辻 伸弘氏×国産ベンダー6社 座談会Made in Japanの安心感と
サイバーセキュリティの今

年々増加するサイバーセキュリティ上の脅威に対し、情報システム部門の皆さんは、日々対策に奔走されているのではないでしょうか。その際、採用する製品・サービスがどこで開発されたものなのか気にしていますか？ 実は、データの取り扱いやサポート、法規制の違いなど、留意しておくべきポイントがいくつかあります。そこで、国産ベンダー6社が「日本製」を採用するメリットや、優先的に取り組んでいただきたいセキュリティ対策についてご紹介します。
モデレーターは、SBテクノロジー株式会社の辻 伸弘 氏にお願いしました。

守る対象を明確にしなければ
セキュリティ対策はうまくいかない

やはり外せないランサムウェア対策

辻 氏
人もコストも有限な状況で、どこまでサイバーセキュリティ対策をやるべきかについて、議論になることがよくあります。企業・組織の多くが最低限必要だと考えているのは、できるだけコストを抑えつつ、同業他社とは同程度になる対策です。セキュリティベンダーの立場ではどのようにお考えですか？

フューチャー 神戸 氏
まずは、自社にとって何がリスクかを判断するべきです。そのためには、システムやサービスなど必要な環境を整え、高リスクだと判断したところから優先的に対応すべきだと思います。

辻 氏
流れ作業のように、出てきたものから順番に対処していくのではなく、組織の中で評価軸を持って判断しなければならない。そこがスタートラインということですね。

FFRIセキュリティ 中村 氏
私が思うのは、やはりランサムウェアへの対策です。IPA（独立行政法人 情報処理推進機構）が公開している「情報セキュリティ10大脅威」でも10年連続10回目のランクインを果たしました。公開されているセキュリティ事故報告書を見ると、VPN（Virtual Private Network）のパスワードが初期値のままだったという事例を数多く見かけますが、大半は脆弱性管理ができていれば防げた可能性が高かったと思われます。そのほかにも不要なサービスを無効化する、アクセス権を最小限にするなど、コストをかけずにできる対策は今すぐやっておくことが大事です。特に管理者アカウントの運用については、大至急最優先で見直して、適切な運用につなげてください。一般のユーザーアカウントも多要素認証を取り入れることは必須といえます。そこにもう一つ加えるなら、やはりマルウェア対策ソフトウェアです。EDR（Endpoint Detection and Response）やNGAV（Next Generation Anti-Virus）の導入までは踏み込めていない組織でも、アンチウイルスソフトウェアは入っていると思いますが、最低限、全端末が常に最新バージョンで運用できるよう厳格な管理をお願いします。ただ、昨今のサイバー攻撃は、アンチウイルスソフトウェアだけでは防御が難しく、未知のマルウェアの検知が可能なふるまい検知ベースのサービスもご利用いただきたいですね。

辻 氏
以前からしっかりやりましょうといわれていたことができているか、あらためて見直して、対応に抜け漏れがないかをチェックしてくださいということですね。

網屋 別府 氏
私がまずやるべきと思うのは、何を守るのかを明確にしておくことです。例えば、あるサーバーが1日止まるごとに売り上げが1億円減るとわかっていれば、そのサーバーは優先的に守るべき対象だとわかります。よくセキュリティ対策は何をしたらいいのかと聞かれますが、その際にお伝えするのは、攻撃されるポイントがどこなのかを明確にしておくASM（Attack Surface Management）の重要性です。そして、侵入を防ぐための脆弱性管理や多要素認証、インターネットフィルタリングを入れること。さらに、侵入されても被害を拡大させないためのマイクロセグメンテーションやEDR、NGAV、どのような経緯で侵入して何をされたのかを把握するためのログも重要です。

Ｓｋｙ 小池
私も自社のIT資産を見える化するという基本的なことが、セキュリティ対策の根幹だと思っています。相変わらず、シャドーITが狙われて被害に遭う組織が後を絶ちません。見える化できればVPNやHUB、ルーターなどのネットワーク機器がどこにどれだけ存在するのか明白になり、ファームウェアのバージョンアップ漏れも防げます。

主体的な管理を諦めてはいけない

Blue Planet-works 鴫原 氏
私は「主体的な管理」だと思います。中堅・中小規模の組織では、ベンダーに管理を丸投げした状態で、主体的な管理を諦めていらっしゃることが多いのではないかと。セキュリティ対策ツールやサービスは万能ではありません。ベンダーに丸投げするのではなく、組織の内部で落としどころや現実的な妥協点を見つけて目標レベルを定めることが重要です。しかし、それすらも諦めてしまわれている組織が多いことを危惧しています。セキュリティ対策を担うのが、売り上げに直接貢献する部門ではないことが理由だと思いますが、そういった企業・組織では、往々にして経営層がサイバーセキュリティには無関心です。

辻 氏
諦めるというのは、何もしないということですか？

Blue Planet-works 鴫原 氏
やられたら仕方ない。感染したらPCは買い直せば良いと考えられている企業・組織もあります。当社の「AppGuard」を導入いただいたお客様から、設定は当社にすべてまかせると言われることがあるのですが、私どもはお客様のITインフラや業務のすべてを把握しているわけではありませんから、その期待に応えることはできません。「AppGuard」の役割は、ハードニング製品として規定された命令に対する逸脱を許さなくすること。制御内容や例外設定など、ポリシーの強度を決めることができるのは、組織を把握しているお客様自身です。これをベンダーに丸投げしてしまえば、本来守るべきものが守られていなくても気づくことができません。

辻 氏
そもそも決めたくないと思っている企業・組織もありそうですね。

Blue Planet-works 鴫原 氏
責任を取りたくないから決めたくないというのはあるかもしれません。よく「お勧めの設定でお願いします」と言われますが、「AppGuard」のように制御を主体とする製品では、A社の設定をそのままB社に適用しても、同じ攻撃に対してA社はガードできても、B社では被害が発生するということが当たり前に起こります。私どもはあくまでもツールを提供するメーカーです。目的を達成するために、ツールをどう活用したら良いのかをアドバイスすることはできますが、お客様に基本方針がなければそれすらできません。自分たちの組織がどんな情報を持っていて、どこの組織とつき合いがあるのか、ランサムウェアの被害に遭えば、どこまで迷惑をかけるのか、覚悟を持って管理することを諦めないでください。諦めたらそこで試合終了です。

辻 氏
「今日の晩ご飯何にする？」「何でもいい」という会話と同じで、ベンダーには提供できるものがいくつもあるのに、決める人が決断できないということですね。しかし、サイバー攻撃は自分たちがゲームを諦めても、攻撃者はやめさせてくれません。次から次に要求され、どんどん被害が大きくなっていきます。

経営層に「セキュリティ＝技術」と認識させてはいけない

辻 氏
危機意識を感じていらっしゃる情報システム部門の方の中には、経営層が無関心で予算が下りず、交渉に疲れて諦めてしまった経験をお持ちの方も多いのではないでしょうか。私もセキュリティの世界には技術職から入っていますので、同じ気持ちになった経験があります。でも、あるとき経営層に必要性を理解させることができないのは、自分のプレゼンテーション力が低いのではないかと考えるようになりました。経営層に理解してもらえるプレゼンテーション力も情報システム部門の方に必要な技術です。もちろん、何を言っても話を聞き入れてくれない方を見て、きっと攻撃者にやられないと変わってくれないんだろうなと思ったこともあります。

Blue Planet-works 鴫原 氏
そのとおりですね。一番のポイントは、セキュリティを技術の問題として扱ってはいけないということだと思います。確かに技術の分野ですが、経営層の皆さんに技術の話をすると、頭の中は「セキュリティ対策の強化にはツールを増やす必要がある＝コストがかかる」と理解され、お金がかかることとしか伝わりません。情報システム部門の方に理解していただきたいのは、経営層の皆さんが関心を持つのは、技術的な詳細ではないということです。だからこそ、セキュリティ対策が守るためのコストではなく、中長期的に見て組織文化を変革し、自社の競争優位性を高めるための戦略的な行動であることを理解してもらう必要があります。そのためには、経営層の視点に立ち、彼らの意識を変えるような説得力のあるプレゼンテーションを心掛けることが重要です。

辻 氏
現在はVUCAの時代といわれます。Volatility（変動性）、Uncertainty（不確実性）、Complexity（複雑性）、Ambiguity（曖昧性）の頭文字をとったVUCAには、新しいアイデアを生み出す企画力と、そのアイデアを相手に伝えるプレゼンテーション力が求められています。元は軍事用語で、予測が困難な状況を生き抜くために、立場の違う人間が一堂に会して相互理解を深め、オペレーションを進めていくためのものだと理解しています。技術寄りの立場の人間からすると、もう少し経営層が何を考えているのか、大事にしている言葉は何なのかを意識するべきだということですね。

Blue Planet-works 鴫原 氏
経営層にネットワーク図や論理構成図を見せても、技術寄りの人でなければ理解できませんよね。経営層の思考に思いをはせたり、細かいところに気が回るプレゼンテーションを経験するかしないか、これが大きな差になると思います。大事なのはプレゼンテーションをする相手に寄り添うことです。技術が好きな人ほど、どうしても自分の都合でアウトプットを増やしすぎる傾向にあります。ドラマなどでオタク系の方をわかりやすく表現するとき、推しのアニメについて非常に冗舌にしゃべらせます。自分と同じようにファンになってほしい心情がよく表れていますが、それを見た私たちはどうでしょう？ 「一歩引いて落ち着いて話さないとダメだよ」と思いますよね。それと一緒です。

辻 氏
確かに、その辺を意識することも大事だと思います。

Ｓｋｙ 小池
産業界のセキュリティ強化には、サプライチェーン対策が急務といわれますが、大手の自動車メーカーはすでに傘下の企業へ対策の指標を示されています。よくいわれるセキュリティへの投資に対する経営層の意識の低さも問題視され、最近ではサプライチェーン企業の経営層の意識改革に重点を置かれるようになりました。セキュリティ対策がコストではなく投資だということを強調して伝えられた成果がこのところ少しずつ表れてきて、サプライチェーン企業のセキュリティ遵守事項に関係したご相談が増えています。あらためてセキュリティ対策の強化には、経営層の意識改革が重要だと痛感しました。

対策を怠ったらどうなるか経営者が気になる結果で説得

デジタルアーツ 萩野谷 氏
個人的には、セキュリティ対策は保険的な位置づけだと考えています。同じように考える人の中には、これまで何も起こっていないから、これからも起こらない。だから対策は必要ないと思う人が一定数いるのは仕方ないのかもしれません。しかし、だからといってその状況を放置していいわけではありませんから、自分たちでコントロールするのが難しいところから優先的に対応すべきだと思います。

辻 氏
セキュリティ業界に身を置いている私ですが、ある特定の保険には入らないタイプです。家電購入時、家電量販店の延長保証サービスの契約を勧められても入りません。皆さんはどうですか？

Ｓｋｙ 小池
その家電の価格の1割くらいなら入ることにしています。

FFRIセキュリティ 中村 氏
私は、自分一人で運べるかで判断しますね。一人で動かせない大型家電、冷蔵庫や洗濯機は買い換えが大変なので契約しますが、電子レンジは契約しません。私なら一人でギリギリ運べますから。

デジタルアーツ 萩野谷 氏
故障しても自分で直せる気がしたら入りません。無理だと思ったら素直に契約します。

Blue Planet-works 鴫原 氏
今どき5年くらいでは壊れないでしょって思っていますから入らないですね。

辻 氏
先日、家電量販店の店員さんに聞いたのですが、最近のノートPCは液晶の品質が向上しているのに昔よりも壊れやすくなっているらしいですよ。それでも入りませんか？

フューチャー 神戸 氏
壊れたら買い換える。最新機能を使いたいですから。

辻 氏
確かに液晶の修理は高額ですから、買い換えた方が安く済むかもしれませんよね。そのあたりに判断する感覚のヒントがあるのかもしれません。何を守るためなら投資するのかとか。セキュリティの場合も、わかりやすい判断基準があれば対応しやすいかもしれませんね。本来の役割がログの取得や怪しい動きを検知したら止めることでも、影響範囲がひと目でわかるなど、経営層が気になる情報を提供できれば理解を得やすい気がします。どうしても「こういう攻撃が増えている。それに必要な対策はこれです」と技術寄りの話で説得を試みると思いますが、それよりも「こういう対策をしないと、こんな被害に遭う」もっと言うと「あなたはその責任を負わされますがいいですか」という結果で説明した方が理解を得やすいはずです。

実はとても重要な『指導する側』への訓練

Ｓｋｙ 小池
一番脆弱なのは人間ですから、従業員へのセキュリティ教育も重要です。ツールの導入だけでなく人への対策、セキュリティ意識の底上げにも力を入れていただきたいと思います。

辻 氏
学校での教育と同様に、従業員へのセキュリティ教育は絶対にやるべき最低限必要な対策の一つです。その一方で、限界も感じています。よく人に当てるパッチはないといわれますし、私もそのように思っています。人に起因するセキュリティ事故が発生するのは、思い込みや疲れから、集中力や注意力がなくなったときが大半です。これまでのセキュリティ教育の大半が、水際で防ぐことを目的としているため、防げなかったときの対策には重点が置かれてきませんでした。例えば攻撃メール訓練です。もちろん開かない、記載されたURLにアクセスしないに越したことはありません。しかし、多くの従業員の本業は、おかしなメールかどうかを判断することではありませんから、「開いてしまったら次にどうするのか」、ここの慣れを養う必要があると感じています。火災訓練って、火事が起こったときの避難方法や消火器の使い方を学ぶ訓練で、火事を起こさないためではありませんよね。火事の発生後を想定した訓練です。同様にサイバー攻撃の訓練も、起こってしまった後にどこへ連絡するのか、アンチウイルスソフトウェアのフルスキャンが必要なのか、さらに無線LANの切断方法など、いざというとき素早く適切な対応がとれるよう訓練すべきだと思います。少なくとも、マニュアルや連絡先を確認するいい機会になるはずです。

Ｓｋｙ 小池
そこは盲点でした。

辻 氏
教育についてもっと意識していただきたいのは、『指導する側』への訓練です。これも火災訓練と同様で、一酸化炭素中毒を防ぐために姿勢を低くする、口にハンカチを当てるなどの行動は、すべて誘導される側の訓練ですよね。誘導する側の訓練をやっている組織は珍しいのではないでしょうか。サイバー攻撃訓練では、従業員から報告が挙がってきたらどう対応するべきか、報告しやすい空気を醸成するために邪険に扱わないための関係性の構築も必要です。おかしなメールが届いたと報告を受けた際には、ほかにも届いていないか従業員から情報を収集するための周知も必要ですが、その訓練をしている組織はほぼないと思います。その結果「こんなメールが届いているから気をつけてください」とメールで周知して、それを見た従業員がそこに書かれたURLをクリックしてしまうなんてことが起こる可能性も。従業員に指導する側の人、セキュリティ担当者が有事の際にやるべきことの訓練の重要性に、もう少しフォーカスが当たってもいいような気がします。

為替による価格変動や買収は
海外製品購入時に想定すべきリスク

ユーザーにとって開発拠点が国内にあるメリットは？

辻 氏
今回集まっていただいた各社の共通点は、日本で開発・販売されている国産ベンダーだということです。皆さんが考える、日本製のメリットを紹介してください。

網屋 別府 氏
一般論としてよく語られるのが、安全保障上のリスクです。外部からリモートで入られてしまえば、エージェントをインストールするタイプの製品には何でもできてしまいます。PowerShellを起動してプログラムの構成を変えることも簡単です。海外製品の場合、為替など価格の変動につながる経済安全保障上のリスクも考慮しなければなりません。また、近年は製品間連携でより高い導入効果が得られることや、管理の効率化を求められるお客様が増えています。PCやネットワークの稼働状況が記録されるログは、さまざまな用途での活用が可能です。そのため当社の「ALog」も複数の他社製品と連携していますが、国内に開発部門がある国産メーカーの方が、調査が必要になった際のメーカー同士のやりとりもシームレスに行えるため、お客様にとってもメリットがあるように思います。

デジタルアーツ 萩野谷 氏
確かに為替の影響は大きいですね。当社の「m-FILTER」が連携している海外の製品がありますが、価格が次々と上昇するため予算取り後に価格が跳ね上がってしまい、購入できないお客様が増えています。

Blue Planet-works 鴫原 氏
2024年に発表された仮想化ソフトウェアメーカーの事例など、外資系企業の買収リスクが気になっている方が増えているように思います。

辻 氏
日本企業もゼロではありませんが、これまでを振り返ってみてもリスクは格段に違うということですね。

Blue Planet-works 鴫原 氏
外資系の場合、買収した側の方針に従って、パートナープログラムや価格の見直し、デリバリーのやり方まですべて変わってしまいます。価格が何倍何十倍にも跳ね上がるケースもざらです。少なくとも私は、日本企業での類似の事例を見たことがありません。そういう意味では、M＆A（Mergers and Acquisitions）で企業規模を大きくしていく外資系とはビジネスのやり方が違うことも、国産製品を採用する安心感の一つだと思います。

辻 氏
過去の事例から、買収がユーザーにメリットをもたらすイメージが持てません。買収した企業をうまく扱えていない、その会社が持っていた製品が消滅してしまう確率が高い印象を持っています。買収した方された方、どちらが強いかというパワーバランスはケース・バイ・ケースかもしれませんが、日本企業の場合は、仮に買収されても製品が消滅してしまうような事態は起きにくいというのが、メリットとしてあるということですよね。

私が思う日本製のメリットは、言語が日本語だということです。UIはもちろんサポートも日本語で受けられますから。

Ｓｋｙ 小池
メールやWebフォームからのお問い合わせに対応するのはもちろんですが、特に緊急のお問い合わせの場合は温度感を含めて電話で直接伝えたいと思われるお客様が多いと感じています。トラブルが発生しているような場合はお客様の温度感は高く、適切な指示や回答をするだけでなく、切迫している状況をくみ取った親身な対応が欠かせません。当社のサポートに対し「焦っているときに、適切に対応してくれたことはもちろん、同じ温度感でいてくれたことに感謝している」と言ってくださったお客様の言葉が強く印象に残っています。

辻 氏
確かに、どれくらい困っているのかのトーンは、同じ言語が話せる人の方が伝わりやすいですよね。海外製品の場合、最初に日本の代理店が受けて海外のメーカーに伝えるという伝言ゲームが発生するので、どうしても情報の欠損というかトーンの欠損が発生するデメリットはあるような気がします。

FFRIセキュリティ 中村 氏
「親身」というキーワードを聞いて思い出したのですが、いよいよどうにもならなくなったら、現場へ出向いての対応が可能ということも日本のお客様が国産製品を採用するメリットではないでしょうか。本来はそうなる前にSIerさん協力の下、未然に解決できるに越したことはありませんが、起きてしまったことに対して誠実に対応しようと努力するのが国産ベンダーの特長だと感じています。

Blue Planet-works 鴫原 氏
日本企業は、自分たちに非があった際に謝ることができます。一方、海外のメーカーの多くは、自分たちに非があっても謝ってくれないという経験を何度もしてきました。メールでも「sorry」を絶対に使いません。一言ごめんなさいと言えば相手の温度感を若干でも下げられるのに、死んでも言わない覚悟を感じます。「私たちは今、頑張って問題に取り組んでいる」みたいなメッセージが送られてきますが、一秒でも早く解決したいと焦っているときに、意気込みなんて聞かされたくないんですよね。

デジタルアーツ 萩野谷 氏
アメリカのEDRメーカーが、2024年に起こした史上最大規模の障害に対して、謝罪を意味する「apologize」を使っていたのは、海外の企業にしては珍しくビックリしました。

辻 氏
確かに珍しいですね。自分たちが頑張っていることをアピールした後に、日本語の敬具のような「Best Regards」をつけてくるのがお決まりのパターンですから。

Blue Planet-works 鴫原 氏
日本人は、謝る、謝られるのに慣れている国民性です。最初におわびの言葉があれば、そっちの言い分も聞いてあげようって思いますよね。

辻 氏
そうですね。ありがとうの思いを込めて「すみません」を使うこともありますね。

フューチャー 神戸 氏
国産ベンダーは、営業やサポート担当者と開発者との距離が近く、問題の特定からデバッグを経て解決するまでがスピーディーな点も、お客様にとってのメリットになると思います。これは、製品購入前のお客様からカスタマイズ要望を受け、実際にリリースするまでのスピードでも海外製との差別化を出せるポイントです。

日本の各種ガイドラインに準拠している安心感

辻 氏
日本には、セキュリティに関連した独自のガイドラインがいくつかあります。それらに適合している項目は、海外製品よりも国産製品の方が多いのでしょうか？

デジタルアーツ 萩野谷 氏
そうですね。当社はもちろん、国産ベンダーの大半が公的機関や業界団体が発行している各種ガイドラインを意識していると思います。現在当社が注力しているのは、政府情報システムのためのセキュリティ評価制度（ISMAP：Information system Security Management and Assessment Program）への登録です。ISMAPは、政府が求めるセキュリティ基準を満たしているクラウドサービスをあらかじめ評価・登録し、政府のクラウドサービス調達を円滑に行うことを目的としています。今後、一般の企業・組織、特に自治体ではクラウドサービスの調達にISMAPへの登録の有無が条件になっていくと予想されますから、多くのITベンダーが登録を目指しているはずです。

Ｓｋｙ 小池
すべての機能をガイドラインに沿って開発しているわけではなく、結果的に対応していたパターンもあります。日頃の営業活動やサポート対応等でお客様からご要望を伺う機会が多く、社員はそれを専用のシステムに登録します。その中から、会議等を経て実際に新機能として搭載したり、機能改善を行っていくわけです。お客様のお困り事に対応した結果、一般社団法人日本自動車工業会のサイバーセキュリティガイドラインにも対応していたというパターンもありました。

辻 氏
手厚く対応した結果、価格面で海外製品に負けてしまうケースもあるような気がしますがいかがですか？

Ｓｋｙ 小池
2025年3月現在の為替レートは円安ですから、海外の製品が高額になるケースが増えています。また、その影響でランニングコストを下げるためにクラウドサービスからオンプレミスに回帰されるお客様も多くなってきました。

フューチャー 神戸 氏
為替の話とは別ですが、海外製のとある脆弱性管理ツールよりも、高いと言われたことがあります。

辻 氏
価格差の理由は何だとお考えですか？

フューチャー 神戸 氏
グローバル展開で大量販売できる製品は、スケールメリットを生かして価格を抑えられるからだと思います。一方、当社が重視しているのは、日本市場に最適化した機能と手厚いサポートを含めた総合価値です。

辻 氏
たくさん売れているから、単価を下げられるということですね。グローバル企業と比較すると、市場規模の違いからどうしてもシェアがネックになってしまいます。でも、対決して勝つこともあると思いますが、勝因は何ですか？

フューチャー 神戸 氏
日本語 UI と直感的な導線、さらにリスク評価の自動化などが評価されています。わかりやすい設計は、そのまま運用のしやすさに結びつきます。

辻 氏
確かに、使いやすさは人によって値段にも勝る価値があるでしょうね。価格が安くても、使えなかったら価値はありませんから。

ゼロにはできない脆弱性への
国産ベンダーの取り組みとは？

製品を入手させないためのベンダーと攻撃者の攻防

辻 氏
国産ベンダーの皆さんの製品は、日本の組織に導入されている割合が高く、攻撃者に狙われる確率も上がりますよね。例えば、私がウォッチしている「CL0P」というランサムギャングは、エッジデバイスのゼロデイを積極的に狙ってものすごい数の攻撃を仕掛けています。さまざまな調査結果等を見聞きすると、これはもう攻撃者が製品を購入するなどして研究しているか自由に扱える環境にあるに違いないと思うケースも散見されます。実際に、怪しい会社から購入の問い合わせが入ったことはありますか？

Blue Planet-works 鴫原 氏
某国のフロント企業とおぼしき企業から申し込みを受けたことがあり、リジェクトしました。

辻 氏
それはどうやって調べるんですか？

Blue Planet-works 鴫原 氏
まずは実在の企業かどうかの調査です。ペーパーカンパニーと疑われるケースは結構あります。

辻 氏
間に実在の企業を挟まれたら、だまされてしまいますよね。

Blue Planet-works 鴫原 氏
YouTubeに「AppGuard」の抜け道みたいな動画を公開している人がいるのですが、正しい製品知識を持たずに検証動画を上げていました。そのような動画を公開されること自体が信頼の低下につながります。すぐにやめてほしくても、どこの誰なのかわからず対応に苦慮しています。

脆弱性への対策は早急にパッチを適用すること

辻 氏
攻撃者に脆弱性を狙われないために、どのような取り組みを行われていますか？

Ｓｋｙ 小池
当社では、脆弱性を診断する複数の企業と契約しているほか、脆弱性を見つけて当社に報告してくれた方に報奨金をお支払いする「脆弱性報奨金制度」も立ち上げました。

フューチャー 神戸 氏
当社も脆弱性診断を契約していますし、ソフトウェアのマージからリリースまでを自動化したCI/CDのなかで、静的解析のツールを組み合わせています。

辻 氏
最近はゼロデイ攻撃が増えていますし、修正パッチがリリースされてから悪用されるまでのスパンが短くなっています。修正パッチの提供が間に合わないため、以前のように「修正パッチを公開しましたので、適用してください」とアナウンスしても、その段階ですでに攻撃を受けているかもしれません。そういった状況を踏まえ、脆弱性のアナウンスで気をつけられていること、強化への取り組みについて伺えますか？

Ｓｋｙ 小池
今から9年前になりますが、2016年の年末にSKYSEA Client Viewの脆弱性を悪用して、組織外のサーバーから不正なパケットを受信する事例が確認されました。その際に実施したのが、すべてのお客様への電話連絡です。当時11,000件以上のお客様にご利用いただいていましたが、1件1件直接事情を説明し、一刻も早いバージョンアップをお願いしました。さらに、メールや郵便でのご連絡も実施するとともに、適用の完了確認も実施。しかし、ユーザー情報に登録されている連絡先が購買を担当している部署の方だったり、購入時の担当者が退職されて現在の担当者が不明など、情報システムご担当者と連絡が取れないケースが散見されました。そこで、登録情報の更新のお願いとともに、緊急時につながる連絡先の登録を依頼することにしました。脆弱性の発生は、残念ながらゼロにはできません。現在は、緊急の対応が必要な脆弱性が発生した際には、IPAで決められたルールに沿って対応できる体制を整えるとともに、SKYSEA Client Viewの管理機上に緊急メッセージでお知らせできる機能を実装しています。

辻 氏
ユーザーへ情報を届ける、リーチのしやすさに取り組んだということですね。

サイバーセキュリティの重要キーワード
「主体的な管理」と「正しく怖がる」

日本のセキュリティ向上に国産ベンダーで協力し貢献したい

辻 氏
さて、あっという間に終了時刻になりました。最後に一言ずつ読者の方へメッセージをお願いします。

網屋 別府 氏
セキュリティ対策は攻撃を「止める」ことに注目され、ログは後回しにされがちです。しかし、ログがなければセキュリティ事故の発生原因を究明したり、被害範囲を特定することが難しくなります。ログを活用した調査で個人情報が漏洩した恐れがないと判断できれば、通常の企業活動を取り戻すまでの時間が短縮できますし、本人確認や不正アクセスを防止するためにユーザーの行動を確認して検知することにも活用できます。ぜひ、ログを活用したセキュリティ対策の優先順位を上げることをご検討ください。

FFRIセキュリティ 中村 氏
ITを活用したソリューションにはさまざまな製品がありますが、セキュリティに限定すると「国産」が非常に少ない状況です。この記事をご覧になっている皆さんも、複数の海外製品を利用されているのではないでしょうか。しかし、日本で発生した脅威にもかかわらず、情報はすべて海外に蓄積されていくということに複雑な思いを抱かずにはいられません。日本国内に情報が蓄積され、企業・組織に還元されていく仕組みを作っていく必要があると感じていますし、当社がそこに貢献できれば幸いです。

デジタルアーツ 萩野谷 氏
インターネットとメール、ファイルのやりとりをビジネスから切り離すことはできません。それらの運用を阻害しないソリューションを選び、安全に事業を回していただけたらと願っています。国産ベンダーである私どもが取り組むのは、お客様の声を積極的に取り入れた製品作りです。対策の見直しを検討される際、当社の製品も候補に挙がればうれしく思います。

フューチャー 神戸 氏
企業・組織にとって、セキュリティ対策をやることが本業ではありません。最も注力すべきはメインビジネスですから、頑張らなくても実現できるセキュリティ対策が理想です。取り組みが進まない脆弱性対策も、SSVC（Stakeholder-Specific Vulnerability Categorization）のようなフレームワークを活用したツールを利用するなど、自分たちの手を動かす工程を減らすやり方を検討いただけたらと思います。システムやサービスを利用して、自動化できるところは徹底的に自動化してください。

Blue Planet-works 鴫原 氏
何事においても難しいと感じるのは、「基本」を押さえることです。実は、できていないことの方が多いと感じます。それはセキュリティ対策も同じで、関係機関から発行されるガイドラインやセキュリティ事故調査報告書に書かれている「基本的な対策」ができている、意識している企業・組織はそれほど多くないのではないでしょうか。われわれベンダーの立場からすると、セキュリティ対策の啓発は、自社製品を活用した方法を発信したくなりますが、OS自体の基本的な設定を変更するだけで対策を強化できる場合もあります。これからは、国産ベンダーが協力して日本全体のセキュリティ強化に貢献していければと思います。

Ｓｋｙ 小池
残念ながら今後もサイバー攻撃は増加し、悪質さもエスカレートしていくことは間違いありません。しかし、公表されている被害事例から失敗原因を学んでいれば被害を免れたケースが多かったのも事実です。セキュリティ対策を強化される際には、過去の事例から学ぶことの重要性に着目していただけたらと思います。

辻 氏
本日の皆さんの発言で共通していたのは、「管理」の重要性です。私も10年以上セミナー等で言い続けてきました。もう一つ大事なキーワードだと感じているのが「どこにある何を守りたいのか」を明確にして、自分たちと脅威を知ることで「正しく怖がる」ということです。今回、守りたいものを明確にする必要性についても語っていただきました。実際にはその前のステップ、自分たちが保有している資産がどのような状態・設定で存在しているのか、ルールや経緯も含めて把握することも大事です。その際、今回の記事の内容も参考にして、国産のセキュリティ製品を導入するメリットについても検討していただけたらと思います。

（「SKYSEA NEWS vol.102」 2025年5月掲載 / 2025年3月取材）