Google Cloud幹部が語る「日本企業が抱える根本的なセキュリティ課題」：セキュリティニュースアラート

Google Cloudのニック・ゴドフリー氏（最高情報セキュリティ責任者室シニアディレクター）はサイバー脅威の現状を踏まえて、日本企業が抱えている根本的なセキュリティ課題を指摘し、その解決策を提言した。

[後藤大地，有限会社オングス]

　Google Cloudで最高情報セキュリティ責任者室シニアディレクターを務めるニック・ゴドフリー氏は2025年4月8日（現地時間）、筆者の取材に応じ、現在の企業のセキュリティ戦略におけるトレンドやサイバーセキュリティの変革について述べた。

Google Cloudで最高情報セキュリティ責任者室シニアディレクターを務めるニック・ゴドフリー氏

　ゴドフリー氏はCISO（最高情報セキュリティ責任者）として長い経験を持ち、多くの企業が陥っているサイバーセキュリティの難しい状況について深い洞察力を持っている。

Google Cloud幹部が語る「日本企業が抱える根本的なセキュリティ課題」

　Google Cloudは顧客企業に対してクラウド導入の支援と、従来のシステムに依存したセキュリティ構造からの脱却を促している。多層的かつレガシーな技術が混在する金融業界などでは最新の脅威に対応するには限界があり、クラウド移行はそのリスク低減の手段となっている。

　ゴドフリー氏は「企業が物理的にどこに存在するかにかかわらず、攻撃者は攻撃の容易さに基づいて標的を決定している」と強調する。

　また、ゴドフリー氏はAIの発展によって、サイバー攻撃者がその能力を活用して既存の攻撃手法を洗練させているとも指摘する。ただしGoogle Cloudの調査では、AIが新たな攻撃手法を生み出しているわけではなく、ソーシャルエンジニアリングにおける生産性向上が主な活用法とされている。一方、防御側としてはAIの導入によって人手不足を補完し、自律的なセキュリティ対応が可能になることから、攻守のバランスが改善されることも期待されているという。

　同氏は近年のサイバー犯罪の潮流として、北朝鮮などの国家が主導する攻撃、あるいは国家が関わる活動が含まれていることを挙げる。

　「例えば、北朝鮮の関係者が企業にテレワーカーとして正規採用され、AIを使って身元や履歴書を偽装し、内部不正を実行する事例が確認されている。こうした動きに対処するためには、企業の採用やバックグラウンドチェック体制の見直しが必要だ」（ゴドフリー氏）

　日本の企業や組織はサイバーセキュリティインシデントを隠蔽（いんぺい）する傾向があり、被害の全体像の把握は難しいように見える。こうした点に関してゴドフリー氏は「日本企業ではインシデントの隠蔽傾向があるが、これは本質的に企業の失敗と捉える風潮があるためであり、犯罪として攻撃側を責めるという視点の浸透が課題だ」と説明した。

　加えて日本においてはCISOという役職がまだ浸透していない、または設けようとしてもそこまで手が回らなかったり、人材が不足していたりしている現実がある。

　ゴドフリー氏はこうした状況に対して、「企業におけるCISOの肩書そのものは必須ではないが、情報セキュリティに対する明確な責任者を設けることが重要だ」と述べる。

　これは財務リスクに対するCFO（最高財務責任者）や、企業の包括的なリスクに対処するCRO（最高リスク管理責任者）のように、セキュリティリスクにも同様の管理体制やガバナンス、ポリシー、標準、取締役会への報告体制を整備すべきであり、その結果としてCISOのような役職が自然に必要となる、という考え方だ。

　Google Cloudは、「セキュア・バイ・デフォルト」および「セキュア・バイ・デザイン」の原則に基づき、セキュリティを追加コストではなく標準機能として提供することを目指し、その実現を推進している。複雑化したセキュリティツール群を統合・簡素化するプラットフォーム戦略により、運用効率と保護力の向上を図っている。