laaksonen氏は「単なるツールではなく、セキュリティビジネス全体を動かすプラットフォームとなる。NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークに準拠しており、特定、防御、検知、対応などを単一のプラットフォームでカバーできる」と力を込める。
EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)、エクスポージャ管理を統合し、リアクティブとプロアクティブの双方を包含したフルサイクルセキュリティを実現するという。
そして、ElementsはAIにより強化されている。AIは初期段階でリスクやエクスポージャ(露出)を特定し、多数のアラートから重要度を自動的に優先順位付けを行う。これにより、人手での判断・振り分け作業が不要になり、運用が自動化される。
-
ElementsはAIネイティブであり、リアクティブとプロアクティブの双方を包含したフルサイクルセキュリティを実現するという
AIを軸としたセキュリティ運用の高度化と今後のロードマップ
同社では、上記のようなプロアクティブセキュリティに加え、ElementsでAI駆動MDR、MSPのビジネス成長のサポートにも取り組む。
AI駆動MDRでは、AIがインシデントの調査を一次対応として実行し、人間のアナリストがそれを監督・判断を行う。また、MDRの最小契約単位(シート数)を段階的に25から2027年第2四半期までに1に引き下げ、小規模顧客にも提供を可能にしていく。
MSPのビジネス成長のサポートに関しては、PSAツールとの連携や製品バンドルにより、セキュリティを単体ツールとしてではなく、MSPの業務・収益モデルに統合。運用効率の向上と顧客拡大を同時に支援する。
-
ElementsでAI駆動MDR、MSPのビジネス成長のサポートにも取り組む
今後のロードマップについてLaaksonen氏は「人員増なしで顧客対応を拡張できる運用基盤の整備(迅速な導入と単一ダッシュボード統合)、未然防止の実績を可視化するレポートによる価値訴求、さらにAI悪用に対抗する新機能の投入を通じたAIセキュリティ領域でのリーダー確立を柱としていく」と述べ、プレゼンテーションを結んだ。
インシデント対応の現場で崩れ去る「おかしな前提」とは - 名和利男氏が語る、OTセキュリティの真の課題と「事業を止めない」ための構造設計
