デジタルトランスフォーメーションは日本企業の喫緊の重要テーマである。しかし、その前には、ITリテラシーの向上やデジタルシフトの推進というクリアすべき課題が横たわる。さらに、セキュリティなきデジタルシフトには予想もしなかった落とし穴が待ち受けている可能性は高い。ITリテラシーを向上させ、デジタル化を推進しながら、企業の重要な資産であるデータを守るにはどうしたら良いのだろうか。今できる最善の方法を考えてみたい。
何も信頼しないゼロトラストというアプローチ
ウィズコロナ時代のニューノーマルとされるテレワークだが、業務の効率化が期待される一方で、セキュリティリスクが高まることも指摘されてきた。厚い壁で守られてきた企業システムにインターネット経由で接続できるようになれば、サイバー攻撃を受けるポイントが拡大し、その分リスクは高まる。
テレワークで利用されているWi-Fi環境は盗み見がされやすく、社内システムにアクセスするためのVPN接続も完璧ではない。まして今回は急ごしらえで一気にテレワークが広がったために、十分にチェックして準備するだけの時間的な余裕もなかった。悪意のある攻撃者はそこを突いてくる。実際に複数の有名企業のVPN情報が流出するという事件も起きた。
しかし、日本企業におけるデジタルシフトは待ったなしだ。いやむしろ新型コロナの感染が拡大したことで、より一層急がれることになる。オフィスワークとテレワークのいずれにも対応したハイブリッドで業務が遂行できる体制を整備できているかは、事業の継続性を左右し、企業としての競争力に大きく影響する。
日本プルーフポイント株式会社代表取締役社長 茂木正之氏
今日本企業の喫緊の課題であるデジタルトランスフォーメーションは、こうしたデジタルシフトの先に位置付けられるものだ。幅広くセキュリティソリューションを提供する米国プルーフポイントの日本法人、日本プルーフポイント株式会社の代表取締役社長に今年3月に就任した茂木正之氏は「デジタルトランスフォーメーションには2つの側面があります」と話す。
「1つはビジネスのルールを根底から変えてしまう“ゲームチェンジャー”になることです。今あるゲームを変え、自分自身も変わっていきます。これは攻めの側面です。もう1つの側面はリスクマネジメント。守りの側面です。現状を変えるということは、想定外のリスクも生じるということ。そこで注目されているのが“ゼロトラスト”というアプローチです」(茂木氏)。
ゼロトラストとは、インターネットから社内システムに入る境界を守って安全を確保するのではなく、全てのトラフィックを信頼しないことを前提に守りの体制を整備することだ。アンチウイルスソフトやファイアウォールで守っても、サイバー攻撃を防ぎ切れない現実に対応したものだと言える。
「デジタルトランスフォーメーションに必須となるセキュリティのキーワードとなるのが“ヒューマンゼロトラスト”です。標的型攻撃にしてもフィッシングにしても人が狙われ、操作をすることでマルウェアなどのウイルスに感染し、IDやパスワードが盗まれます。これを前提にセキュリティを再編することが必要になっています」と茂木氏。これまでのような企業レベルではなく、人を中心にセキュリティを考えることを提案する。
目利きだからこそ見えるセキュリティの未来
茂木氏はその経歴から「セキュリティ業界の目利き」と言われる。日本オラクルで常務執行役員として営業体制の基礎を構築した後、セキュリティ業界に転身したセキュリティ業界の名物経営者である。
セキュリティ業界では、アンチウイルスソフトの草分けであるマカフィーの常務執行役員を皮切りに、標的型攻撃に対応するサンドボックスのファイア・アイの日本法人社長として3年間で売上を9倍に拡大し、エンドポイントを監視し攻撃を発見次第対処するEDR(Endpoint Detection and Response)のサイバーリーズン・ジャパンでは、執行役員社長を務めて日本のEDR市場を開拓してシェアNo.1の30%を獲得した。
長い間セキュリティ業界で活躍してきた茂木氏は「必要なソリューションは必要とされる時に生まれてくるものです。それを自分が世の中に広めていくという気概を持ってやってきました」とこれまでのキャリアを振り返る。その茂木氏が新しい舞台として選んだのが日本プルーフポイントである。
親会社であるプルーフポイントは、2002年に設立された企業向けセキュリティのトップベンダー。当初はメール・セキュリティの分野で製品を提供し、2012年の上場以降、ソーシャルメディアのなりすまし、フィッシングメールなどデジタルリスクに対応した製品を買収して統合することで成長してきた。まさにゲームチェンジを地で行くような企業である。
その同社が注力してきたのが、ゼロトラスト・ネットワークアクセスであり、内部脅威対策であり、さらに社員のセキュリティリテラシーを高めるためのトレーニングである。茂木氏は「プルーフポイントの理念は“People-Centric”セキュリティ。攻撃者は人を狙ってきます。だからこそセキュリティも人を守ることを中心に考えていきます」と同社の基本的な姿勢を説明する。
実際に今最も評価が高いのは、セキュリティ意識を向上させるPSAT(Proofpoint Security Awareness Training)。適切なトレーニングを適切な人に適切なタイミングで提供するものだ。具体的には攻撃シミュレーションを使ったアセスメント、質問による知識評価などの豊富なコンテンツがインタラクティブ形式やゲーム形式、ビデオ形式などで提供される。
「PSATによって誰がどんな弱点を持っているのかがわかり、組織全体のリスクが特定できます。その人に応じたトレーニングを実施して弱点を強化して、人が組織を守る最後の砦となることを支援するだけではなく、その組織に適合したソリューションを提供できるようになります」と茂木氏は語る。
診断に終わらずに具体的なセキュリティの組み合わせまで提案し、その企業にあったセキュリティ環境の構築まで手掛けられるのは、幅広いソリューションをラインナップしている同社ならではのアプローチだと言える。
人を守るセキュリティは大きな効果を生む
デジタルトランスフォーメーションは、多くの場合ITで企業変革を加速させることになる。そこではテレワークと同様にセキュリティが必須であり、むしろ転ばぬ先の杖としてセキュリティに先行して着手し、変革と並行して加速させていくことが望ましい。しかし、日本の経営者はまだまだセキュリティへの意識や理解が進んでいない。
茂木氏は「米国ではアニュアルレポートにサイバーリスクの項目が必ずあります。やるべきことをやっていることを明記することで、セキュリティインシデントで損害が発生しても株主訴訟のリスクを免れることができるからです。やるべきことには、当然社員教育も含まれています」と語る。
先行きの変化が見通せない現状では、ピンポイントのセキュリティ対策では対応できない。基本となるのがゼロトラストというアプローチであり、そこに社員の意識向上、内部脅威対策、標的型攻撃対策の3つの組み合わせが最も効果的だろう。特に社員の意識向上は内部脅威にも、標的型攻撃にも有効な対策となる。どちらも人がインシデントの引き金となるからだ。
同社にとって重要なのはパートナー戦略だ。同社がプロダクトを提供し、日々の運用はパートナーが担うというビジネスモデルを採用している。このビジネスモデルは米国でも日本でも変わらない。ここでも今大きな変化が起きつつある。茂木氏の就任以来たった半年で、日本のパートナー企業が6社から16社に急拡大しているのだ。
さらに大きな動きがグローバルで起きた。8月下旬にEDRセキュリティ大手のCrowdStrike、クラウドセキュリティ大手のNetscope、ID管理サービス大手のOkta、そしてプルーフポイントという今話題のセキュリティベンダー大手4社によるベスト オブ ブリードの統合ソリューションの提供が発表された。それぞれに日本でもパートナー企業があるだけに、日本でのシナジー効果も期待できそうだ。
「日本のサイバーセキュリティ人材の底上げが私の本当の願いです。そのために、日本企業の経営者にはセキュリティの重要性を理解し、人もお金も投資してもらいたい。その意識改革の一助となるような情報をこれからも発信して行きます」と茂木氏は語る。“セキュリティ業界の目利き”である同氏の活動によって、最も重要な企業の資産である人を守るセキュリティが強化されることを期待したい。
プロフィール
日本プルーフポイント株式会社
代表取締役社長 茂木正之氏
|
1983年 |
日本ディジタル・イクイップメント株式会社 入社 |
|
1993年 |
ケイデンス・デザイン・ システムズ社 入社 |
|
1995年 |
日本オラクル株式会社 入社 |
|
2001年 |
日本オラクル株式会社 常務執行役員 就任 子会社ミラクル・リナックス株式会社 代表取締役社長 兼任 |
|
2010年 |
マカフィー社 常務執行役員 就任 |
|
2013年 |
ファイア・アイ株式会社 日本法人社長 就任 |
|
2016年 |
サイバーリーズン・ジャパン株式会社 執行役員社長 就任 |
|
2020年 |
日本プルーフポイント株式会社 代表取締役社長 就任 |
お問い合わせ
日本プルーフポイント株式会社
TEL: 03-6402-5041 (代表)
お問い合わせフォーム: https://www.proofpoint.com/jp/contact
<PR>
