本題に入る前に、お二人がサイバーセキュリティの道に進まれることになったきっかけについてお聞かせください。

上原氏：学生時代から、ボランティアで京都大学のシステム管理をやっていましたが、実は、セキュリティが好きで始めたわけではないんです。卒業後、講師をしていた和歌山大学でもシステム管理を任されていたのですが、このとき大学のホームページが書き換えられる被害に遭っています。この経験が私にとってセキュリティ対策を自分自身の問題に変えました。それをきっかけに被害を防ぐためにはどうしたらいいかを考えるようになったことが、結果的に研究テーマになっていったという感じです。

確か、鵜飼さんも学生時代にハッキングの被害に遭われていますよね？

鵜飼氏：私が通っていた大学のワークステーションがハッキングされ、そこを踏み台にして別の大学が攻撃を受け、苦情を受けるという経験をしました。この一件で、ハッキング技術に興味を持ったことが今につながっています。

お二人には、攻撃の被害を受けたことがセキュリティの世界で活躍されるきっかけだったという共通点があるんですね。でも、鵜飼さんは大学卒業後、セキュリティとは違う分野に進まれていますよね？

鵜飼氏：最初からセキュリティの研究開発をしたかったのですが、2000年ごろの日本には研究開発を行うセキュリティベンダーがほとんどなかったため、カメラメーカーの研究開発センターでデジカメの研究開発職に就きました。でも、どうしてもセキュリティを研究したいという思いを捨て切れず、渡米してアメリカのセキュリティベンダーに転職しました。

今も日本発のセキュリティベンダーはあまり増えていないように感じますが、日本では起業が難しい要因があるのでしょうか。

上原氏：1988年に日本で初めてコンピューターウイルスが報告された後、日本でもアンチウイルスのソフトウェアメーカーが誕生しましたが、数年後には外資系の大手セキュリティベンダーに買収されてしまいました。アンチウイルスの場合、最初のうちはマルウェアの検体を集めるだけでも大変ですし、集めた情報を迅速に分析してパターンファイルを作って配るにはノウハウが必要なので、大手のセキュリティベンダーの方が圧倒的に有利です。パターンファイルを提供するスピード勝負になってくると、後発のセキュリティベンダーではシェアを広げることが難しいため、当時の三大アンチウイルスベンダーと戦おうとする企業が日本にはいなくなってしまったのではないかという気がします。その後もしばらく、日本から純粋なマルウェア対策ベンダーは出てこなかったように記憶しています。

鵜飼氏：日本でセキュリティ事業を展開するのは、いろいろな意味で難しいと感じています。VC（Venture Capital）発祥の地であるアメリカでは、VCの役割は出資だけでなく、起業時に発生するさまざまな内容をフォローしてくれるなど、エンジニアが起業後に会社を大きくするためのインフラがそろっています。一方、インフラが整っていない日本で技術のことしかわからないエンジニアが起業すると、あっという間に会社がつぶれてしまっているパターンが多いように思います。

上原氏：EUにも、それぞれの国にマルウェア対策に特化したベンダーがありますし、アジアでも韓国や中国にはありますよね。

鵜飼氏：EUでは起業してから会社を大きくしていくシステムが成熟していますが、日本には同様の仕組みがありません。日本のIT業界には、SIerさんに頼らなければ事業を成立しづらい独特の文化がありますが、これも日本で起業したIT企業が規模を大きくするのが難しい要因なのかもしれないです。

そんな状況の日本に帰国してセキュリティベンダーを立ち上げられたのはなぜですか？

鵜飼氏：アメリカから日本発のセキュリティベンダーが増えない状況を見ていて、日本のサイバーセキュリティ対策はこのままで本当に大丈夫なのかと心配していました。当時の日本では、サイバーセキュリティ対策は技術をアメリカから輸入すればいいと言っている人が多かったのですが、エンジニアの立場からするとそれではダメだろうと。そして、誰もやらないなら自分がやってみるしかないという思いから帰国して事業を立ち上げました。振り返ってみると、起業してしばらくの間はいつつぶれてもおかしくない厳しい状況が続きましたので、よく続けて来られたなと思います。

上原氏：個人的に不思議に思っているのは、日本では多くの方が大企業や有名企業の製品・サービスでなければ安心できない保守的なマインドを持っていることです。また、古くからの舶来思考も影響しているのか、シリコンバレーで話題になっているベンチャー企業の製品であれば採用する傾向もあります。しかし、製品やサービスは、知名度ではなく中身をしっかり確認して選んでいただくことが大事です。海外のサーバーに置かれたユーザーの個人情報を、業務委託先の中国企業の社員が閲覧できる状態になっていたことが報道され、「やはり国産でなければダメだ」「データは国内に置くべきだ」と考える人が増えていますが、安全性を考えると、それも重要なポイントかもしれません。

鵜飼氏：SIerさんの中にも、日本のセキュリティベンダーが立ち上がることに期待されている方がいらっしゃいますね。

上原氏：日本のセキュリティベンダーの中で、ＦＦＲＩセキュリティさんやＳｋｙさんのように、製品やサービスを内製主義で開発・提供されているのは珍しいですよね。ここについてはもっとアピールされたらいいと思います。

ありがとうございます。お客様に安心していただけるよう、これからも日本国内で弊社の社員が開発し提供していきます。

2020年は、日本のIT化の遅れが露呈した年でもありましたが、遅れていた原因は何だと思いますか？

上原氏：やはり、ITに関して保守的な人が多いことだと思います。IT系以外の間接部門の方の中には、Windows 7が10になっただけで大騒ぎされるなど、ソフトウェアのバージョンアップすら嫌がる方もいらっしゃるくらいなので。

鵜飼氏：本来、全体のコストを考えて率先して効率化しなければならないのが間接部門ですが、日本では雇用の流動性が低いため、ITを活用して効率化できない人がそのまま残ってしまう問題があります。アメリカのように雇用の流動性が高い国では、変化に対応できなければできる人と入れ替えられてしまうので、変化に対応することに敏感です。日本でも最近になってようやくジョブ型雇用と言われ始めましたが、浸透するまでにはまだまだ時間がかかると思います。

上原氏：ジョブ型雇用では、ジョブを変えないと給与が上がらないので、より高いスキルを得るために「勉強しよう」というインセンティブが働きます。日本では、職に就く就職ではなく、会社に就く就社の文化が根強く、スキルアップしようとしている当事者でさえ、研修費用は当然会社が出してくれるものと思っている場合が多いと感じます。

Ｓｋｙ：ＦＦＲＩセキュリティさんはジョブ型の雇用形態ですよね？

鵜飼氏：そうです。能力次第で1年目から年収が一気に上がる人もいます。成果を出さないのに給与が高いままの人を量産しないためには、ジョブ型にせざるを得ません。

先ほど、海外に置かれたデータを業務委託先の社員が閲覧できる状態になっていた件についてお話しいただきましたが、近年さまざまなセキュリティインシデントが次々に発生しています。お二人が気になっている・注目しているインシデントについてお聞かせください。

鵜飼氏：2020年にアメリカで発生した、「歴史上最も大きなサイバー攻撃」「過去10年で最も深刻なサイバー攻撃」ともいわれている、ネットワーク監視ツールがハッキングされた事件はインパクトがありました。政府や民間企業約1万8,000社のネットワークが侵入の被害を受け、ネットワーク内のあらゆるデータを盗まれまたことは、サプライチェーン攻撃の恐ろしさが広く認知されるきっかけとなり、セキュリティ対策の大きな転換点になったと感じています。一連の攻撃は、ネットワーク監視ツールのソフトウェアアップデートコードにバックドアが仕掛けられてしまったため、アップデートしたユーザーに被害が広がっていきました。バックドアを仕掛ける攻撃は以前からありますが、本来信頼できるはずのソフトウェアのアップデートファイルを踏み台にするというサプライチェーン攻撃は、厳重なセキュリティ対策を施していた政府や民間企業でさえ被害を受けてしまうことを見せつけた攻撃でした。

上原氏：企業・組織のインフラの中に入り込んでいるシステムの安全性に対しては、これまで以上に注目度が高まると思います。先の件は、ほかのソフトウェアベンダーにとって無関係ではなく、SKYSEA Client Viewのような製品を作るＳｋｙさんも、安全であることの証明には今以上に力を注いでいく必要があるでしょう。

お客様にご心配、ご迷惑をお掛けすることのないよう、これまで以上に安全性の確保に力を注いでいかなければと思います。

上原氏：私が2020年のセキュリティインシデントで気になっていることの1つは、一般にCRM（Customer Relationship Management）といわれる顧客管理ツールで、データアクセス権などの設定不備により不正アクセスが頻発した問題です。この事象は、日本企業のセキュリティ対策にとって、非常に深刻な問題を含んでいます。当該のクラウドサービスの提供形態は、PaaSとSaaSの中間に位置しているため、管理責任の所在がわかりづらいと感じている人も多いと思いますが、サービス提供ベンダーがPaaSと定義しているため、設定に関する問題の責任はユーザー側に発生します。しかし、日本では直接エンドユーザーがシステムを組み上げているケースは少なく、多くはSIerが間に入ってパッケージングしてからSaaSアプリケーションとして提供しています。この日本独特のサービス提供状況が問題を複雑化してしまい、元はPaaSだとわかっているエンドユーザーであっても、SaaSにパッケージングしたSIerに責任の所在があると信じている場合が多いです。

管理主体から整理したSaaS・PaaS・IaaS

鵜飼氏：先のクラウドサービスの場合、独特の用語が多用されているので、サービスのアーキテクチャに対する深い知識がなければインシデントそのものを理解できず、設定ミスが発覚しても素早く対応できる人はそれほど多くないように思います。これは、ほかのクラウドサービスも同様で、今後さらにサービスが乱立することを考えると、問題発生時にシステム全体をすぐに理解して適切に対処できる人がいなくなってしまうことを懸念しています。

エンドユーザーとSIer、共にクラウドサービスに対する経験値を積んでいく必要がありますか？

上原氏：確かに、パッケージングするSIerのスキルが十分ではない場合もありますが、今回報道された中には、自社でシステムを開発している企業も含まれていました。そういった企業がスキル不足だったとは思えませんが、今後は本当に責任が取れるのか、取れるだけのスキルを持っているのか、そこがクローズアップされていくような気がしています。CRMのアクセス権限設定ミスの一件は、責任分担ポイントが細かく定義されているクラウドサービスには、それだけ責任問題の難しさが存在することを浮き彫りにしました。

暴露型の増加など、ランサムウェアの被害も相変わらず多いように思います。

上原氏： 2020年に発覚した著名なゲームメーカーのランサムウェア感染では、流出した可能性のある情報の中に、本来は破棄するとしていた採用応募者の情報が含まれていたことが問題視されました。破棄されるはずの個人情報が破棄されていなかったことが発覚したダメージは大きかったと思います。

鵜飼氏：暗号化するだけではそれほどもうからなくなってきていたので、攻撃グループは実際にデータを少しずつ公開することでただの脅しではないことを示して、高額な身代金を要求するようになっています。これは、ビジネスモデルとしてはよくできていると思います。

上原氏：ある攻撃グループへのインタビュー記事で、どれくらいもうかっているのか質問した答えが、メンバー1人あたりの年収が数億円と書かれているのを見たとき、それだけもうかるならやるよねと思いました。

鵜飼氏：お金もうけが目的の犯罪の中で、ランサムウェアなどを使ったサイバー攻撃は攻撃者からすると足がつかないとても安全な犯罪なので、本当にもうかるんだと思います。銀行強盗をやるよりも、ITを使った方が楽ですし。

上原氏：銀行強盗で成功した人、日本ではもうずいぶん長い間いないですよね。

2020年はゼロトラストにも注目が集まりましたが、話題になるセキュリティ対策の多くが、まずは大手企業で運用が始まって、しばらくしてから中堅・中小企業で取り入れられるイメージがあります。ゼロトラストも同様でしょうか？

上原氏：ゼロトラストは、むしろ中小企業から先に対応していただきたい対策です。

鵜飼氏：ゼロトラストへの移行は、大量のレガシーを抱えて膨大な作業が発生する大企業よりも、規模の大きくない企業体の方が取り入れやすいと思います。中小企業にとっては、境界線防御よりもゼロトラストに注力した方が、コスト面でのメリットや業務の効率化にもつながるので、必然的にゼロトラストに向かっていくとは思います。

上原氏：中小企業の情報システムご担当者にとって、セキュリティ対策の予算を確保するのは難しいことだと思いますが、クラウド化はある程度のコストダウンに寄与しますので、その分の削り代を投資としてセキュリティ対策へ回していただくといいのではないでしょうか。クラウド化とワンセットで、それぞれの端末に対して自分の身は自分で守れる状況にしておく、エンドポイントのセキュリティ対策をしっかりやっておくことも必要です。例えば、Webサイトを閲覧中に突然発信元が地球の裏側のIPアドレスにつながれば、すぐにサーバーとの通信を切断できるようにするなど、一つひとつの対応がリスクに基づいて考えられているかを確認してください。

2020年はエンドポイントのセキュリティ対策の中でも、EDR製品を導入することの重要性が強く意識された年だったように思います。

上原氏：企業・組織のセキュリティ対策にとって、EDRはもはや必然です。侵入経路の多様化などで境界線防御は破綻したといわれていますが、パターンマッチングだけではエンドポイントを守れないため、ふるまい検知等の製品を導入されている企業・組織は多いと思います。しかし、高度化する攻撃からエンドポイントを守るためには、集めた情報から相関分析によって検知の精度を上げることが欠かせません。エンドポイント内である程度の防御をしながら、攻撃の情報を取りこぼしなく集めるためには、EDRはすでになくてはならない存在です。

EDRは高価で運用が難しい印象があり、導入したくてもできない企業・組織も多いのではないでしょうか？

上原氏：今後、EDRに松竹梅のような格づけが行われていけば、操作の簡単さをアピールする製品は、人の手をほとんど必要としない方向に進んでいくのではないかと予想しています。そうなれば、運用が難しいことを理由に導入できない問題は、時間が解決してくれるだろうと期待しています。それよりも、AIから「非常に危険な状況です。至急対応してください」とアラートが出されたとき、インシデントレスポンスをすぐに実行できる体制が組めているかどうかが重要です。これは何よりも大事なポイントです。

それは、SIer等に協力してもらうのではなく、組織の内部で作る必要がありますか？

上原氏：そうです。緊急事態に対応できるファーストレスポンダーが組織の内部にいなければ、緊急のトラブルが発生したときに初動が遅れ、被害が大きくなります。例えば、自治体のような組織が緊急事態のたびに外部に頼っていたら、行政サービスが機能しなくなってしまいます。

「FFRI yarai」のEDRは、運用のしやすさを意識されたんでしょうか？

鵜飼氏：：「FFRI yarai」は、もともと機械学習やAIを利用した次世代アンチウイルスソフトウェアNGAV（Next Generation Anti-Virus）です。しかし、年々高度化するサイバー攻撃に対しては、取り逃がしたマルウェアの情報を分析することの重要度が増しています。そこで、以前からお客様にご要望いただいていたこともあり、EDR機能として脅威の検索・駆除と端末隔離を追加するとともに、アンチウイルスについてはMicrosoft Defenderとの連携を選択して総合的なマルウェア対策製品としてリリースしました。また、お客様にとっての運用のしやすさを考えていくと、今後の機能拡張はすべてを「FFRI yarai」で完結するよりも、他社のセキュリティ対策製品と連携した方が良い場合もあります。SKYSEA Client Viewとの連携強化もその1つで、使い慣れた資産管理機能を活用してマルウェア感染後の事後処理が効率化できれば、お客様にとっては便利なはずです。今後は、複数のメーカーと技術的に深いレベルの連携をしっかりとやっていくことで、お客様のセキュリティ対策強化に貢献できればと思っています。

上原先生からご覧になって、「FFRI yarai」とSKYSEA Client Viewの連携強化は、どのように感じられますか？

上原氏：システム管理者がセキュリティ機能で一番必要だと感じているのは、危険なマルウェアを真っ先に見つけて対処できることです。「FFRI yarai」との連携によって、SKYSEA Client Viewだけでは対応できない部分をカバーできることは、システム管理者に好意的に受け入れられるのではないでしょうか。また、純国産のソフトウェアベンダーであるＳｋｙさんが、これまた純国産のＦＦＲＩセキュリティさんと組まれたことは日本の企業・組織の皆さんにとって、非常に心強いと思います。SKYSEA Client Viewはシステムインフラのポジションにある製品なので、連携メーカーをさらに増やしてセキュリティ面を強化していかれると思いますが、それと同時に、サプライチェーンリスクの話題で登場したベンダーのようなことを起こさないために、製品をリリースするまでの準備はこれまで以上に大変になります。「あのベンダーと同じことが起きませんか？」と聞かれたとき、「大丈夫です！」と言い切るためにはそれなりの担保が必要です。他社製品との連携では、どこに逆向きのバックドアが作られてしまうかわからなくなりますし、EDRのようなクラウドベースの製品は、クラウド側から侵入されるリスクをクリアにすることも考えなければなりません。Ｓｋｙさんは脆弱性で大変な経験をされていますので、すでによくご存じだと思いますが、さらに慎重な対応をお願いします。

はい。しっかり対応していきます。

鵜飼氏：安全なサプライチェーンをどう作っていくか、これはシステムインフラの重要な役割だと思います。もちろんこれまでも慎重に対応してきましたが、上原先生のお話を聞いてあらためて気を引き締めています。当社では、開発の一切を外部には出さないことはもちろん、細かい基準を数多く設けて安全性を考慮してきました。今後は、自社だけでなく、安全なサプライチェーンを日本の中でどう作っていくかを意識していかなければと感じています。Ｓｋｙさんとは国産ベンダー同士の強みを生かして、開発の透明性をお互いに高めていけるはずですし、知恵を出し合って安全なサプライチェーンを実現していければと思います。ソフトウェアベンダーにとって、技術力を上げて使いやすい製品を作っていくことはもちろんですが、開発工程の透明性を高めることも責務です。

最後に、情報システムご担当者にメッセージをお願いします。

上原氏：この1年、さまざまなセキュリティ事故が起こりました。情報システムご担当者ではどうしようもない、サプライチェーンに起因した事案もありましたが、緊急事態宣言により急きょテレワーク環境を整えた結果、VPN装置のセキュリティ対策が不十分なまま運用してしまったことが原因の事故があまりにも多かったと感じています。初めての緊急事態宣言から1年がたち、取りあえず実施した対応がそのままになっていないか、対策を追加する必要がないか、今のタイミングで精査をお願いします。今後、多くの企業・組織がゼロトラストに取り組んでいくことになりますが、準備には多くの工数が発生し移行までには時間がかかります。まずはVPNのセキュリティや認証を強化して、ログの監査などもしっかりやっていくことを優先してください。2020年、日本のゲームメーカーがランサムウェアの被害に遭い莫大な身代金を要求された件も、海外の現地法人に設置したVPN装置の脆弱性が原因だったように、これは本当に早急な対応が必要です。

鵜飼氏：大量のサイバー攻撃が、日常的に当たり前のように行われていますので、情報システム部門の皆さんにとって、セキュリティ対策の強化は常に頭を悩ませる問題だと思います。しかし、さまざまな製品・サービスから自組織に合ったものを選定するには、事前の調査にかかる時間や導入コストの問題もあります。私どもは、情報システム部門の方の負担軽減につながるような製品・サービスをできる限りコストをかけずに提供できるよう、しっかり対応していきます。また、Ｓｋｙさんとの連携もお客様のご期待に沿えるよう、さらに深くセキュアな環境を提供していければと思っています。