こんにちは!TECH Street編集部です。
新企画「CTOインタビュー」の記念すべき第1回目は、株式会社ラック CTO 倉持さんです!
倉持さんから聞いた、サイバーセキュリティ業界に関するテクノロジー動向やその業界ではたらくエンジニアの特徴についてのお話などお届けします。
倉持 浩明さん
株式会社ラック 常務執行役員 CTO 兼 CIO
受託システム開発のSE・PMとして、金融・製造・流通・小売などの多方面にわたる業種のシステム開発や運用に携わる。 JSOC、サイバー救急センター、セキュリティ診断サービスおよびセキュリティアカデミーの事業責任者を経て、現在は株式会社ラックで研究開発領域と次世代サイバーセキュリティ事業開発の責任者を務める。Webアプリケーションのセキュリティに関するガイドライン整備や執筆活動及びOWASPをはじめとしたセキュリティ団体での活動にも精力的に取り組んでいる。
- サイバーセキュリティ業界の動向を考慮する上での必須の3つの要素
- 生成AIの登場により、攻撃者に圧倒的有利な状況になってしまっている
- 「プラス・セキュリティの教育」と「セキュリティチャンピオン」を作ることの意味
- セキュリティ事故に遭われた方と接し犯罪者集団の存在を意識することで、正義感が芽生える
- セキュリティツールを統合し、プラットフォーム化することで、攻撃のリスクをリアルタイムで予測したい
ーーまず初めに株式会社ラックではどのようなサービスを提供しているのか教えてください。
倉持:弊社は、1986年にシステムインテグレーション事業の会社として創業し、金融業や小売業、製造業向けのシステム開発を行ってきました。サイバーセキュリティ事業は1995年から開始し、現在はサイバーセキュリティ事業とシステムインテグレーション事業の2つが主な事業領域になっています。
サイバーセキュリティ事業では、「セキュリティ監視サービス(JSOC)」「緊急対応サービス(サイバー119)」「セキュリティコンサルティングサービス」「セキュリティ診断サービス(Diaforce)」「セキュリティ教育サービス(セキュリティアカデミー)」、そして「セキュリティソリューションの導入サービス」などがあります。ネットワークセキュリティからサイバーセキュリティ、そしてIoT機器やOT機器に対するセキュリティまで、サイバーセキュリティ対策全般について幅広く対応しています。
特に弊社のセキュリティ監視センター「JSOC」では、24時間365日体制で契約企業を見守る監視サービスを20年以上にわたり提供しており、1,000以上の日本企業や団体に採用されています。また、緊急事故対応サービス「サイバー119」では、マルウェアなどのウイルス感染やサイバー攻撃、Webサイト改ざん、情報漏えいなどのサイバー事故などに幅広く対応しています。巧妙化、多様化するサイバー攻撃の最前線に立って、お客様の事業と私たちの社会基盤をサイバー攻撃から守っています。
サイバーセキュリティ業界の動向を考慮する上での必須の3つの要素
ーーありがとうございます。では、サイバーセキュリティ業界のリーディングカンパニーである御社CTO倉持様の視点から業界の動向についてお聞かせください。
サイバーセキュリティ業界の変革や動向を検討する際には、3つの観点に注目しなければいけません。
- 1つ目は「どのような技術革新が起ころうとしているのか」
- 2つ目は「競争環境や競合の動向について」
- 3つ目は「攻撃者の活動について」です。
1つ目の技術革新については、例えば、クラウドサービスの利用拡大や、生成AIを始めとしたゲームチェンジャーなテクノロジーの動向を見ています。こうした技術革新によって、お客様のIT環境がどのように変化しているのか、それによってセキュリティ対策をどのように適応させていく必要があるのかという観点は重要です。ITエンジニアの方々と同じで、私たちセキュリティ業界で働くエンジニアにとっても技術革新の動向には注目していかなければいけません。
2つ目の競争環境や競合の動向については、AWSやMicrosoftなどのプラットフォーマーと言われるようなベンダーさんもセキュリティサービスも含めて提供するようになってきているので、その動向を注視する必要があります。また最近はサイバーセキュリティ業界におけるスタートアップも増えてきました。こうした企業とは協業だけでなく、資本提携も視野に入れてお話をすることもあります。一緒に日本のセキュリティ市場を盛り上げていきたいと考えています。
3つ目の攻撃者の活動については、サイバーセキュリティ業界に特有のものかもしれません。攻撃者の背景や意図としては、愉快犯や自分の技術を誇示するようなものは割合としては減少しています。私たちの経済活動がデジタルに移行するにつれ、犯罪者集団もデジタルに移行しており、企業を狙った犯罪者集団や、国家を背景としたサイバー攻撃者集団も台頭してきています。このような攻撃者の動きや意図にも注目しなければなりません。
生成AIの登場により、攻撃者に圧倒的有利な状況になってしまっている
ーー攻撃者の活動にも注視しなくてはいけないのはサイバーセキュリティ業界ならではの大変なところだと思います。ちなみに、犯罪者集団たちの攻撃手法に変化などはありますでしょうか?
生成AIの登場により、より巧妙な攻撃手段が容易に生成されるようになりました。例えば、巧妙な日本語を使った詐欺メールやフィッシングメールを送ることもできますし、悪意のあるマルウェアを生成することも技術的には可能です。
そもそも生成AIが登場する以前から、攻撃者側は常に我々のような防御者側よりも有利だと言われています。なぜなら、攻撃者は様々な攻撃手法を駆使し、そのうちの1つでも成功すれば目的を達成したことになりますが、防御側は1つでも失点したら「負け」と言われてしまうからです。
生成AIの本質は、これまでのAIと違ってたくさんのバリエーションを、ほとんどコストをかけずに生成できることにあります。シミュレーションにかかる労力や費用をゼロにすることができる技術なのです。攻撃者は生成AIを使うことによってサイバー攻撃のバリエーションを無数に生成することができるようになりました。
攻撃者は、生成AIなどを悪用することで、標的の企業に特化したマルウェアを自動で生成することも可能です。このような攻撃がされたという事実はまだ観測されていませんが、いずれそうなるのではないかと私は危惧しています。
ーー攻撃者に生成AIを悪用されるのは恐ろしいですね。御社では、セキュリティ側としてAIを利用することも検討しているのでしょうか?
はい。サイバーセキュリティの領域においてAIが果たす役割はとても大きいと思います。何より攻撃者がAIを活用してくるのであれば、私たちも対抗措置としてAIを活用したセキュリティ対策を推進していく必要があります。また、人手に頼っている部分をAIに置き換えていくことで、セキュリティエンジニアはより付加価値が高くやりがいのある業務ができるようになるでしょう。膨大な監視や事故対応のデータを分析することで、新たなインサイト(気づき)を発見することもできるかもしれません。
全てのサイバーセキュリティサービスにAIを組み込んでいくというのは、成長戦略として外せないと考えており、この分野への投資を加速させて行きたいと考えています。
「プラス・セキュリティの教育」と「セキュリティチャンピオン」を作ることの意味
ーーでは、セキュリティが専門ではないITエンジニアは今後どのような立ち回りや知識が必要になってくるのでしょうか。
ニュースで報道されるような同業他社のインシデントは把握しておいた方が良いと思います。例えば、クラウドの設定ミスで個人情報が閲覧可能な状態になってしまっていたインシデントがありましたが、そういったニュースは常にウォッチして、「自分の会社やシステムは大丈夫なのか?」を考えていただきたいです。また「どのような攻撃手法があるのか」「どのような脅威があるのか」も合わせて、確認しておくことで、それがインシデントの予防策の入口になると思います。
それと、私たちは「プラス・セキュリティの教育」が重要だと思っています。これは例えば、インフラや開発のプロフェッショナルであるITエンジニアに、プラスαでセキュリティの知識や経験を持ってもらう、ということです。やはり社内業務や自社や顧客の情報システムを熟知しているのは、ITエンジニアです。そのため、彼らがセキュリティの知識をつけることで、セキュリティの観点でやるべきことをビジネス側にアドバイスできるようになるなどのメリットがあります。
ーー近年、サイバー攻撃による被害を減らす文脈からも「DevOps」にセキュリティを組み込んだ「DevSecOps」という開発手法も出てきておりますが、DevSecOpsという開発手法の実情を教えてお聞かせください。
開発チームと運用チーム、そしてセキュリティチームが協力する開発手法を「DevSecOps」と言いますが、そもそもDevSecOpsが上手くいっている企業は少ないと感じます。その理由は、リスク担当のセキュリティチームというのは、どうしても慎重な判断をせざるを得ないので、その結果、開発と運用がフラストレーションを抱え、セキュリティチーム側と開発・運用チーム側とで溝ができてしまうからです。
ーーでは、開発・運用・セキュリティの3つが上手く機能するための開発手法、もしくは方法などはありますでしょうか?
それに関しては、私たちは、開発チームの中に「セキュリティチャンピオン」というセキュリティ担当者を作ることを勧めています。その人が開発チームとセキュリティチームと、あるいはセキュリティベンダーとの橋渡しをするのです。
セキュリティチャンピオンはセキュリティチームの方ではなく、開発チームから選出することをお勧めしています。ITエンジニアの方に「プラス・セキュリティ」としてセキュリティに関する知識と経験を持ってもらうのです。自分たちのコードを一番理解していて、ITエンジニアの言葉でセキュリティについて語ることができるので、セキュリティチーム側と開発・運用チーム側での衝突が減ると思います。これが、開発・運用・セキュリティの3つが上手く機能するためのベストプラクティスだと考えます。
セキュリティ事故に遭われた方と接し犯罪者集団の存在を意識することで、正義感が芽生える
ーーここからは、「サイバーセキュリティ業界で働くエンジニア」について色々お聞きしたいと思います。まずサイバーセキュリティ業界で働くエンジニアの特徴などはありますでしょうか?
正義感の強い人が多い印象がありますね。実際にセキュリティの事故対応をしていると、被害に遭われた方と対峙することがあります。また、セキュリティ事故を紐解いて背後に犯罪者集団がいることが分かると、やはり許せない気持ちにもなります。このように一般のITエンジニアの方々に比べて、私たちの方が実際の被害に遭われた方と接する機会が多いと思うので、自ずと正義感が芽生えてくるのではないかと思います。
ーー正義感をお持ちの方が多いのですね。では、そもそもサイバーセキュリティ業界全体で働いているエンジニアは初めから、セキュリティエンジニアとして働く人が多いのでしょうか
新卒で入社し、最初からセキュリティの仕事をしているという方もいらっしゃいますが、
元々はITエンジニアだったという人が多いと思います。弊社の場合も元々ITエンジニアで会社のシステムを保守運用していた人達がセキュリティに異動し仕事をしているという状況です。他社を見ても、そういう人が多いと思います。そのため、セキュリティエンジニアを目指すのであれば、ITエンジニアの経歴というのは無駄にならず、むしろ武器になると思います。
ーーサイバーセキュリティ業界ではたらくエンジニアは、横の繋がりが強いとお聞きしましたが、その背景をお聞かせください。
セキュリティ業界あるあるだと思いますが、扱っている情報の関係もあり「ケーススタディ」を簡単に公表できません。しかも、社内にセキュリティ担当がたくさんいるわけではないので、知見共有が難しく、悩みを持っている方が多いと感じます。
そのような理由から、セキュリティ業界はコミュニティの中での繋がりが非常に強いです。同じ悩みを共有できる人が社内にいないとなると、やはりそういったコミュニティに参加して悩みを解消したいと考える人も多くなるのでしょう。他のエンジニアコミュニティよりも会社を越えた横の繋がりがたくさんあるような気がします。実際に国内にはセキュリティのシンポジウムや勉強会はたくさんあり、有名なものに「温泉系シンポジウム」と呼ばれる、温泉地で開催されるセキュリティシンポジウムがあります。
セキュリティツールを統合し、プラットフォーム化することで、攻撃のリスクをリアルタイムで予測したい
ーーそれでは、今後の株式会社ラックとしての取り組みや技術的な挑戦についてお聞かせください。
今後もサイバーセキュリティ事業におけるAI活用には、積極的に投資をしていこうと考えています。AIに関しては数年前から研究開発を行ってきましたし、大学との共同研究や人材育成も続けてきました。最近は生成AIの登場で競合環境や攻撃者もガラッと変わりました。そして、今後もAIの重要性が増すと考えているので投資を強化していきたいと考えています。
また、私たちは様々なセキュリティツールを提供していますが、それを統合してプラットフォーム化していこうとしています。プラットフォーム化によって、今は攻撃が起きた後にいかに早くお知らせするか、となっていますが、それを事前に予測する方向に変えていこうとしています。企業が攻撃される可能性やリスクにどれだけさらされているのか、ということを顧客企業に対してリアルタイムで出していきたいと考えています。
ーー最後に、読者へのメッセージをお願いいたします。
業界に長くいる私たちにとって、セキュリティとAIの領域というのはとてもエキサイティングです。業界を再編するような動きもこれから出てくると思うので、非常にやりがいのある領域であるとお伝えしたいです。
正義感のお話をしましたが、私たちは「技術者としての倫理」の教育もしっかりと行っています。私たちは守る会社ですが、守るためには攻撃の方法も知らなければなりません。犯罪者集団のギリギリ手前のところで情報を集めたりもしているので、やろうと思えばそれを悪用することも可能です。しかし踏みとどまらなければなりません。私はメンバーを信じていますが、そのために、社内教育などもしっかりとやっていく必要があると思っています。
手前味噌になりますが、弊社には技術力の高い社員がたくさんいます。新入社員で入社をしてすぐにサイバーセキュリティの国際大会で優勝した人や、官公庁主催のサイバーセキュリティコンテストでも準優勝者が出ました。彼らはセキュリティエンジニアとして非常に高い技術力を持っていますが、しかしながらそれは一つ間違えば、攻撃者にも転じることができる技術でもあります。それを予防するためにもその人の能力を認めて評価し、一線を踏み越えないようにしなければなりません。
それは企業の中にいるセキュリティ担当者の方も同じで、きちんと評価をしてあげてほしいと思います。管理者やマネージャーの方々は、ぜひ彼らが行っていることを理解し、日ごろの活動を認めてあげて頂ければと思います。それが日本のセキュリティ業界を正しい方向に導いていくことにも繋がると考えています。
以上が株式会社ラック CTO 倉持さんのインタビューです。
ありがとうございました!
今後のCTOインタビューもお楽しみに。
(取材:伊藤秋廣(エーアイプロダクション) / 撮影:古宮こうき / 編集:TECH Street編集部)
▼CTOインタビューのバックナンバーはこちら