NRIセキュアテクノロジーズは、サプライチェーンやデジタル変革(DX)の領域を狙ったサイバー攻撃に対応するセキュリティ対策に一段と力を入れ始めた。柿木彰社長は「2021年に入ってから、この2つに関するコンサルティングの引き合いが倍増している」とし、2021年後半から2022年にかけて、ソリューションやサービス提供の需要拡大に備える考えを明かした。
NRIセキュアテクノロジーズ 代表取締役社長の柿木彰氏
2000年8月創業の同社は野村総合研究所(NRI)の子会社であり、社内ベンチャーの形で事業をスタートした。セキュリティに関する上流のコンサルティングから診断、監視、ソリューション、教育までをトータルで提供することを強みに、NRIの得意とする金融からサービス、製造業などへと顧客層を広げる。単体の売り上げも200億円を大きく超え、単体社員も約500人の規模に成長する。資格取得などの教育にも力を入れており、研修は1人当たり年168時間に及ぶ。
「クラウド環境になり、境界分離からゼロトラストへとセキュリティの考え方や守り方も変わってきている」(柿木社長)。例えば、グローバル展開する日本企業の緊張度が高まっているセキュリティリスクがある。サプライチェーンへのサイバー攻撃だ。子会社や取引先企業への攻撃を守ることは、事業継続から欠かせないことだが、大きな負担になる。「小さい会社が攻撃されることは、頭の痛い問題でもある」(同氏)
同社 セキュリティアーキテクチャコンサルティング部の山口雅史部長によると、委託先や再委託先が開発や製造した商品やサービスの脆弱性が攻撃されたり、自社のサプライチェーン、つまり子会社や海外拠点が攻撃されたりするという。これらの対策には、商品の出荷前にサプライチェーンの脆弱性をなくすこと。具体的には、商品の開発から製造、出荷までのセキュリティを可視化し、対策する。設計段階からセキュリティを組み込むDevSecOpsを取り入れたり、グループ共通のセキュリティ基盤を構築したりする。
山口部長は「以前からの内部不正などのセキュリティ対策に加えて、サプライチェーンやDXの領域への対策が求められている」と指摘する。攻撃目的も、個人情報からサプライチェーンへシフトしているのは、犯罪者にとって社会的問題が大きくなるほど、高額の金銭要求をしやすくなるからだという。米石油パイプライン会社が5月にランサムウェア攻撃を受けて、輸送サービスが一時停止した。約500万ドルの身代金を支払ったとの報道もある。海外拠点のサーバーが攻撃されて、日本に感染拡大した製造業もある。
DXを実現するための情報システムもサイバーリスクにさらされやすい。コンサルティングをしながら、対策ソリューションを導入する企業も増えている。ただし、多くはNRI経由のものになる。ユーザーが他のSI企業(システムインテグレーター)を使う場合、そこに参画し、セキュリティ部分を担うことはある。創業20年を経過した今、ユーザーに直接選ばれる存在になれるかが、次なる成長に問われることになりそうだ。