日本のセキュリティ業界を底上げする––GSXがコンサルから教育へとシフトする理由

GSXが体制を刷新するワケ

――今回、新体制になるとのことですが、まず、既存のビジネスについてうかがいます。これまでどのようなビジネスをされてきたのでしょうか？

青柳史郎氏（以下、青柳）：GSXは2000年に設立されて以来一貫して、セキュリティに特化したコンサルやサービスをご提供しているセキュリティの専門会社です。

親会社が「ビジネスブレイン太田昭和」という監査法人系の会計コンサル会社で、基幹システムの構築やコンサルをやっている会社ですので、外部からの見え方としても、第三者的な要素が強い独立系のセキュリティ専門会社だと思います。

主流のビジネスとしては、「脆弱性診断」「コンサルティング」「サイバーセキュリティサービス」という3つです。

脆弱性診断チームには、いわゆる「ホワイトハッカー」が居り、お客さまのWebサイトに対して脆弱性を突くハッカーがデータベースからデータを抜くという行為が多いので、そこにセキュリティホールがないかを確認する部隊です。これが1つです。

2つ目がコンサルティングです。情報・データを守るというより、企業内で情報のルールをつくる、体制をつくるなど、そういったことを支援する事業です。ですが、現在コンサルティング部隊で一番多いのはそういったルール設計ではありません。

今、官公庁が2020年のオリンピックに向けて、「サイバーセキュリティ対策をしないとダメだよ」という号令を企業に対して出していて、それに対して企業が、国が求めていることと自社のセキュリティにどれだけのギャップがあって、そのギャップに対してどんな対策をしないと国の監査が通らないのか、「アセスメント」という言い方をしていますが、それが今一番多いコンサルティングのニーズになります。ここには「セキュリティコンサルタント」を配置しています。

セキュリティ訓練サービスを作って、教育を行なう

青柳：一方で、「サイバーセキュリティサービス」というのは、マネジメントコンサル側ではなくてテクニカルエンジニアです。サイバーセキュリティは各種防御や、防御したあとにそれでも入って来た痕跡をどうやって見つけるか、どういう情報が漏れたのかを解析します。その防御する製品を導入するところまでがテクニカルエンジニアの役割で、その部隊がサイバーセキュリティサービスになります。

もともと3つの事業でビジネスをやってきたんですが、なかなかそれだけだと会社として大きな成長が遂げられないという思いもありました。2014年ぐらいからセキュリティ業界は一気に「人が足りない」と言われ始めて、我が国はセキュリティ人材が2020年までに19.3万人不足するとも言われています。

実際になにが足りないかというと、2つあります。1つは、企業さんの中にセキュリティがわかる人材がいないこと。もう1つは、いろんな企業を守るために防御を提案したり、実際に防御したり、ルールを決めたり、定期的に監査を実施するセキュリティベンダーの人間すらも足りなくなっています。

そんな状況が4年前ぐらいから顕著に出てきたので、我々としては「そういう人材を輩出する側に回っていこう」「今までやってきたコンサルやハッカーの知見を基にセキュリティ人材を育てて、総合的にビジネスをしよう」ということで4つの目の事業を2年前から始めました。ですので、今まではこの3つの事業をやっていましたが、今の日本の置かれている環境を踏まえ2年ほど前から教育事業を始めたという状況です。

以前は愉快犯だったが、今はハッキングがビジネス化している

――先ほど、「2014年くらいから人が足りないと言われ始めた」とおっしゃっていましたが、その要因は何でしょうか？

青柳：いくつか要素があるんですが、一番の要因はセキュリティインシデントが急増したということです。今までは愉快犯的な攻撃者が多かったんですよね。ハクティビスト（注：ハック＋アクティビスト＝社会的・政治的な活動としてハッキングする人）が、人の顔を悪い仮面をかぶった顔に書き換えてしまう、というような。

ただ2014年くらいからは、その目的がどんどん金銭化してきています。

今、GSXでも警鐘を鳴らしていますが、ブラックマーケットはとても盛んになっており、盗った情報が簡単に売れてしまう仕組みが形成されています。またこのブラックマ―ケットが売買しやすいようによくできているんです。

さらにビットコインなどの仮想通貨が台頭してきたので、今までは金銭の授受も現金での危険なやりとりがありましたが、今はもう仮想通貨で済ませてしまうので、盗った情報がリスク少なく簡単に売れてしまう。それが3〜4年ぐらい前からどんどん顕著になってきています。

一方、国が「東京オリンピックを成功させなければいけない」というなかで、オリンピックのときに、インフラや電車が止まってしまうなど、国の威信に関わるようなことだけはどうしても防がないといけない。ですから先ほどのインシデントが増えたことも含め、国が大まかな指針として各種ガイドラインを提唱し、各企業もその対策が急ピッチで進んでいます。

情報漏えいの2つのパターン

青柳：情報漏えいは大きく2つあって、1つは個人情報です。「何万件流出しました」という事例ですね。非常にわかりやすいですね。これは被害者が個人の方ですので企業としては謝罪が求められます。500円のQUOカードをみなさんに配って「ごめんなさい」をする感じですね。

ですが実態として多いと言われているのは、企業の中の情報が盗まれるパターンです。例えば、営業機密情報と呼ばれている情報が流出することです。その企業は気づいたとしても表沙汰にすることが多くありません。なぜならば被害者が一般市民ではなく自分たちだから。つまり、事件は数え切れないほど起きているけれど公表されていないことが多いのが現状です。ただ、やられる側としては、それを盗られたらその企業の存続に関わる経営リスクになるのでとにかく守る必要があります。

巧妙化するマルウェア

――それはデータをクラウドで管理するようになり、これまでは自社のサーバに置いていたものをネット上に管理するようになったから、という側面もあるのでしょうか？

青柳：それもあると思いますが、一番大きな側面は攻撃対象が増えているとうことだと思います。少し前までは、攻撃の入り口がWebで公開しているサーバであるケースが多く、とにかくサーバの脆弱性をなくせば対策できるお話が多かったのですが、今は社員のPCやネットワーク機器も攻撃の対象となります。

例えば自分の仕事用のアドレスにメールが送られてきて、明らかに取引先の会社さんで「見積もりを作ったので確認してください」となりすまして送られてきたら、添付ファイル開くじゃないですか。

――そうですね。

青柳：そうすると、その添付ファイルにウイルスが隠されていて、気づかないまま感染してしまいます。

みなさんアンチウイルスソフトが個人のPCにインストールされていると思いますが、そのウイルスは全部ワクチンが決まっているのでアンチウイルスソフトがワクチンを持っているところは捕まえられますが、そのワクチンにないパターンの新しいマルウェアが入ってくると、ワクチンが更新される前の数日間はなにも反応しないんですよ。

つまり、感染に気づかないでいつの間にか情報を盗られていく。昔みたいに感染したらパソコンが重たくなるということは、今はありませんよね。ですので、狙いが公開されているサーバから情報を多く持っているエンドポイント側にどんどん変わってきています。

GSXでは、このようなマルウェア攻撃を疑似体験できるメール訓練サービスがとても売れており、業界でシェア1位を取らせてもらっています。これはなにかというと、例えばある会社さんの社員全員に無害の疑似マルウェアを送ります。「社長からの期初メッセージです。必ず読んでください」というメッセージが送られて「ああ、そっか。添付のPDFに書いてあるんだな」と思ってクリックすると、イエローカード、という感じで「これもし本当だったらやられてますよ。気をつけてください」というサービスを展開しています。最終的にそれを集計して、「どのぐらいの人が開いていますから、御社はこういう対策をしないとまずいです」というまとめをやり、お客様に気づいてもらえる努力をします。

ところで、市場にはIT技術者はたくさんいるのですが、セキュリティエンジニアとなるとやはりハードルが高いです。ネットワークのエンジニアがそのままセキュリティのエンジニアになれるかというと、もともとの素養なども影響すると思いますが、覚える知識領域が少し違うということも、エンジニアが増えない要素の1つだと思います。

日本と海外のエンジニアの環境差

――では、視点を少し変えて、日本と海外ではセキュリティ人材の質や量にどのような違いがあるのか？についておうかがいします。日本と海外のエンジニアの環境を比較した時、海外と比べて単純にプロフェッショナルの母数が少ないのか、それとも関わっている案件や技術力で差があるのでしょうか？

青柳：僕は質はそれほど悪くないと思っています。それよりも、やはり量が絶対的に足りていないというのが大きなところですね。IT技術者におけるセキュリティ技術者の割合は、海外から比べてもすごく低いです。

例えばアメリカはセキュリティエンジニアの給料が高いんです。そもそもエンジニアの給料が高いですが、企業の中にいるセキュリティ担当も高いんですね。CISO、Chief Information Security Officerという役職はアメリカをはじめとした海外ではすでに確立されていて、この人たちには絶対的な権力があります。

一方日本では情報システム部長が兼ねていたりCIOが名前だけ兼ねていたり。待遇がぜんぜん違うので、どちらかというと、そこを目指しても海外のようにうまみがない。また一般のエンジニアに対しての待遇も海外の方が高い。受け入れの体制や評価システムがまだまだ整っていないというところですね。

ただ、この数年日本でも世の中に強く求められるようになってきていて、転職マーケットでも価値が上がっているので、みんな気づき始めたんですが、前述のように簡単にセキュリテ

ィエンジニアには転換できないので、絶対数が足りなくなっています。

総合的な「サイバーセキュリティ教育カンパニー」に生まれ変わる

――では、今後の事業展開についておうかがいします。現在、セキュリティ技術者が不足しているというお話がありましたが、今後GSXはそれに対してどのような取り組みを行うのでしょうか？

青柳：GSXの存在意義を変えようと思っており、総合的な「サイバーセキュリティ教育カンパニー」にしたいと考えています。

今までは、セキュリティ提供会社としてホワイトハッカーがいて、コンサルタントがいて、サイバー製品を導入させていただく。ここが事業ドメインでした。もちろんそのご要望もまだまだありますが、我々は前述したセキュリティエンジニア不足、それによる企業あるいは国を守れる人が少ないことにおいても会社として役立ちたいと思っています。それは、我々がセキュリティコンサルやサービスに加え、セキュリティ教育ビジネスにここ数年力を入れてきたからこそ掲げられる目標でありビジョンであると思っています。

直接的な教育貢献としては、先ほどのメール訓練で企業の情報セキュリティリテラシーを上げる訓練をするような話ですね。こうしたマルウェアを常に気をつけるような教育をちゃんと社員の人にしましょう、というお話です。

そしてもう1つが、EC-Councilという世界的に評価されているサイバーセキュリティの資格があります。この取得者を増やすために、弊社で開いている講座を受けていただくことで、（合格すれば）国際的に認められた資格が得られます。これで「セキュリティエンジニアを多く増やす」という話です。

また、間接的な教育貢献としては、脆弱性診断の場合「こういう脆弱性が見つかりました。危険度が高いので、このセキュリティホールに対して、今後は○○に気をつけてプログラムしてください」とお客さまに教育をさせていただく。あるいは、セキュリティコンサルの場合、現状調査やアセスメントをした結果、ロードマップをスキルトランスファーしながらお客様と作ったり、ひな型やテンプレートもご提供しながら、お客さまのなかである程度できるようなかたちで教育をしていく。

最終的には「お客さまの情報セキュリティリテラシーを上げていただく」というところに意識しながら、すべての事業が教育のほうに動くようなかたちに変わっていきたいんです。ですから、直接的なものと間接的なものの組み合わせで総合的な「サイバーセキュリティ教育カンパニー」になりたいと思います。

成功報酬型でマーケティングを販売し、業界を強化していく

青柳：もう1つ注力する事業ドメインは、セキュリティに特化した再生支援事業です。これは新規事業です。これなにかというと、サイバーセキュリティを扱っているサービスや製品はすでにたくさんあるわけです。日本のものもあれば、海外から進出してきてそれを日本で展開したいというケースもあります。

そのときに、様々なご相談を受けていました。例えば「日本のマーケティングがよくわからない」や日本発のベンチャーだと「テクノロジーはすごい人が作ってるんだけど、営業が弱い。販路がない」などですね。

あとは、「プレゼンスを外でどう高めるか」が重要になるんですけど、そのプレゼンスを上げられる広告塔がいない、スポークスマンがいない。プリセールスですよね。実際にお客さまのところに行って、いい製品なんだけど、それをまとめられる技術営業の人がいないといったことです。

あるいはその資金自体が、うまく集まらないなど。営業系もマーケティング系も技術系も財務系も、多種多様な要素があってなかなかスケールしないベンチャーさんや、いい製品、あるいはいい製品を持っている一事業部というのはたくさんあるんです。

そうした相談を受けたところに対して、弊社からプロジェクトメンバーを派遣する。例えばマーケティングと営業のメンバー、あるいはマーケティングと財務がわかるメンバーを派遣するといったかたちで、セキュリティ業界の会社さんを支援し、完全に成功報酬型や株で報酬をいただく。固定費のような費用感のないお支払い条件にして「成功すればお金を払う」といった形態を検討しています。

そうすると我々としても、その会社が成長していけばもちろん報酬もありますし、株という話もあります。ですが、これをなぜやるのかと言えば、ここに特化して支援した会社さんが増えていけば、不足しているセキュリティのパーソンを増やすことができるわけです。

そうするとまた守れる会社さんが増えて、結果としてセキュリティ業界を活性化させる、あるいはエンジニアを育てる、企業のセキュリティリテラシーを上げる、国全体のセキュリティを上げる。そうしたことを我々は実現したいと考えています。

――なるほど。再生支援事業が始まる前から、同様のご相談は多かったのでしょうか？

青柳：多いですね。多いと言ってもラフなご相談なんですが、「最近めっきり市場で勝てなくちゃったんだけど……」「どうやったらもっと案件増えるかな？」といった話から、もっと重たい「売れていかないと撤退しなきゃいけないから」などいろいろありますけどね。いろいろなレベル感はあります。

執行部の若返りでエネルギッシュに大義を果たす

――　今回、総合的な「サイバーセキュリティ教育カンパニー」に生まれ変わっていくなかで、経営体制も大きく変更になりました。この背景を教えてください。

青柳：1つは、経営陣の若返りです。もう1つは、こういう大義なので、ビジネスをどうするか、常にアクティブに動き続ける幹部メンバーの集まりでなければなかなか難しい。弊社のように「国を守っていく」「IPOする」ということを掲げていると、殿様タイプの経営陣ではダメなんです。

経営陣や幹部が率先してビジネスを動かし、会社を成長させる。自分たちが強い思いと覚悟をもってそれぞれ牽引するようなトップでなければいけないと思っています。

今回執行役員になった4人はみな強みを持っていて、会社経営経験、テクノロジーリーダー、コンサルリーダー、あとはエバンジェリスト、それぞれ強い特長を持っている人間が経営に携わることになります。

僕も含めて、全員40代の経営メンバーで回します。今後走って大義を果たすには、そうしたエネルギッシュなメンバーでなければならないというのが一番大きな理由です。

IPOに向けた経営舵取りと国を守る

――御社は「IPO」を掲げていますが、これはどういった理由や狙いで決められたのでしょうか？

青柳：「上場する（IPO）」の目的ですが、親会社が上場企業ですから業界の中で「一部上場企業グループ」と見られているんです。ですがそうではなくて、我々が単体で上場し、お客さまへの認知度を上げて、お客さまに安心してサービスを利用していただくとともに、自分たちが5年後・10年後まで見据えた確固たるポジションを業界内につくるのが1つです。

そしてもう1つの理由は、会社としてそういった財務基盤や未来へのストーリーが上場することで見えてくれば、社員の人は安心して技術を学べる、お客さまのためにお仕事ができるという、社員に対してそういう環境を用意したいということですね。これがIPOする理由になります。また、会社としてはそれでいいとしても、従業員たちは何のために仕事をしているのか。もちろん技術を学びたい、能力をスキルアップしたいという話はあると思いますが、大義的に言うと国がこういう状況で、たまたま我々は国を守ることができる状況・場所にいます。

つまり、仕事をすることで、結果的にみんながそれぞれ国を守っている。そういう国を守っているという概念や思いを強く持っていれば、正義がある、大義があるというところに自分たちの満足感みたいなものが出るんじゃないかと思っています。

我々としては、企業を守ったりセキュリティエンジニアを生み出すことが国を守ることなんだ、ということにつなげようということで、国を守るという発想にしました。

東南アジアに市場を広げていきグローバルな教育を行なう

――では最後に、GSXのこれからについてお話いただければと思います。先ほど、2021年度に向けてIPOというお話もありましたね。

青柳：繰り返しになりますが、総合的な「サイバーセキュリティ教育カンパニー」になるということに尽きます。3つの既存事業においてもお客さまを教育させていただきますし、直接的な教育事業もやるということですね。特化型の再生支援事業についても、その教育の母数を増やしていくというかたちで、日本の国を守るという大義を持ってIPOしようと思っています。

それと並行して東南アジアに市場を広げていきたいと思っています。僕もこの1年でよく東南アジアに行っているんですが、タイもそうですし、マレーシアやベトナムもそうで、昔の日本一番高度経済成長期に非常に似ているなと感じています。

ですので、いつか彼らが大きく成長したときには、ITをどう使うかという話とともに、ITで使ったデータやシステムをどう守っていくのか、という話は絶対に出てくると思います。

我々としては、今、日本でのサイバーセキュリティ教育のモデルを東南アジアにも広げて、海外や東南アジアで展開していきたいですね。これが一番目標に向かっていきたいところであります。

短期的にIPOを目指しながら、中期的に並行してアジアに輸出していきたいと考えています。

――ありがとうございました。