人気連載「企業セキュリティの歩き方」の筆者としても知られる武田一城氏は、セキュリティの必要性が今ほど認識されず、「とりあえずアンチウイルスがあればいいんでしょ?」という時代からさまざまなセキュリティソリューションの販売に携わってきた。その経験を通して日本のセキュリティ対策の実態を熟知しているからこそ、時には正面から、時にはさまざまな「ネタ」を駆使して、日本企業のセキュリティ導入・運用や情報システム部門のあり方について問題提起を行ってきた。
その武田氏が先日、ある思いを抱いてソフトウェアテスト企業のベリサーブに転職したという。その理由を、ともに長くセキュリティ業界をウォッチしてきた編集長の國谷武史が尋ねた。
ベリサーブ ソリューション事業部 マーケティング部長
武田一城氏
「これ、誰が運用するの?」——20年以上変わらないIT業界の課題
國谷:武田さんがセキュリティ分野に携わるきっかけは何だったのですか?
武田氏:僕はいわゆる就職氷河期世代で、文系出身でありながらシステムインテグレータに就職しました。そこでWebサーバやデータベースサーバなどのインフラ基盤の構築に携わるようになったんです。その頃はセキュリティ対策はかなり怪しいもので、最低限パッチを当て、あとはファイアウォールかアンチウイルスがあればいい、程度の時代でした。そもそもインフラ設計からして恐ろしくて、外部から見えるDMZにDBサーバを置く環境がいっぱいあった時代です。
その後オープンソースソフトウェア(OSS)に強いSRA OSSに転職しましたが、そこで担当したあるお客様のお話に衝撃を受けたことが転機でした。当時は社内にファイルサーバが立てられ、徐々にイントラネット環境が整備されていく時代で、増え続ける情報の中から必要なものをどう探して活用するかが課題の一つでした。そのお客様もそうした目的で検索アプライアンスを導入したところ、びっくりするくらいいろんな情報が出てきて驚いたそうなんです。
そのお客様が言うには、「これだけ出てきた情報の参照は許可したいけれど、印刷や持ち出しなどは制限したい」ということだったんですね。結果、あるユニークなセキュリティソリューションを導入することになったのですが、自分としては「そういう考え方もあるんだ」と目からうろこでした。情報を活用しようとするとリスクも大きくなるけれど、だからこそそれをちゃんとコントロールするためにセキュリティが必要なんだと気が付き、そこからセキュリティの面白さを感じてこの道に入っていきました。
ちなみに、ベリサーブという会社のことを知ったのもこの頃です。チケット販売サイトのような、急激に大量のアクセスが押し寄せるWebサイトの構築に携わることになって、どうすればこのサイジングが適切にできるのかを相談する中で「第三者検証というものがある」という話になり、テスト企業のベリサーブを知りました。
國谷:その当時から、IT業界に対する問題意識は抱いていたのですか?
武田氏:その頃からずっと引っかかっているのは「運用」なんですよね。私が知っているIT業界って、よほどの大企業以外は、ベンダーさん、システムインテグレータさんに全部お願いしていまう構造で、当時はそれが当たり前だと思っていました。
でもよくよく知るにつけ、「これ、運用は誰がするんだ」ということが固まっていない状態が気になるようになりました。そもそもアメリカやヨーロッパでは、IT運用とはユーザー企業がちゃんと自分たちの手でやるもので、実際、普通にやっていたんですよね。だって、自分たちのビジネスを加速させる大事な要素なんですから。
だけど日本では、「ITはよくわからないものだから、誰かに任せて」という時代が長く続き、エンジニアの立場も今より弱かったですね。歴史を遡って見ると、基本的にハードウェアが偉くて、ソフトウェアはそのオマケ。さらにそのお世話をするのがシステムエンジニアという立場だったので、どうしても立場は弱くなりがちでしたね。
國谷:その頃と今とでIT業界の違いはありますか? やはりクラウドの普及でしょうか。
そうですね。クラウドが普及して一番大変だなと思ったのは、すべて海外に持っていかれて仕事がなくなることですよね。裾野が広がったので市場自体は拡大しているんですが、自給率は昔よりも減っています。今調子がいいのは、クラウドの仕組みに乗っかって安くサービスをばらまく企業ばかりで、クラウドによって日本のモノ作り的な産業が本格的に疲弊し、ITで勝てなくなってきたと実感しています。
一方でセキュリティは、何だかんだいってあまり変わっていないと思います。もちろん、一般の人までセキュリティの重要性が浸透したという意味では良かったのですが、専門家が言っていることはあまり変わっていません。
私はそのころから温泉地のシンポジウムなどに参加していろいろな方から話を聞いたり、「あれってどういうことなの?」と議論するようになり、だいぶいろんなことがわかるようになってきたのですが、この10年間、目立つバズワードだけが手を変え品を変えて出てきただけで、中身はそんなに変わっていません。ゼロトラストなんてその最たるもので、実装方法が決まらないまま終息するという、バズワードとしては新しい終わり方をしていますね。要は、中身がそんなに変わっていないことが課題だと思います。
「サイバーセキュリティ経営ガイドライン」で変わり始めた風向き
國谷:では逆に、この10年間で改善されたと感じることはありますか?
武田氏:ユーザーが参加するようになったことですね。以前は、何かトラブルがあったらベンダーにお願いするのがITの基本パターンで、セキュリティもITの中に含まれるためほぼ同様でした。けれど、SIerさんってだいたいセキュリティは苦手なんですよ。サイバー攻撃に仕様書があればいいんですけれど、ないじゃないですか。攻撃側はモチベーションが高く、成功すれば億単位のお金が手に入る一方、防御側は何かあったら怒られて、成功してもお金は特に増えないという、けっこうつらい状況でした。
それがだいぶ変わりました。これは経産省のファインプレーで、2015年の「サイバーセキュリティ経営ガイドライン」で風向きがめちゃくちゃ変わりましたね。これを機にユーザー企業にもセキュリティ責任者が必要だという理解が進み、やる以上はきちんと対策しようと考える大手企業が、CISSPなどの資格を持つ技術者に課長級のお金を出して人を集め始めたんですよ。これでセキュリティエンジニアが高いお給料をもらえるようになり、セキュリティの話がわかる人がユーザー企業側にも来たので、「ちゃんとセキュリティを高めるためにはどうしたらいいか」という話ができるようになりました。
國谷:きちんと人にお金が付くようになったのが大きいのですね。
武田氏:それまでは、限られた予算の中で次世代ファイアウォールやEDRなどを導入したらおしまいで、「運用のお金は?」「ないですね」という感じだったんですよ。太平洋戦争末期のように、飛行機はあってもパイロットがいないから回せませんという状況で、セキュリティの運用者がそろわなかったんです。でも、こういった人材って促成栽培ができない分野で、速くは育ちません。だから結局、「アラートは飛びます、だけど中は見ません」という無茶な状況が通っちゃっていたんですよね。
國谷:ログもそうですね。
武田氏:ですね。「ログは取っています、でも見ません。見方がわかりません」「ですよねー」で終わっちゃっていました。おそらく、2011年に起きた標的型攻撃事件が大きく影響していたと思います。もっとも、その後しばらくは、「人が必要です、人を育てましょう」「でもキャリアパスがありません」「それじゃ誰もならないよね……」という話の堂々巡りでしたが、それがようやくサイバーセキュリティ経営ガイドラインで変わりました。
國谷:そういう課題を克服するのに必要なピースが、やっとそろってきたんですよね。
武田氏:そうですね。それまでは、「セキュリティが大事だよ」といっても全然響きませんでした。なのでこちらも、その状況を何とか変えようと思って、とっつきやすいようにガンダムを取り入れた記事を書いたりして、「あ、なるほどね」と理解してくれる人 が増えればと考えていました。そのおかげではないと思いますが、やっぱり国が動いたのは非常に大きかったですね。
國谷:それでもまだ課題は残っているのでしょうか。
武田氏:変わっていない部分はあります。システム全体がセキュアになれば、攻撃をしても全然儲からず、攻撃者にとっては割の合わない仕事になるはずじゃないですか。ですが今の時点では逆で、悪用できる技術があり、それを高額で購入できてしまう一種のエコシステムが勝手にできあがっており、それでサイバー犯罪がうまくいっている部分があります。ですから、あらゆるシステムがセキュアになってくればいいはずです。そういう意味で、実はずっと気になっていたのが、ソフトウェアやシステムの品質だったんですね。その品質確保にきちんと取り組んでいたのがベリサーブであり、自動車業界をはじめとする日本の製造業だった、いうことなんです。
