スマートフォンとインターネットが生活に当たり前のように入り込み、さまざまなビジネスでもオンラインを無視することができなくなった。それに伴い、サイバーセキュリティの重要性は高まってきている。しかし、肝心のセキュリティ人材は不足しており、サイバーインシデントは絶えない。
一方その現場には、セキュリティのために働く人々がいる。ITmedia NEWSでは、その“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る企画をスタートする。
第1回となる今回は、日本セキュリティオペレーション事業者協議会(ISOG-J)の「セキュリティ対応組織の教科書」やITU-T国際標準勧告「X.1060」を執筆し、GMOサイバーセキュリティ byイエラエでSOC(Security Operation Center)事業を立ち上げた阿部慎司氏を迎え、SOC人材の未来やサイバーセキュリティの理想を語り合った。その対談の様子を前後編でお届けする。
●プロフィール:GMOサイバーセキュリティ by イエラエ 阿部慎司氏
サイバーセキュリティ事業本部 執行役員兼副本部長。大手電気通信事業者にてSOC責任者やITU-Tでの国際標準化活動を経験後、GMOイエラエにてSOCイノベーション事業を立ち上げ。ISOG-JやSOCYETI、IPA専門委員など幅広く活動。CISSP。
●プロフィール:SBテクノロジー 辻伸弘氏
コンピュータの専門学校に通いながら、サイバーセキュリティを手探りで学び、侵入テストの仕事に就きたくて上京。現在は、侵入テストだけでなく、事件・事故を調査するセキュリティリサーチの仕事にも携わっている。侵入テストで培った攻撃者視点や分析力と、リサーチで得た情報・知識を基に、執筆や講演などのエバンジェリストとしても幅広く活動する。
●日本企業のセキュリティは「3周目」が多い?
──まずは、阿部さんが携わる業務についてお聞かせください
阿部氏(以下敬称略):私は今、GMOサイバーセキュリティ byイエラエで、SOC(Security Operation Center)事業の立ち上げという、“守り”の事業の責任者をやらせてもらっています。
イエラエもペネトレーションテストなど、攻めのセキュリティが主でしたが、やはり守り側もやらないと不十分ではないかというのが組織の課題として上がってきており、いま、さまざまに取り組んでいる段階です。前職もNTT系列のグループでも責任者をやっていて、ずっとSOCに携わってきました。
辻氏(以下敬称略):SOCに携わったのは、どういったきっかけだったんですか?
阿部:SOC人生のきっかけはただの“配属ガチャ”で、それまではセキュリティも何もない、単なるシステムエンジニアでした。いま思うとセキュリティには縁があって、お客さまが他社に診断を依頼して、その結果をなぜか自分が精査するという。それがセキュリティとの最初の出会いで、印象は最悪でした(笑)。
辻:僕のスタートの印象と一緒ですね(笑)。本来は、診断側が精査すべきなんですけどね。
──最近、国内でもインシデントが多発しています。サイバー空間のこの変化をどう見ていますか?
阿部:ここ数年での大きな変化は、見る範囲が明らかに増えたことではないかと思います。分かりやすい部分では、クラウド活用により、単純に守らなければならない範囲が増えている。それに合わせて攻撃の対象も連動して増えていますね。
辻:長いSOCのキャリアで、守るポイントの変化以外に、なにか変わったと思う点はありますか?
阿部:セキュリティの体制を含め、お客さまの様子を見ていると「いま3周目かな?」と感じています。どのお客さまも同じ場所にいるというより、みんな同じような「3周」を走っているように思えます。
まず「0周目」は、わけも分からずシステム担当が割り振られ「総務がセキュリティやらなきゃ」となったり「セキュリティ専任もいないし、どこにアウトソースしているわけでもないけど、1人情シスがやらされて責任を負う」みたいになったりする段階です。みんなそこからスタートします。
それを経て、次の「1周目」。初めてアウトソースとして、SOCを入れてみようか、昔ならUTM(統合脅威管理)を導入して、そういやそこにサービスが付いていたな、使ってみようかな、と組み立てていく。
「2周目」に入っていくと、それまででいろいろ学んで、自分たちはここまでやらなきゃいけないんだということを知る。でも、まだ専門性も足りず、やっぱり部分的にアウトソースが必要だと判断できるようになる。要するに、インソースとアウトソースを区別できるようになるのが2周目です。
「3周目」にいけばもう自信が付いているので、ここは自分たちでやればいいんじゃないかと、内製化思考が始まる。これを経て「4周目」にいければ、かなり内製化ができるんじゃないかと。
その観点で考えると、お客さまのセキュリティ運用の慣れ具合を見て、輪廻がまわってきているな、と感じることもあります。「しゃべっているとこの会社何周目か分かる」みたいな。
辻:人間何回目だ、みたいな感じだ(笑)。大きな会社だと早くから回り始めているという感じですよね。日本は99%以上が「中小規模の企業」だと思うんですが、中小だといまどのへんにいると思いますか?
阿部:300人規模の“小企業”だと、まだ1周目でしょうね。
辻:ああ、やはりまだギャップが大きいと。
阿部:ギャップは本当に大きいですね。数十名規模の企業だとアウトソースすべきものも少ないのですが、200~300人規模だと、自分たちの大事なサービスがあり、大事なお客さまの情報を持つことになる。経営者の意識も上がり、「よし、次はアウトソースだ」と1周目に入っていく。
昔と違う点として、いまはガイドラインが業界ごとに作られているので、これまでは手探りでアウトソースできていた分野も、割とそのガイドラインに従って動いている。そのような外圧的というか、事故が発生することを前提としたガイドライン対応が求められています。
辻:親会社の圧とか、取引先からの圧とかもありますよね。
阿部:「ガイドラインのこのチェックシートを丸にしたいんだけど、御社は具体的にどんな対応していますか?」みたいな。さっき挙げた周回の“またぎかた”のトリガーが増えてきています。
辻:セキュリティ対応のきっかけとなる入口は増えてきていますよね。ただ、自分たちでできることとできないことは、自分たちの目できちんと見極められないといけないと思っています。
任せっぱなしだと、投げて終わりになっちゃうじゃないですか。セキュリティ対応に関して、自分たちが誰かに任せられるもの、そうでないものを理解できるのが理想だと思っているんですけど、中小規模だとまだそこにも到達できていない印象を持っています。
阿部:ガイドラインに書かれていることは把握できるようになったのではないかと思いますが、そこから一歩、具体的に落とし込んだときや、指定されていない部分は判断が難しいのだろうと思います。
辻:日本は「他社はどうしているんだ?」という点には敏感じゃないですか。他より優れる必要はないけど、劣ってはいけないという。今後を考えると、中小規模の企業は「ガイドラインのほんの少し先を意識する」のが良さそうですね。
阿部:その点では、「自動車産業サイバーセキュリティガイドライン」がうまいんですよ。レベルを3段階に分け、徐々に階段を上がっていくように作られています。
参考:自動車産業サイバーセキュリティガイドライン | JAMA - 一般社団法人日本自動車工業会
●大手を守るためには、中小を守らねばならない
──いま、気にしているのは大企業よりも中小規模ですか?
阿部:イエラエに転職した理由の1つがそれです。名だたる企業を相手に億単位の予算をかけ、という世界もありつつ、裾野を広げる上では中小が重要です。いま、サプライチェーン攻撃といった部分に注目も集まっています。
辻:大手を守るためには、中小を守らねばならない。
阿部:大企業を相手にしていたときも「自分たちが見ていない範囲でやられました」ということがたくさんありました。中小規模を守っていかない限り、日本全体のセキュリティを底上げすることは難しいと感じています。
辻:講演などでいろんな人と接していると、大企業における、大規模なセキュリティの取り組みは、言い方は悪いんですけど何の参考にもならないんですよね。規模が違いすぎるので。
──日本のサイバーセキュリティの理想を実現するため、いまどのような問題意識を持っていますか?
阿部:いまですと、世界情勢や安全保障ということもさることながら、会社単位で見たとしても共通しているのは「何を持って安定状態としているか」ではないでしょうか。平時とは何か、という定義です。運用とは、状態を安定させることです。では、そのラインはどこにあるのでしょう。それが明確になっていないことが多いのかもしれません。
会社として「ウチのセキュリティは大丈夫か?」と聞く人も多いですけど、じゃあ「大丈夫」ってなんだろうということになります。ならば、会社としてのセキュリティもゴールを明文化しておく必要があるでしょう。
辻:「守りたいものはどこにある何か?」から考えるのではなく、脅威から考えるからおかしくなるのかもしれないと思っています。例えばいまなら「ランサムウェアから守るには?」から入ってしまいますよね。そこから入ってしまうと手薄な場所がどうしても残ってしまうので、話の起点が間違っているのかもしれません。
阿部:日本でも各業種でさまざまなガイドラインがあるのですが、「はじめに」の部分には最終目的が書かれているはず。そこを各組織が認識すべきなのかもしれません。そこで守るべきものが分かれば、日本的に横を見ながら走り出せる。日本はその部分は得意なはずです。
海外は政府がガイドラインを強制しますが、日本はビジネス側が強く、それを逆手に取るのが日本らしいのかもしれません。世界に比べて日本のセキュリティが弱いとはまったく思いません。
続く後編では、人材育成や未来のセキュリティ人材に向けた発信について、2人の考えを取り上げる。