1回のマラソンより、毎日1万歩。セキュリティに近道なんてない

ウィズセキュアの目黒潮です。本連載では、セキュリティコンサルタント/ハッカーの業務について、インタビューをもとに解説していきます。→過去の「セキュリティコンサルタントのお仕事」の会はこちらを参照。

セキュリティに費やすことのできる予算や人的リソースは企業ごとに異なります。また、そもそも何を守ろうとしているのか、それを達成するために想定している期間などもさまざまです。

セキュリティ対策を実施しようとする企業に最初にコンタクトしてヒアリングを行い、その道筋において寄り添っていくのがセールスの仕事です。

今回は当社でセールスを担当しているJanne Kauhanen(ヤンネ・カウハネン)との対談を通じて、その役割や企業によるセキュリティ対策の実際について紹介します。

• 

  WithSecure セールスディレクターのJanne Kauhanen(ヤンネ・カウハネン)

大企業のセキュリティの甘さにはショックを受けた

--自己紹介とこれまでの経歴について聞かせてください。

ヤンネ：ヤンネ・カウハネンです。10年前に入社し、現在はセールス部門でアカウントディレクターを務めています。

長年にわたってお付き合いのある顧客が多く、今自分が売りたい製品・サービスを今売ったらおしまいではなく、顧客に毎年サービスを提供し続け、顧客のセキュリティを成長させることができるような関係を築こうとしています。

入社前からずっとセールス畑を歩んでいましたがセキュリティにも興味を持っていたので、この仕事の募集を目にした時、これなら自分の好きなこととセールスを組み合わせることができると思ったんです。

好きなものを売り、それが自分の顧客に良い影響を与えていると感じることができる、初めての職ですね。社内のコンサルタントたちと経歴や趣味について話すと自分と共通点が多く、私も人生でどこかが違っていたらコンサルタントになっていたかもしれませんね。

--実際にハッカーとなった人たちとあなたとの共通点とは？

ヤンネ：私はインターネットが普及していなかった時代の人間で、モデムで掲示板に接続していましたし、学校のコンピュータークラブでBASICなどを使ってプログラミングを学びました。でも、コンサルタントへの道から外れたと思うのは、コンピューターを分解してその仕組みを知りたいという衝動に駆られなかったことですね。

ビデオデッキを分解して中身を見たことはないし、ちゃんと動くという事実には満足していました。でも、コンピューターゲームやコンピューター全般、あらゆるエレクトロニクス技術にはいつも魅了されてました。

それと、ゲームショップに勤務していたり、ヘルシンキ周辺で自分のショップを持つようにもなりました。コンピューターゲーム業界は全般的にとても身近に感じる業界でした。

--セキュリティ業界に移ってから受けたカルチャーショックのようなものはありましたか？

ヤンネ：大企業のセキュリティの甘さにはショックを受けました。現実世界で車が入ってこれる大きさの穴がオフィスビルの壁に空いていたら大問題です。人々は、穴があることが問題だと、ちゃんと理解できます。

しかし、サイバー世界ではその穴が開いてしまっています。それなら正面玄関ではなく、そこから簡単にアクセスすればいい。そこから侵入して悪事をはたらくことができるし、誰かにそれができるなら、自分もやってみようと思う人が他にも出てきます。

企業はこうしたセキュリティ問題の影響を認識していないと思います。セキュリティとは往々にして企業にとっては不便なものなのですが、経営者はビジネスのことは理解していても、攻撃者が何をしているのか理解できない。

セキュリティはビジネスにとって不可欠なものであるにもかかわらず、「やれればやる」的なプラスアルファのものだとしか考えていません。

--攻撃者が企業をハッキングしようとするのは必然ですが「攻撃は災害ようなもので、仮に攻撃を受けたとしても自然なことだから仕方ない」と考える企業も見受けられます。あらかじめ対策を立てていれば防げたはずなのに、そうできなかったケースも多くありますね。

ヤンネ：攻撃は日和見的であることが多いので、比較的地味な業界の企業であってもハッキングされる可能性があります。攻撃者は自分たちが誰を、どんな企業を攻撃しているのかさえわかっていないし、気にもしない。奪うべき資産を相手が持っていれば、それでいいんです。

私の仕事の多くは、顧客が持つセキュリティに関する誤解を解くことです。新規顧客に対しては、彼らのセキュリティに対する考えを知り、それがなぜ間違っているのか、なぜセキュリティが重要なのかを説明することです。また、セキュリティにおける顧客の現在の立ち位置、数年後にありたいと思う姿。そのタイムラインで到達する方法を示す「セキュリティジャーニー」を説いていきます。

企業がソフトウェア製品をアイデアレベルから製品化して、できるだけ早く市場に出したいと考えているのであれば、ビジネスアウトカムをサポートするために私たちができるセキュリティ対策とは何か？ソフトウェア開発段階の早い段階でセキュリティ対策を講じることで、製品の準備が整ったときに本稼働の妨げにならないようにする。それにより、ビジネスを妨げることなく、ビジネスを助けることができるのです。

顧客を正しい考え方に導き、企業が自らのペース、決断に基づいてサイバー成熟度を高めるための道筋をつけることが、私の仕事の大きな部分を占めています。セキュリティアセスメントには費用がかかりますが、ハッキングされた場合にはさらに大きな被害額が生じます。

人を助けたいという考えがモチベーション

--日本では、毎年1回セキュリティスキャンを行って、その時点においてすべての問題を解決するという考えを持つ企業も少なくありません。

ヤンネ：セキュリティについて十分に理解していない企業にとっては、とても魅力的な発想ですね。1年間は安心だと思っていられる。しかし、攻撃者の考え方はまったく違います。

攻撃者は1年もかからずに新しい脆弱性やそれを悪用する方法を発見してしまうので、今日の時点でセキュリティが完璧であっても、1年間放置すれば次回のチェックまでに会社自体がなくなっているかもしれません。

セキュリティジャーニーの観点からは、マラソンを1回するより、毎日1万歩ずつしっかり歩いた方がいいということですね。

すべての企業が同じ体制で同じセキュリティ対策を講じることは不可能なので、当社では『CISO-as-a-Service』というものも提供しています。週に1日だけ顧客企業のセキュリティ担当者として働き、目の前にあるセキュリティ課題に取り組み、会議に出席して他の社員たちとも話し合う。

セキュリティ面での懸念について、経験に基づいて自身の考えを述べる。大規模なプロジェクトでなくとも、社内のあらゆる状況で専門的なアドバイスを提供できます。最終的にどこに行くかの計画がなければ場当たり的な決定を下すことになり、それは『戦略』ではないんです。

--あなたは今、顧客がセキュアでいられるようにサポートしていますが、これまでダークサイドに魅力を感じたことはありますか？

ヤンネ：多少はありますね。私は技術者でもハッカーでもない。でも、この業界について十分に知っているし、サイバー犯罪者にはなれる。

その考えが頭をよぎらなかったと言えば嘘になりますが、逮捕される可能性と自分が持つモラル。この2つのおかげで、サイバー犯罪者にならずに済んでいます。

今の自分があるのは、人生において自分が行ってきたさまざまな選択のおかげですし、その中で一貫しているのは、人を助けたいという考えが私のモチベーションになっているということです。国際平和維持活動に加わって紛争地帯に赴いた経験がありますが、そうした活動もその考えがベースにあったからですね。

考えに詰まればサウナに入って一旦リセット

--ところで、あなたは日々のセールス活動に加えて、ウィズセキュアのポッドキャスト『Cyber Security Sauna』のホストも務めていますよね。

ヤンネ：実にフィンランドらしいタイトルですよね。サウナはフィンランド人にとっては日常であり、ベンダー/顧客、上司/部下などの立場を超えて、リラックスして対等な立場で自由に意見交換ができる場です。

ポッドキャストでもそうした雰囲気を大切にし、視聴者のみなさんにより有益な情報を盛り込めるようにしようと心がけています。

私自身も考えに詰まるとサウナに入って一旦リセットするようにしているので、車のトランクにはいつでもサウナにいけるようにグッズ一式を置いてあります。いつか日本版の『Cyber SecurityサウナJapan』にゲスト出演してみたいですね。

• 

  ヤンネ・カウハネン(WithSecure本社内のサウナ室にて)

--最後に、サイバーセキュリティ業界への転職に興味がある人たちに、何かアドバイスはありますか？

ヤンネ：私がサイバーセキュリティ業界に入る前にやってきたことは、私にとって大きな価値を持っている思います。

なので、現在サイバーセキュリティとはまったく違う分野にいる人でも、心配する必要はありません。今までの経験こそが他の誰も持っていない価値なのであり、それを自分の強みにすればいい。私にとっては、さまざまな分野での経験が、物事を見通す力を与えてくれました。