IT浸透に伴いランサムウェアなどの金銭目的攻撃が増加し、企業の情報資産保護は喫緊の課題になっている。こうした流れを受け、2025年5月には、サイバーセキュリティに係る技術等の研究開発の促進及びサイバー対処能力の強化に関する法律などの能動的サイバー防御に関する法律(以下、能動的サイバー防御法)が成立し、経済産業省によるサプライチェーン強化に向けたセキュリティ対策評価制度構築も進行中。官民が密接に連携し、サイバー攻撃の脅威に対抗していくという機運が高まっている。
本稿では、インターネット黎明期からネットワークやサイバーセキュリティの最前線でITの社会実装に寄与してきたフューチャーセキュアウェイブのCTO(チーフテクニカルオフィサー) 青嶋 信仁 氏と、サイバーセキュリティユニット 主席研究員の寺島 崇幸 氏、さらにかつて同社に在籍し、現在は日本マイクロソフトのCSO(チーフセキュリティオフィサー)を務める河野 省二 氏にインタビューを実施。サイバーセキュリティの最新動向と今後の対策における展望に加え、多くのセキュリティスペシャリストを輩出してきた同社の魅力やカルチャーについて話を聞いた。
-
左から、フューチャーセキュアウェイブ株式会社 サイバーセキュリティユニット主席研究員 寺島 崇幸 氏、フューチャーセキュアウェイブ株式会社 CTO(チーフテクニカルオフィサー) 青嶋 信仁 氏、日本マイクロソフト株式会社 CSO(チーフセキュリティオフィサー) 河野 省二 氏
官民連携が進み、日本のサイバーセキュリティ対策は新たなステージへ
──まずは昨今のサイバーセキュリティにおけるトレンドと最新の動向について、最前線で活躍されている皆様の感じておられているところをお聞かせください。
青嶋氏:
これまで政府主導のサイバーセキュリティ対策としてはガイドラインの策定が中心で、民間企業に“このようにしてください”と、セキュリティ対策をお願いするようなアプローチでした。今回、能動的サイバー防御法が成立したことは、これまでの自分の身は自分で守るというスタンスから、“官”と“民”が情報共有し、“官”が盾となって“民”を守っていくというスタンスへと移行したという意味で大きな転換点だと思っています。法律化したことで、これまで国として民間に関与しにくかった部分に対応できるようになり、セキュリティインシデント対応でもっとも重要な“時間”、すなわち迅速な対応が可能になったことは非常に大きいと思います。
河野氏:
青嶋さんが話されたように、これまでのセキュリティ対策は民間企業や組織が個々に行っており、巧妙化するサイバー攻撃への対処にはどうしても限界がありました。たとえば今も猛威を振るっているランサムウェア攻撃に関しても、国全体で動ければ、もっと国内企業を守ることができるはずなのですが、そうはなっていなかった。
現在は能動的サイバー防御法の成立など、大きな変化の最中にあり、“民”が頑張るべきこと、“官”が頑張るべきことを分けて考え、官民連携によるサイバーセキュリティ対策を推進していくことが重要となります。
寺島氏:
エンジニア視点では、政府が打ち出した能動的サイバー防御法が民間企業に及ぼす影響がどの程度あるのか読めないところはあるのですが、官民の協力・連携というキーワードに関しては、フューチャーセキュアウェイブとして支援できることがあるのではないかと感じています。
──近年は、サプライチェーンでセキュリティ対策が万全でない企業を踏み台に、大手製造業のシステムへの侵入を図るサプライチェーン攻撃が増加しており、中小企業におけるセキュリティ強化が不可欠となっています。
青嶋氏:
こちらに関しても、経済産業省がサプライチェーン強化に向けたセキュリティ対策評価制度の構築を進めています。能動的サイバー防御法は、政府主導の、ある意味強制的なものですが、サプライチェーン強化に関しては民間主導で、それを国が支援するというボトムアップ型の制度です。立ち位置は異なるのですが、この2つが合わさることで、日本のサイバーセキュリティ対策がよりよい方向に動くのではないかと期待しています。もちろん、これによって中小企業もある程度投資する必要があり、補助金も含めて国の支援は不可欠といえます。私たちも、企業のサイバーセキュリティ対策を支援するという立ち位置ですので、国の施策にも協力できればと考えています。
河野氏:
前提として、セキュリティ対策はすべての企業が最低減やらなければならないものなので、必要なコストと認識して、あとから後悔しないようにしっかりと対策を講じていただければと思います。予算も人材も限られているという中小企業においては、最初からセキュリティ機能が実装されているセキュリティ・バイ・デザインのITシステム・サービスを導入するのが効果的です。そのうえで、運用はフューチャーセキュアウェイブのような、外部セキュリティベンダーに任せるというアプローチが有効と考えています。ただし、評価制度に合わせて対策を講じれば、すべてのサイバー攻撃を防げるというわけではありません。その意味では、現在の状況は、そこからもう1歩進んでセキュリティ対策を見直す転機として捉えるのがよいかもしれません。
青嶋氏:
最近は“何を導入するのか”ではなく、導入したセキュリティソリューションを“どう運用するか”が主体になっていると感じています。これまでの評価制度は、どのセキュリティ製品・サービスを導入したかが重要となるものが多く、運用面で課題を感じている企業が多かった印象があります。
河野氏:
そうですね。ここ最近もランサムウェアの被害に遭った企業のニュースが出ていますが、バックアップをはじめ、対策に必要な製品は導入されていて、ただ運用がうまくできていなかったので被害が拡大したのだと思っています。その意味では、サプライチェーンの評価制度に関しても、どの製品を導入すれば星が取れるというのではなく、導入した製品をどう運用するかで星が獲得できるという方向に変わってくるのではないでしょうか。それに合わせて、セキュリティベンダーの立ち位置も変わってくると思います。
“人”や“志”を重視するフューチャーセキュアウェイブのDNAが、多くのセキュリティスペシャリストを生み出す
──ここまでサイバーセキュリティの最新トレンドについて伺いましたが、ここで改めて、皆様がご在籍されている(河野様はかつてご在籍されていた)フューチャーセキュアウェイブについてお聞かせください。インターネット黎明期から、セキュリティインシデント対応に携わってこられたとのことですが、これまでの歩みをご紹介いただけますでしょうか。
青嶋氏:
フューチャーセキュアウェイブでは、“日本の未来価値を高めるために安全安心なセキュリティライフサイクルを提供していく”というミッションを掲げています。単にセキュリティ製品を販売したり、システムを設計したりするだけではなく、運用からインシデント発生時の対応まで、セキュリティライフサイクル全体をカバーし、お客様に“安全だけでなく”“安心”も提供することを目指しています。当社は1985年創業で、すでに40年にわたってビジネスを展開しています。小規模な会社ながら、インターネット黎明期から経済産業省(当時は通産省)と当時の社長が連携して、“日本のセキュリティを良くしていこう”という取り組みに関わっており、単に数字を追うのではなく、安心安全な社会の実現に向けて動いてきました。その中心人物の1人が河野さんであり、現在ホワイトハッカーとしてさまざまな活動をされている寺島さんも含め、創業当時から今に至るまで“人”や“志”を重視している会社です。
河野氏:
私は1996年に、前身となるディアイティに入ったのですが、当時は社員が30名弱の小さな会社でした。まだセキュリティ製品・サービスはほとんどない時代で、ネットワークやBSDI UNIXといった分野を中心に事業を展開しており、私もプログラマーとして入社しました。UNIXに携わってきた方が多いこともあり、オープンソースなどドネーション文化が根付いており、当時から社会にITを浸透させるための活動を積極的に行っていました。これからはセキュリティということでIPsecルーターとFirewall製品を扱うことになったのですが、そこでもドネーション文化で、“自分たちが知ったことを世の中に公開したい”という思いのもと、月に2回程度セキュリティ勉強会を開催していました。現在各企業やデジタル庁などで活躍されているセキュリティのスペシャリストさんたちも参加されていましたね。
青嶋氏:
河野さんはセキュリティガバナンスコンサルタントとして、政府向けのセキュリティガイドラインの策定にも関わっています。こうした国との連携もあって、フューチャーセキュアウェイブは2000年に発足したNPO日本ネットワークセキュリティ協会(JNSA)の活動にも携わっています。
河野氏:
当時はサイバーセキュリティ黎明期だったこともあり、本当にさまざまな仕事に携わりました。先ほど話したUNIX文化、ドネーション文化が根付いていたため、ある意味牧歌的、開放的な雰囲気を持つ会社でしたね。もちろんセキュリティ製品の販売も行っていましたが、製品ありきというよりは、セキュリティ業界を広げていこうという思いが強かったように感じています。さまざまな会社の教育プログラムを作ったりもしていました。
青嶋氏:
メジャーを目指すよりは専門性を重視していくという方向性ですね。当時はセキュリティに関する技術とマネジメントを両立している会社は非常に少なく、中立的な立場で技術面、マネジメント面の両輪を支援できることは当社の強みとなっていました。
河野氏:
その後、JNSAの発足にも携わったヒューコムからセキュリティサービス事業の営業譲渡を受け、そこから青嶋さんや寺島さんをはじめ、さまざまな方と一緒に仕事をするようになりました。その時期にフォレンジックツールを独占して扱うことになり、検査員用の講座を作って多くの都道府県に採用されました。今振り返ると、これが会社としての大転機になったと思っています。
寺島氏:
私はJNSAが設立されたあとにヒューコムの技術チームに入り、セキュリティの教育プログラムを作ったり、セキュリティ診断を行ったりと、いろいろな仕事に関わらせていただきました。会社の枠を超えて、サイバーセキュリティに携わられているたくさんの人たちと交流できたことは、現在の活動につながっていると思います。
河野氏:
寺島さんがヒューコムに在籍されていたときに、お声がけして、大学の情報セキュリティ講座を作るという仕事を一緒にしたこともありましたね。国との連携でいうと、JASA(当時は前身のJAFA)の情報セキュリティ監査制度の策定にも携わっているほか、青嶋さんが話されたように、30以上のセキュリティガイドラインを作ってきました。
世の中を震撼させた数々のセキュリティインシデントに携わり、社会の安全・安心に貢献
──フューチャーセキュアウェイブは、2015年に起きた日本年金機構の不正アクセスによる個人情報流出事案をはじめ、数多くのセキュリティインシデントに対応してこられました。印象に残ったエピソードなどございましたらお聞かせください。
青嶋氏:
重要インフラ、重工業や政府系のセキュリティインシデントをはじめ、さまざまな事案に対応しています。日本年金機構もそうですが、APT攻撃についてその名前が国内で認知された2011年の複数の事案で相談受け、関わるなど国家的規模のインシデントにも数多く携わっています。フォレンジック関係についても非常に多くの企業から依頼がきていました。フォレンジックツールを扱っていたことに加え、セキュリティ全般に対応できる体制が整っていたため、幅広く臨機応変な対応が可能でした。そのため、依頼しやすい存在であったと感じています。
河野氏:
ちょうどその時期は内部不正の問題も表面化してきており、そうした面もセキュリティ対策やフォレンジックの案件が増加した要因になっています。
──日本を代表するホワイトハッカーである寺島様から見て、フューチャーセキュアウェイブの魅力はどこにあるとお考えでしょうか。
寺島氏:
以前から技術的な領域はすごく好きだったので、先ほど話したように、会社の枠を超えた活動をさせてもらったことは大変ありがたく思っています。世界各地のCTF(Capture The Flag:サイバーセキュリティの知識と技術を競う大会)に参加させていただき、その最高峰であるDEFCON(世界最大のセキュリティ国際会議)のCTFに3年連続で本戦出場を果たせました。
河野氏:
CTFは、セキュリティ業界の実業団スポーツのような側面があります。その参加を会社として支援してきたのは、“人”を重視するフューチャーセキュアウェイブのDNAがあればこそだと思います。寺島さんたちが交流してきた人たちとのつながりは、今でも会社にとって大きな財産になっているはずです。
寺島氏:
そうですね。私が実行委員を務めているSECCON(日本国内最大規模のCTF)にも、日本のセキュリティ技術の底上げと人材育成という目的に共感いただき、設立時から支援をいただいています。また情報セキュリティ国際カンファレンス「CODE BLUE」にもコアスタッフとして関わらせてもらっています。
青嶋氏:
こうした活動に賛同してきたことで、会社を超えたネットワークを構築することができ、何かセキュリティ対策やインシデントがあれば、さまざまな方と協力して解決できる体制を築けたと思っています。寺島さんは、技能五輪国際大会の日本代表にも選ばれましたよね。
寺島氏:
はい。2019年ロシアで開催された大会の「サイバーセキュリティ」職種のエキスパートとして参加させていただきました。
──フューチャーセキュアウェイブの前身であるディアイティに在籍し、現在は日本マイクロソフトのCSOを務める河野様にとって、ディアイティ時代の経験は現在の活動にどう活かされているのでしょうか。
河野氏:
ディアイティ在籍中は、日本のサイバーセキュリティの中心で活動させていただきました。そこで得た経験やセキュリティの最前線で活躍されている人たちとの交流は、日本マイクロソフトのCSOとしての活動に活かされていると思います。そもそもディアイティでの活動を評価いただき、セキュリティのエバンジェリスト、タレント的な役割で日本マイクロソフトに入ったという経緯がありますので、その意味では本当に感謝しています。
青嶋氏:
私も、河野さんと一緒に仕事をしていて、その影響力というか、“人”としてのカリスマ性を強く感じました。フューチャーセキュアウェイブには、河野さんのような自分からどんどん進んで開拓していく人たちが数多く在籍しており、そうした人たちと間近で接する機会があるのは会社としての魅力だと思います。小さな会社から日本マイクロソフトのCSOに就任する人が出るというのはすごいことですよね。
セキュリティに関わるあらゆる悩みに寄り添う伴走型サービスで、市場の変化に対応していく
──フューチャーセキュアウェイブの人材の魅力がよく伝わってきました。ここで改めて冒頭の話題に立ち返り、サイバーセキュリティの現状を踏まえ、今後に向けて企業はどうセキュリティ対策に向き合っていくべきかご意見をお聞かせください。
青嶋氏:
冒頭でも話しましたが、セキュリティライフサイクル全般を支援しているそのなかで、今後はやはり運用が重要になってくると感じています。セキュリティ・バイ・デザインの製品・サービスを導入するのがコスト的には有効ですが、入れたら終わりではなく、常時チェックして運用していかなければ時代の変化に対応できません。導入当時に非常に良いものだったとしても、セキュリティに求められるものは必ず変化していきますので、それを前提に動いていく必要があると思っています。
──フューチャーセキュアウェイブでは、お話しいただいたセキュリティ対策の実現を支援するソリューションの提供を開始されたと伺っています。
青嶋氏:
「SECUREWAVE Partner」というサービスで、製品やサービスを売るのではなく、お客様に寄り添い、絶えず発生する情報セキュリティに関する課題に対して、助言や対応、課題を解決できるサービスの提案など包括的な支援を提供していくものです。たとえばウイルス対策ソフトには引っかからなかったが、どう見ても怪しいという場合は、当社が判断して対応しますし、自社で策定したセキュリティガイドラインに自信ないという場合は、当社が評価・添削します。もっと言うと、セキュリティベンダーが製品の売り込みに来たという場合も、相談いただければお客様にあうかを第三者的な視点で評価いたします。経験豊富なセキュリティチームを有する当社ならではのサービスになっていると思います。
河野氏:
ディアイティ時代から、お客様先にセキュリティベンダーとして入るというより、お客様のセキュリティチームに入って、一緒にやっていくことが多かった気がしますね。そういったDNAをより前面に出したサービスということですね。
青嶋氏:
そうですね。実は以前より同じような支援は行っており、今回サービス名を付けて本格的に提供していく形となりました。ベンダーの立ち位置ではなく、顧客視点で適切な支援を行っていくので、セキュリティ対策の内製化を目指しておられるお客様にとっても非常に有効なサービスだと思っています。
──最後に、セキュリティ対策の強化に取り組みたい企業、及びセキュリティ業界で活躍したいと考えておられる方に向けてメッセージをお願いします。
河野氏:
フューチャーセキュアウェイブは、いろいろなチャレンジができる会社ですので、セキュリティ業界で活躍したいという方は、ぜひ入って経験を積んでいただければと思います。お客様の立場で活動できる人材が多い会社だと思いますし、実際、私もそういった環境で育ってきました。セキュリティ人材の確保や育成になやんでいる企業にとっては、非常に有用なパートナーになるのではないでしょうか。
寺島氏:
セキュリティって、昔は特別なものでしたが、今は誰もが普通に考えなければいけないものになりました。こうした時代の変化を踏まえて、当社も常に新しい技術、新たな制度に対応しながら、お客様に寄り添うサービスを提供していきたいと考えています。
青嶋氏:
当社が掲げるミッションにもあるように、セキュリティは“安全”だけでなく“安心”も考えて対策を講じていくことが重要と考えています。当社では、安全はもちろん、安心を提供できるサポート・サービスを提供しておりますので、セキュリティで何かしらの課題を抱えておられるのならば、ぜひ気軽にご相談いただければと思います。
[PR]提供:フューチャーセキュアウェイブ
SSDの放置でデータ消失の恐れ、不遇を回避する対策は
