三井物産セキュアディレクション株式会社(以下、MBSD)とNRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)。セキュリティ専業企業である両社において、それぞれのコンサルティング部門を統括する二人。その関係はプライベートでも付き合いがある友人関係でもあり、セキュリティ業界を横断的に盛り上げたいと願う同志でもあり、日本を代表するセキュリティコンサル集団のトップ同士としてはライバル関係でもあります。
そんな二人のトップコンサルタントが、日本のサイバーセキュリティの現在と未来について語りました。
関連記事:
トップコンサルタントの経験から見る“セキュリティ”という仕事 (外部リンク)
-
山口 雅史
- NRIセキュアテクノロジーズ株式会社 コンサルティング事業統括本部長
-
田中 良明
- 三井物産セキュアディレクション株式会社 執行役員 コンサルティングサービス事業本部管掌 兼 コンサルティングサービス事業本部長
ライバルであり友人でもある二人のトップ
NRIセキュアテクノロジーズ株式会社 コンサルティング事業統括本部長 山口 雅史氏
―ライバル企業でコンサル部門のトップを務めるお二人ですが、プライベートでも親交があると聞いています。どのような出会いから現在のような関係に発展したのですか?
山口:セキュリティ業界は、業界内での横のつながりが結構あります。田中さんと出会ったのは、MBSDさんとNRIセキュアの社長同士がゴルフに行ったところにご一緒したのがきっかけです。
田中:その時に、山口さんとすごく意気投合して「今度はプライベートでゴルフしましょう」という話になりました。その後は両社とも社内でゴルフ仲間・グループがあり、そのメンバー皆で飲み会をしたり、ゴルフ旅行を開催したりしました。
山口:プライベートでもよくお付き合いをさせていただいているので、今日は対談という形でお話しさせていただけるのは楽しみです。
―両社のビジネスについて、それぞれにどのような印象をお持ちですか?
田中:NRIセキュアさんは、コンサルティング、監視、診断に加えて、独自開発のプロダクトもあって、規模も大きい。業界の中でも半歩先を走っている企業だと感じています。
山口:ありがとうございます。MBSDさんは、国内のみならず海外でもセキュリティ事業を手掛けていらっしゃって幅広いですよね。日系のサイバーセキュリティ企業の中でもMBSDさんはすごく先進的なことをやられているので日頃から刺激を受けています。
その一方で、両社は似ている点が非常に多いなと感じています。事業内容や顧客の業界や規模、関係する顧客層も近いですし、MBSDさんは源流が商社系で、NRIセキュアはシンクタンク系という違いはありますが、企業風土も似ていますよね。今回の対談も、共に「自社のお客様だけではなく、日本のセキュリティ業界全体を良くしたい」という思いを持っていたことがきっかけですし。
田中:そうですね。「セキュリティ業界を共に盛り上げたい」という思いは両社とも強くて、私もそういう点では同志だと感じています。
上流から現場の運用まで、トータルで支援できるのは日本のセキュリティ企業の強み
三井物産セキュアディレクション株式会社 執行役員 コンサルティングサービス事業本部 本部長 田中 良明氏
―最近のセキュリティニーズの変化については、どのように感じていますか?
山口:私がサイバーセキュリティ業界に入った2008年頃は、多くのお客様が「セキュリティ=コスト」と考えられていました。しかし、最近では、セキュリティを経営課題と捉えて、「セキュリティ=投資」と考える企業や経営者が増えました。昔のように“インシデントが発生してから経営陣の指示を受けて現場が対応する”のではなく、“経営陣からのトップダウンの指示でインシデント発生する前にあらかじめ対策しておく”ケースが増えました。
田中:大手企業の場合は社内にセキュリティ組織を設けていらっしゃるケースも多いですし、セキュリティ予算が増加していることからも経営課題としてサイバーセキュリティ対策を実施する企業が増えていることを実感します。一方、中小企業は予算も体制もまだ不十分な組織が多いですが、昨今セキュリティ対策の手薄な関連会社や取引先企業である中小企業を経由した攻撃により、大手企業の工場が数週間も操業停止になってしまうサプライチェーン攻撃事例もありました。大企業だけではなく中小企業もセキュリティ対策の必要性が高まっていますね。実際、問い合わせや相談もすごく増えています。
山口:2014年頃から大きなセキュリティインシデントが頻発していますし、2022年には経団連が「経団連サイバーセキュリティ経営宣言 2.0』を発表したことや、「世界経済フォーラム」でサイバーセキュリティについて議論されたことも、経営者にとって「サイバーセキュリティは経営課題」という認識が高まったことに影響していると感じます。メディアに取り上げられるようになりましたし、サイバーセキュリティに対する情報や他社の動向を気にしていらっしゃるお客様も増えました。
田中:あとはやはり新型コロナウイルスの感染拡大を機に急速に普及したリモートワークやDX推進などの影響もあります。利用者にとって非常に自由で便利になった一方で、攻撃者にとっても好機となってしまいました。このような世の中の変化を受けて、我々セキュリティコンサルの支援スタイルも以前とは変わってきました。大手企業の場合は、年単位でセキュリティ施策の計画策定、設計・実装・運用までをトータルで支援させていただけるようになりました。
以前のようにスポットやインシデント発生時だけお声がけいただいても対応できることが限られているので、コンサルタントとしてはお客様のビジネスを深く理解して、全方位からトータルサポートさせていただけるのは非常にありがたいですね。サイバー攻撃からの防御には、「Weakest Link」(鎖全体の強さはその中の最も弱い環によって決まるという)を意識すべきであると言われています。部分的に強くしても、攻撃者は弱いところを見つけて攻撃してくるので、全方位的に穴がないか確認し支援したいと考えています。
山口:上流から現場の運用までを検討して、トータルで支援できるのは日本のセキュリティ企業ならではの強みですよね。セキュリティ先進国と言われる欧米やEUにおける理想的な成功ケースを参考にしたプランをそのまま日本企業に持ってきても、日本の現場や運用にフィットしないことも多いです。経営層に綺麗なレポートだけを見せるのではなく、現場の運用や実務に落とし込めるかどうかを踏まえたうえで提案ができるのは、我々日本のセキュリティコンサルタントが得意とするところです。
―お二人から見て、セキュリティ対策がうまくいっている企業はどんなことに取り組んでいるのでしょうか?
山口:多くのお客様からは、同業他社と比較して「A社がこれくらいやっているので、うちもこれくらいまでやりたい」というようなリクエストをいただきます。ですが、それよりも自社の業界だけでなくもっと先進的な取り組みを行っている業界や企業を参考にして、1年ごとにアセスメントをして自社の状況を見直し、3~4年後をイメージした計画を作ることの方が重要です。
そんな取り組みを実施している企業では大きなインシデントは起きていないなと感じています。既存のセキュリティ対策を見直す際には、新しい技術にチャレンジするための先行投資が必要になることもありますが、うまく新しい技術を取り込めれば事業成長にも必ず役立つはずです。
田中:組織作りという点で良い取り組みをされている企業もあります。新サービスリリースやサービス改修の頻度が高いお客様では、企画・設計部門とは異なる別組織で、総合的なレビューを行う専門組織を設けているお客様もいます。技術的なレビューはもちろん、セキュリティガバナンスや法的リスク、レピュテーションリスクなど多様な観点で確認する体制を構築しています。そういう新たな取り組みに挑戦している企業のサポートをさせていただけたのは、コンサルとしてすごく光栄です。
Shift Left、AI、量子コンピューティング、宇宙など、新たな領域のセキュリティ
―新たな技術に関する取り組みなどもしていますか?
田中:MBSDでは、ここ数年「Shift Left」に注力しています。Shift Leftとは、システム開発における「企画→要件定義→設計→実装→テスト→リリース」の段階において、より“左側”である上流工程でセキュリティ対策を講じるという考え方です。開発の上流工程からセキュリティを考慮して設計することで、脆弱性の早期発見などセキュリティ強化はもちろん、リリーススケジュールの遅延回避や総合的なコストメリットにも繋がっています。また、開発段階からセキュリティを意識するので社員の皆さんのセキュリティ意識が高まるという面もあります。NRIセキュアさんにもDevSecOpsに関する部門がありますよね。
山口:はい、当社もShift Leftについて技術的なコンサルティングをする部署が存在します。この辺りは金融業界を中心に先進的な取り組みを行っている企業はすでに対応されていますが、これから様々な業界で広がっていくのではないかなと思います。
新たな取り組みという点では、NRIセキュアでは今年の7月から「AIセキュリティ統制支援サービス」の提供を開始しました。AIを安全に利用する「Security for AI」や、AIを活用してセキュリティを高度化する「AI for Security」を支援するもので、AI技術のセキュリティ、倫理、社会的影響、プライバシー・個人情報保護等に関する法規制対応といった課題対応やリスク管理についてのコンサルティングを行います。
田中:AIを使った新規サービスを展開するお客様も増えていますね。MBSDもAIを活用したサービスに対するセキュリティと逆に私たちがAIを活用した効率の良いセキュリティ支援の両面を進めていきたいと考え取り組みを進めています。
一方で 「AIが進化したらコンサルはいらなくなる」という人もいます。確かに調べものや情報収集についてはAIには敵わない時代が来るかと思います。ただ、それが事実かどうかを判断することやお客様のビジネスや課題を深く理解し、寄り添った形でアジャストして伝達する力などコンサルタントの方に分があります。今後はよりAIとうまく付き合っていくコンサルタントが勝ち残る=活躍するのではないかと思います。
山口:完全にそうですね。私もAIの進化によって、コンサルの仕事の一部はAIに代替されるだろうと思っていますが、あくまで一部だと思います。
それに、結局AIは人が使うツールです。サイバー攻撃を受けるのは機械かもしれませんが、情報漏洩などのインシデントが起きる要因の多くは人に起因するものです。AIに機密情報をインプットさせてしまう、という情報漏洩も考えられます。AIを活用するためには、それを使う人に対する教育やセキュリティガバナンスも実施していく必要があると思っています。
田中:さらに技術革新で言うと、量子コンピュータなどの最先端技術の動向にも注目しています。セキュリティの観点では、量子コンピュータの発展は既存の暗号技術を脅かす可能性もあり、次世代通信基盤にも大きな影響があると言われています。そういったものも私たちコンサルタントはウォッチしておかなければなりません。
山口:そういう観点で言うと、将来的には宇宙におけるサイバーセキュリティもウォッチしなければならないと感じています。宇宙については現時点ではビジネスニーズはまだそれほど大きくはありませんが、今後間違いなく成長していく分野だと考えていますので注目をしています。
田中:MBSDにも宇宙におけるサイバーセキュリティを専門でやっている人材がいます。技術部隊には興味があることや今後の成長分野に突き進んでもらいたいと思っています。一方、私たちコンサルタントはお客様に寄り添った支援を求められるため、お客様の半歩先とか1歩先にいて課題を解決できるプロフェッショナルであることが大切であると考えています。最先端の技術やトレンドは常にアンテナを立てておき、最適なタイミングで顧客と繋げる技量も必要ですね。
日本はセキュリティ後進国ではない。二社で共に市場を盛り上げていきたい
山口:日本は北米・欧州に比べてサイバーセキュリティが遅れていると言われていますが、私は、決してそんなことはないと思っています。日本企業のセキュリティ対策の取り組みを最前線で見ていますが、日本企業は各社色々な事情や制約がある中で、頑張って日々セキュリティ対策を推進しています。
ですから今後はそういったイメージも払しょくできるようにMBSDさんと当社が一緒になって色々な情報発信ができたらいいなと思っています。可能であれば官公庁とも連携しながら、例えば日本の企業のセキュリティへの取り組み状況を共有したり、企業も自社で発生した問題やそれに対しての対応策について、自社内だけで情報を留めず、広く情報を共有したりすることができれば、日本全体のサイバーレジリエンスも高まるはずです。
田中:おっしゃる通り、セキュリティへの取り組みは個社毎ではなく全体への広がりも大切ですね。社会のデジタル化は加速しIT活用促進による連携や繋がりが増える中、海外にロケーションのあるグループ会社やビジネスパートナー委託先等を含めたサプライチェーン全体のセキュリティレベルを上げることが重要であると考えています。
日本全体のサイバーレジリエンスを高めるためにも、資金力のある大企業とそうではない中小企業でセキュリティ格差が大きくならないよう全体視点をもってセキュリティ業界を盛り上げていきたいですね。
山口:そうですね。そして、「日本社会の安全を、自分たちが支えるんだ」という気概を持ってこれからも仕事をしていきたいなと思いますし、そんな気概を持った人と、一緒に働くことができたらこれ以上に嬉しいことはないですね。
関連記事:
トップコンサルタントの経験から見る“セキュリティ”という仕事 (外部リンク)
