セキュリティも品質の一部ととらえ、取り組んできた先人が「製造業」
國谷:セキュリティも含めた品質を重視する姿勢は、国の方針があってどうこうというのではなく、各企業がそれぞれ自発的に意識していたことなのでしょうか?
武田氏:そうだと思います。私が昔セキュリティに興味を持つきっかけとなったメーカーさんも、自動車メーカーさんも、海外と戦い、グローバルの常識で動いている製造業の会社です。製品品質を高めるためにやるべきことをちゃんと知っており、それに必要な人材育成やキャリアパスにもお金を出す、という取り組みをきちんとやっていました。最近の政府の方針も、むしろそうした正しいパターンに追随したものかもしれません。
國谷:これまでのサイバーセキュリティ対策の負債を一掃するヒントがありそうでしょうか。
武田氏:ベリサーブが取り組んでいる内容って、実は、製造業がずっと取り組んでいたことなんです。情報システムは外部のベンダーに依頼するケースが多いのですが、製品の開発部門に関しては自分たちの領地であり、メインの領域なので、絶対に守るんですよね。
その製品にITやソフトウェアも内包されるようになってきたため、以前は「セキュリティなんてやりたくない」という声もありましたが、今やそうも言っていられなくなりました。製品がハッキングされると何百億、何千億という損失が出ることになります。ですので外部からセキュリティの実績を持つ人を引っ張ってきて、製品品質を高めるのと同じ流れで本気でセキュリティ対策に取り組んでいます。
情報システム部門が取り組んできたセキュリティは、基本的に個人情報を守るためのもので、「ないよりはあった方がいい」「同業他社よりはちゃんとやっておきたい」くらいの話であり、そこまでちゃんとしていなかったんんですよね。ですがそれでは機密情報を守れないかもしれません。守れなければ、会社はつぶれてしまかもしれません。そういう意識で日本を代表するグローバル企業が取り組んでいるセキュリティの方が筋としてもいいものだと思いますし、それが「品質」という言葉に置き換えられるんだろうと思います。それが面白いなと思ったことが、この市場に飛び込んだ理由です。
國谷:やっぱり「品質」が一つのキーワードなんですね。セキュリティというと、認証を取らなくてはいけなかったり、上から落ちて来たガイドラインに対応しなければいけないといったやらされ感があったと思いますが、品質の観点で考え、その中にセキュリティも含まれるとなると逆にモチベーションになりますよね。それをお手伝いしていくのがベリサーブさんということですね。
武田氏:品質というものは非常に重要で、一度リコールが起これば会社の存亡に関わるほどの危機につながります。製造業にはそういう要求に応えてきた歴史がありました。そして今、品質の一部にセキュリティ要件が含まれるようになり、しかもその比率がどんどん大きくなっています。ですので、セキュリティ分野の人間が果たせる役割も大きくなっていると思います。
SBOMも元をたどれば製造業、やり方を参考に品質本意のセキュリティを
國谷:品質という観点では、最近注目されている「SBOM」との関係はどうなりますか?
武田氏:SBOMはソフトウェア部品表の略ですよね。BOMとは部品表で、僕は昔所属していた会社のあるプロジェクト絵、メーカーでの仕事の仕方を学ばせてもらったことがありました。そのときに言われたのが、「なんでシステム屋は、そんなことさえできていないんだ」ということです。たとえばPCを作るのに部品表がなく、材質がわからなければ、後で困るに決まっていますよね。
システムも、きちんと可視化できて、何がどうなっているのかがわかればいいんですけれど、ドックイヤーやラットイヤーという時代の中で、「後からパッチを当てればOK」という文化ができてしまいました。OSSの場合はさらに難しい事情があります。OSSはコミュニティの中で「作りたい」と思う人たちが集まって作っているものであり、人のやることですから、やりたくなくなる時期もあるんですよね。そこをうまく管理しろといってもなかなか難しい部分があります。
そんなパンドラの箱のような状況が怖くてみんな蓋をしてきたんですが、Log4Jの脆弱性のようなものが出てきて、いよいよ、もうそれではセキュリティ上だめだということになり、バイデン大統領が大統領令を出してSBOMに取り組もうとする流れが出てきているわけです。
日本でもブームになりつつあり、台帳型インターフェイスのものがSBOM用として出てきたりしていますが、それよりも僕は、BOMというものをきちんと持っていた製造業のやり方を尊重し、きちんとしたものを作っていこうという話をしていくのがいいと思います。ここではむしろスピード感よりも、安定稼働や安全に使える環境をちゃんと作ることを重視すべきであり、それを象徴するのがBOMというものだと思います。
例えば軍隊だと、ヤカンと電気ポットのどちらを選ぶかというと、部品の少ないヤカンが選ばれますよね。それと同じで、システムの品質基準を厳重にしていくならば、枯れた技術が選択されると思います。きちんとしておくべきところには枯れてセキュリティ的にも防御しやすいものを入れる一方、スピードが優先されるものはリスクがあることを認識して使うといった使い分けが、BOMとSBOMによって管理できるようになると思います。
國谷:こうした潮流とベリサーブはどのような関係になるのでしょう?
武田氏:ベリサーブはこの分野で最も実績ある会社の一つで、こうした動向も、面白いと思いながら追いかけています。そのベリサーブの顧客であるちゃんとした製造業の会社では、アサインベースではなくて、プロダクトを作るために必要なことがあればきちんと担当者を置き、どう品質を高めていくかを考えてきました。ソフトウェアやクラウドは、適当にパラメータを入れても動いてしまう部分がありますが、そうでないと、きちんとしたものができないんですよね。
セキュリティも品質の一部と考えると、メーカーのやり方には一日の長があります。そういう製造業の仕組みにならって、壁やセンサーを次々に追加していくのとは異なるセキュリティ対策をスタートしてみたいと考えています。