「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は：辻伸弘氏×GMOイエラエ阿部慎司氏ロング対談【前編】（1/2 ページ）

[宮田健，ITmedia]

　スマートフォンとインターネットが生活に当たり前のように入り込み、さまざまなビジネスでもオンラインを無視することができなくなった。それに伴い、サイバーセキュリティの重要性は高まってきている。しかし、肝心のセキュリティ人材は不足しており、サイバーインシデントは絶えない。

　一方その現場には、セキュリティのために働く人々がいる。ITmedia NEWSでは、その“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る企画をスタートする。

　第1回となる今回は、日本セキュリティオペレーション事業者協議会（ISOG-J）の「セキュリティ対応組織の教科書」やITU-T国際標準勧告「X.1060」を執筆し、GMOサイバーセキュリティ byイエラエでSOC（Security Operation Center）事業を立ち上げた阿部慎司氏を迎え、SOC人材の未来やサイバーセキュリティの理想を語り合った。その対談の様子を前後編でお届けする。

阿部慎司氏（左）、辻伸弘氏（右）

プロフィール：GMOサイバーセキュリティ by イエラエ　阿部慎司氏

サイバーセキュリティ事業本部 執行役員兼副本部長。大手電気通信事業者にてSOC責任者やITU-Tでの国際標準化活動を経験後、GMOイエラエにてSOCイノベーション事業を立ち上げ。ISOG-JやSOCYETI、IPA専門委員など幅広く活動。CISSP。

プロフィール：SBテクノロジー 辻伸弘氏

コンピュータの専門学校に通いながら、サイバーセキュリティを手探りで学び、侵入テストの仕事に就きたくて上京。現在は、侵入テストだけでなく、事件・事故を調査するセキュリティリサーチの仕事にも携わっている。侵入テストで培った攻撃者視点や分析力と、リサーチで得た情報・知識を基に、執筆や講演などのエバンジェリストとしても幅広く活動する。

日本企業のセキュリティは「3周目」が多い？

──まずは、阿部さんが携わる業務についてお聞かせください

阿部氏（以下敬称略）：私は今、GMOサイバーセキュリティ byイエラエで、SOC（Security Operation Center）事業の立ち上げという、“守り”の事業の責任者をやらせてもらっています。

　イエラエもペネトレーションテストなど、攻めのセキュリティが主でしたが、やはり守り側もやらないと不十分ではないかというのが組織の課題として上がってきており、いま、さまざまに取り組んでいる段階です。前職もNTT系列のグループでも責任者をやっていて、ずっとSOCに携わってきました。

辻氏（以下敬称略）：SOCに携わったのは、どういったきっかけだったんですか？

阿部：SOC人生のきっかけはただの“配属ガチャ”で、それまではセキュリティも何もない、単なるシステムエンジニアでした。いま思うとセキュリティには縁があって、お客さまが他社に診断を依頼して、その結果をなぜか自分が精査するという。それがセキュリティとの最初の出会いで、印象は最悪でした（笑）。

辻：僕のスタートの印象と一緒ですね（笑）。本来は、診断側が精査すべきなんですけどね。

──最近、国内でもインシデントが多発しています。サイバー空間のこの変化をどう見ていますか？

阿部：ここ数年での大きな変化は、見る範囲が明らかに増えたことではないかと思います。分かりやすい部分では、クラウド活用により、単純に守らなければならない範囲が増えている。それに合わせて攻撃の対象も連動して増えていますね。

辻：長いSOCのキャリアで、守るポイントの変化以外に、なにか変わったと思う点はありますか？

阿部：セキュリティの体制を含め、お客さまの様子を見ていると「いま3周目かな？」と感じています。どのお客さまも同じ場所にいるというより、みんな同じような「3周」を走っているように思えます。

　まず「0周目」は、わけも分からずシステム担当が割り振られ「総務がセキュリティやらなきゃ」となったり「セキュリティ専任もいないし、どこにアウトソースしているわけでもないけど、1人情シスがやらされて責任を負う」みたいになったりする段階です。みんなそこからスタートします。

　それを経て、次の「1周目」。初めてアウトソースとして、SOCを入れてみようか、昔ならUTM（統合脅威管理）を導入して、そういやそこにサービスが付いていたな、使ってみようかな、と組み立てていく。

　「2周目」に入っていくと、それまででいろいろ学んで、自分たちはここまでやらなきゃいけないんだということを知る。でも、まだ専門性も足りず、やっぱり部分的にアウトソースが必要だと判断できるようになる。要するに、インソースとアウトソースを区別できるようになるのが2周目です。

　「3周目」にいけばもう自信が付いているので、ここは自分たちでやればいいんじゃないかと、内製化思考が始まる。これを経て「4周目」にいければ、かなり内製化ができるんじゃないかと。

　その観点で考えると、お客さまのセキュリティ運用の慣れ具合を見て、輪廻がまわってきているな、と感じることもあります。「しゃべっているとこの会社何周目か分かる」みたいな。

辻：人間何回目だ、みたいな感じだ（笑）。大きな会社だと早くから回り始めているという感じですよね。日本は99％以上が「中小規模の企業」だと思うんですが、中小だといまどのへんにいると思いますか？

阿部：300人規模の“小企業”だと、まだ1周目でしょうね。

辻：ああ、やはりまだギャップが大きいと。

阿部：ギャップは本当に大きいですね。数十名規模の企業だとアウトソースすべきものも少ないのですが、200〜300人規模だと、自分たちの大事なサービスがあり、大事なお客さまの情報を持つことになる。経営者の意識も上がり、「よし、次はアウトソースだ」と1周目に入っていく。

　昔と違う点として、いまはガイドラインが業界ごとに作られているので、これまでは手探りでアウトソースできていた分野も、割とそのガイドラインに従って動いている。そのような外圧的というか、事故が発生することを前提としたガイドライン対応が求められています。

辻：親会社の圧とか、取引先からの圧とかもありますよね。

阿部：「ガイドラインのこのチェックシートを丸にしたいんだけど、御社は具体的にどんな対応していますか？」みたいな。さっき挙げた周回の“またぎかた”のトリガーが増えてきています。

辻：セキュリティ対応のきっかけとなる入口は増えてきていますよね。ただ、自分たちでできることとできないことは、自分たちの目できちんと見極められないといけないと思っています。

　任せっぱなしだと、投げて終わりになっちゃうじゃないですか。セキュリティ対応に関して、自分たちが誰かに任せられるもの、そうでないものを理解できるのが理想だと思っているんですけど、中小規模だとまだそこにも到達できていない印象を持っています。

阿部：ガイドラインに書かれていることは把握できるようになったのではないかと思いますが、そこから一歩、具体的に落とし込んだときや、指定されていない部分は判断が難しいのだろうと思います。

辻：日本は「他社はどうしているんだ？」という点には敏感じゃないですか。他より優れる必要はないけど、劣ってはいけないという。今後を考えると、中小規模の企業は「ガイドラインのほんの少し先を意識する」のが良さそうですね。

阿部：その点では、「自動車産業サイバーセキュリティガイドライン」がうまいんですよ。レベルを3段階に分け、徐々に階段を上がっていくように作られています。

参考：自動車産業サイバーセキュリティガイドライン | JAMA - 一般社団法人日本自動車工業会