若き“日本発”セキュリティ企業の創業者に訊く、変化する防御の定石とセキュリティ業界のトレンド

日本企業に「完璧を目指さない防御」へシフトする勇気はあるか？

伊東氏：たしかに今ほど報道されていなかっただけで、昔からシステム障害や事業停止などの被害はそれなりにあったと思います。ただ昔と違うのは、攻撃側が比較にならないほど活発化・巧妙化しているという点です。最新のLLM（大規模言語モデル）を悪用した攻撃も既に観測されて話題を呼んでいますよね。つまり、シンプルに被害の規模と件数がどんどん拡大しており、目立つようになってきたのだと思います。

　他には、IT環境の複雑化が起因している側面もあるでしょうね。ハイブリッド環境やマルチクラウド環境へのシフト、AIの導入、SaaSの多様化など、単純に管理しなければならない範囲が拡大して、それをいつの間にか把握できなくなっている組織も増えていると思われます。

　おっしゃる通り、BCP（事業継続計画）策定や復旧対策は多くの企業がある程度やっているものの、いざ有事に陥ると予想以上に影響範囲の判断が難しいというケースは少なくありません。そうなると、とりあえずシステムをすべて止めるしかなくなります。そして1ヵ月かけて原因を調査して、復旧が完了するまでには最低でも3～4ヵ月かかるかもしれません。こうした被害の長期化も最近のトレンドですね。

伊東氏：そうですね。「完璧を目指さない」と表現すると人によっては印象が悪いようにも感じるため、経営に携わる方々にとっては勇気の要る思考の転換だとは思いますが、やはり被害に遭う前提での対策構築というのは必須になってくるでしょう。

でも、「どこまでやればいいのか」誰も教えてくれない

伊東氏：実際、リスクマネジメントのフレームワークを導入して、何億円もかけて予防のための対策を構築してみたら、透明性ゼロの業務フローが出来上がってしまったというような組織は多いかもしれません。極端に言えば、100点満点を目指して結局すべてが台無しになってしまうみたいな。

　ただ、私自身も経営者なので気持ちはわかるんですよね。やっぱり企業やブランドへの信頼、安心感を守りたいという想いが根底にあるので、理論的には100％の防御は不可能だとわかっていても、「できるだけ、予算の許すだけ」とゴールのない施策のループに陥ってしまいがちなのです。

伊東氏：間違いなくあるでしょう。ですから、社会全体として何をもって「安全に気を遣っている」とするか、ある程度の基準を醸成する必要があると考えています。たとえば、「グローバル水準を満たす最新のセキュリティ製品を導入している」ことをひとまず社会的な信用の基準にしてみるとか。

　この具体的な基準の設定については議論が必要ですが、セキュリティはもはや事前対策だけでは不十分というのが当たり前の認識として浸透してきているわけですから、たとえば事後対策や日頃の監視などといった運用面での施策も評価の軸に組み入れていいと思います。企業の枠を超えて、社会全体でそうした安心感を作り上げていくことが、対策基準の醸成にもつながるのではないでしょうか。

伊東氏：一社とは言っても、たくさんのステークホルダー（利害関係者）がいますからね。それが大企業ともなれば、意見を取りまとめるだけでも膨大な時間と労力がかかります。それに何より、客観的なセキュリティ評価を自分たちだけで決めるというのも難しいでしょう。

　各省庁やIPA（情報処理推進機構）、産業団体などからは様々な要求やガイドラインが発出されていますが、確固たるルールや「これだけやっておけば安心」という断言はなされていません。ですから、大きな企業であればあるほど、外部のインテリジェンスや他社との情報共有に頼らざるを得ないというのが現実かと思います。