GSXが体制を刷新するワケ

――今回、新体制になるとのことですが、まず、既存のビジネスについてうかがいます。これまでどのようなビジネスをされてきたのでしょうか?

青柳史郎氏(以下、青柳):GSXは2000年に設立されて以来一貫して、セキュリティに特化したコンサルやサービスをご提供しているセキュリティの専門会社です。

親会社が「ビジネスブレイン太田昭和」という監査法人系の会計コンサル会社で、基幹システムの構築やコンサルをやっている会社ですので、外部からの見え方としても、第三者的な要素が強い独立系のセキュリティ専門会社だと思います。

主流のビジネスとしては、「脆弱性診断」「コンサルティング」「サイバーセキュリティサービス」という3つです。

脆弱性診断チームには、いわゆる「ホワイトハッカー」が居り、お客さまのWebサイトに対して脆弱性を突くハッカーがデータベースからデータを抜くという行為が多いので、そこにセキュリティホールがないかを確認する部隊です。これが1つです。

2つ目がコンサルティングです。情報・データを守るというより、企業内で情報のルールをつくる、体制をつくるなど、そういったことを支援する事業です。ですが、現在コンサルティング部隊で一番多いのはそういったルール設計ではありません。

今、官公庁が2020年のオリンピックに向けて、「サイバーセキュリティ対策をしないとダメだよ」という号令を企業に対して出していて、それに対して企業が、国が求めていることと自社のセキュリティにどれだけのギャップがあって、そのギャップに対してどんな対策をしないと国の監査が通らないのか、「アセスメント」という言い方をしていますが、それが今一番多いコンサルティングのニーズになります。ここには「セキュリティコンサルタント」を配置しています。

セキュリティ訓練サービスを作って、教育を行なう

青柳:一方で、「サイバーセキュリティサービス」というのは、マネジメントコンサル側ではなくてテクニカルエンジニアです。サイバーセキュリティは各種防御や、防御したあとにそれでも入って来た痕跡をどうやって見つけるか、どういう情報が漏れたのかを解析します。その防御する製品を導入するところまでがテクニカルエンジニアの役割で、その部隊がサイバーセキュリティサービスになります。

もともと3つの事業でビジネスをやってきたんですが、なかなかそれだけだと会社として大きな成長が遂げられないという思いもありました。2014年ぐらいからセキュリティ業界は一気に「人が足りない」と言われ始めて、我が国はセキュリティ人材が2020年までに19.3万人不足するとも言われています。

実際になにが足りないかというと、2つあります。1つは、企業さんの中にセキュリティがわかる人材がいないこと。もう1つは、いろんな企業を守るために防御を提案したり、実際に防御したり、ルールを決めたり、定期的に監査を実施するセキュリティベンダーの人間すらも足りなくなっています。

そんな状況が4年前ぐらいから顕著に出てきたので、我々としては「そういう人材を輩出する側に回っていこう」「今までやってきたコンサルやハッカーの知見を基にセキュリティ人材を育てて、総合的にビジネスをしよう」ということで4つの目の事業を2年前から始めました。ですので、今まではこの3つの事業をやっていましたが、今の日本の置かれている環境を踏まえ2年ほど前から教育事業を始めたという状況です。

以前は愉快犯だったが、今はハッキングがビジネス化している

――先ほど、「2014年くらいから人が足りないと言われ始めた」とおっしゃっていましたが、その要因は何でしょうか?

青柳:いくつか要素があるんですが、一番の要因はセキュリティインシデントが急増したということです。今までは愉快犯的な攻撃者が多かったんですよね。ハクティビスト(注:ハック+アクティビスト=社会的・政治的な活動としてハッキングする人)が、人の顔を悪い仮面をかぶった顔に書き換えてしまう、というような。

ただ2014年くらいからは、その目的がどんどん金銭化してきています。

今、GSXでも警鐘を鳴らしていますが、ブラックマーケットはとても盛んになっており、盗った情報が簡単に売れてしまう仕組みが形成されています。またこのブラックマ―ケットが売買しやすいようによくできているんです。

さらにビットコインなどの仮想通貨が台頭してきたので、今までは金銭の授受も現金での危険なやりとりがありましたが、今はもう仮想通貨で済ませてしまうので、盗った情報がリスク少なく簡単に売れてしまう。それが3〜4年ぐらい前からどんどん顕著になってきています。

一方、国が「東京オリンピックを成功させなければいけない」というなかで、オリンピックのときに、インフラや電車が止まってしまうなど、国の威信に関わるようなことだけはどうしても防がないといけない。ですから先ほどのインシデントが増えたことも含め、国が大まかな指針として各種ガイドラインを提唱し、各企業もその対策が急ピッチで進んでいます。

情報漏えいの2つのパターン

青柳:情報漏えいは大きく2つあって、1つは個人情報です。「何万件流出しました」という事例ですね。非常にわかりやすいですね。これは被害者が個人の方ですので企業としては謝罪が求められます。500円のQUOカードをみなさんに配って「ごめんなさい」をする感じですね。

ですが実態として多いと言われているのは、企業の中の情報が盗まれるパターンです。例えば、営業機密情報と呼ばれている情報が流出することです。その企業は気づいたとしても表沙汰にすることが多くありません。なぜならば被害者が一般市民ではなく自分たちだから。つまり、事件は数え切れないほど起きているけれど公表されていないことが多いのが現状です。ただ、やられる側としては、それを盗られたらその企業の存続に関わる経営リスクになるのでとにかく守る必要があります。

巧妙化するマルウェア

――それはデータをクラウドで管理するようになり、これまでは自社のサーバに置いていたものをネット上に管理するようになったから、という側面もあるのでしょうか?

青柳:それもあると思いますが、一番大きな側面は攻撃対象が増えているとうことだと思います。少し前までは、攻撃の入り口がWebで公開しているサーバであるケースが多く、とにかくサーバの脆弱性をなくせば対策できるお話が多かったのですが、今は社員のPCやネットワーク機器も攻撃の対象となります。

例えば自分の仕事用のアドレスにメールが送られてきて、明らかに取引先の会社さんで「見積もりを作ったので確認してください」となりすまして送られてきたら、添付ファイル開くじゃないですか。

――そうですね。

青柳:そうすると、その添付ファイルにウイルスが隠されていて、気づかないまま感染してしまいます。

みなさんアンチウイルスソフトが個人のPCにインストールされていると思いますが、そのウイルスは全部ワクチンが決まっているのでアンチウイルスソフトがワクチンを持っているところは捕まえられますが、そのワクチンにないパターンの新しいマルウェアが入ってくると、ワクチンが更新される前の数日間はなにも反応しないんですよ。

つまり、感染に気づかないでいつの間にか情報を盗られていく。昔みたいに感染したらパソコンが重たくなるということは、今はありませんよね。ですので、狙いが公開されているサーバから情報を多く持っているエンドポイント側にどんどん変わってきています。

GSXでは、このようなマルウェア攻撃を疑似体験できるメール訓練サービスがとても売れており、業界でシェア1位を取らせてもらっています。これはなにかというと、例えばある会社さんの社員全員に無害の疑似マルウェアを送ります。「社長からの期初メッセージです。必ず読んでください」というメッセージが送られて「ああ、そっか。添付のPDFに書いてあるんだな」と思ってクリックすると、イエローカード、という感じで「これもし本当だったらやられてますよ。気をつけてください」というサービスを展開しています。最終的にそれを集計して、「どのぐらいの人が開いていますから、御社はこういう対策をしないとまずいです」というまとめをやり、お客様に気づいてもらえる努力をします。

ところで、市場にはIT技術者はたくさんいるのですが、セキュリティエンジニアとなるとやはりハードルが高いです。ネットワークのエンジニアがそのままセキュリティのエンジニアになれるかというと、もともとの素養なども影響すると思いますが、覚える知識領域が少し違うということも、エンジニアが増えない要素の1つだと思います。