サイバー攻撃で日本企業が被害を受ける事例が増えている。フォーティネットジャパンは、ファイアウオール・UTM(統合脅威管理)分野で世界シェア1位。自社開発チップの強みを生かしたネットワークセキュリティーと、複数製品が連携してセキュリティーを強化する「セキュリティーファブリック」でオフィスと製造現場のハイブリッド環境を守る。田井社長は「セキュリティーは社員の創造性発揮にも不可欠」と話す。同社の戦略を聞いた。
■チェックリストからリスクベースへ
――近年サイバー攻撃による金銭的な被害が大きくなっています。
企業システムに侵入し、重要なデータを人質に身代金を奪う「ランサムウエア」の被害が、世界全体では1年で10倍に膨らみました。実はサイバー犯罪者のためのクラウドサービスまでもが存在しており、「闇の経済」ができあがっています。国境を越えるサイバー犯罪は取り締まりも困難です。脅威は増す一方で、あらゆる企業でサイバーセキュリティーの向上が求められています。
――日本でも工場がサイバー攻撃を受けて被害が出る事例が増えています。
相次ぐ被害の報道を受け、従来お付き合いの薄かった製造部門の方からも「気がついたら工場がインターネットとつながっている。どうすればいいのか」とご相談をいただくようになりました。日本ではこれまで主にオフィスの業務効率化のためにIT(情報技術)が導入され、その主幹部門は情報システム部門です。一方、工場などの制御システム、いわゆるOT(オペレーションテクノロジー)は製造部門の主導が多く、その生い立ち、考え方が違うため、対処法も違ってきます。
――サイバーセキュリティー戦略を立てる上で、日本企業にはどのような考え方が求められるでしょうか。
日本はまだまだ平和ぼけが残っている印象ですが、もはやすべての企業が攻撃対象になっていると理解すべきです。たとえ小規模事業者であっても、大企業のサプライチェーンに組み込まれていれば、攻撃者にとってはむしろ格好の的です。現に業種、規模の大小を問わず実際にサイバー攻撃の被害が報告されており、対策は急務です。もう他人事ではないのです。
――セキュリティー戦略は「リスクベース」のアプローチが必須です。特に日本企業は、穴という穴をすべて塞ごうとし、機能や対策のチェックリストを重視する「ルールベース」に偏りがちです。かつては有効だったこのやり方では、次々に登場する新たな脅威への対処には向いていません。特定分野で有名な過剰スペックのソリューションを積み重ねることで、コストが増える一方、後戻りも難しくなります。一方、リスクベースのアプローチは、業界や組織全体をとりまくリスクをしっかりと評価したうえで、常に適切な水準にリスクを最小化していく試みで、海外企業では現在主流の考え方です。
セキュリティー対策を含め、どんどん変化、拡張していくDX(デジタルトランスフォーメーション)はチェックリストだけでは実現できません。会社としてまず何が必要なのか、そのうえで何がリスクなのかを議論しないといけません。
■ネットワーク守る自社開発チップ
――どのような戦略で日本企業のセキュリティー向上に取り組むのですか。
私たちは日本に根づいた企業として、イノベーティブ(革新的)で、シンプルで、セキュア(安全)な製品とサービスを提供し、日本企業のセキュリティーレベルを上げていきたいと思っています。当社は既に、ファイアウオール・UTM製品分野で日本で55%の台数シェアをいただいていますが、工場やDX推進企業などにまだ開拓の余地が大きいと考えています。すでに自動車、鉄道など大手企業への導入事例はありますが、まだまだこれからです。
――フォーティネットの優位性はどこにありますか。
私たちの強みの一つは、自社設計のネットワークセキュリティー専用チップ、つまりASIC(特定用途向け集積回路)を作っていること、およびその技術力です。ネットワークトラフィックの拡大は汎用CPUの性能向上を大幅に上回っており、スピードを維持しながら安全性を保つには、ASICが必要不可欠です。セキュリティー専用チップを持つグローバル企業は私たちぐらいですので、今後さらに引き合いも増えていくでしょう。そしてその確かな技術力が、ハードウエアだけでなくクラウドサービスでも生かされています。
――日本ではオフィスのITと製造現場のOTの分断が指摘されています。OTの分野にどう取り組みますか。
私たちには特に欧州で生産設備のネットワークセキュリティーに関わってきた経験があり、また国内でも既にいくつものOTセキュリティープロジェクトに参加しています。企業の内部、特に生産設備には古いコンピューターやOSが残っている場合が多く、このような製造現場でセキュリティーレベルを高めるには、ネットワークセキュリティー全体を向上させる技術と、リスクベースの考え方が必要です。
私たちはどちらも得意としています。
■自己診断が攻撃防御の第一歩
――セキュリティー向上のために、企業がまず手を付けるべきことはなんでしょうか。
まず自分たちの置かれている状況を正しく理解することです。調子が悪くなってから病院で薬を処方してもらう以前に、まずは健康診断をし、十分な睡眠を取ったりお酒をやめたりするのが大事なように、現在のセキュリティーレベルを把握し、戦略とガイドラインを立て、優先順位をつけてセキュリティーを向上させていくことが良いやり方です。一気にやるのも結局時間とお金がかかるので、計画を立てて「弱いところ」から段階的にすばやく対策していきます。
私たちは、経済産業省が作成したフレームワークを基にウェブで無償診断できる仕組みを提供しています。まずそこから取り組むことをお勧めしています。泥棒といっしょで、金銭的な動機でサイバー攻撃を仕掛ける犯罪者は、一番弱い所を見つけて侵入します。逆に「この会社はセキュリティー対策をちゃんとしている」と思われるだけでも、侵入されにくくなります。
――日本の経営者へのメッセージをお願いします。
DXでは、人が本来持っている創造性、いろいろなアイデアをいかに柔軟に、早く、形にできるかが問われます。それが次のビジネスに関わっていきます。「ここだったら安全だ」という野原に集まり、日の光を浴びて自由に話し合える場が大事なのです。それを支える要素で一番重要なものの一つがセキュリティーです。安全性が守られているからこそ、自由な発想が出てきます。
自由な場所に人が集まれば、必ず良いアイデアが出て会社は伸びていくでしょう。事故も減り、不正も起きなくなる。自由があれば、人間本来の力を引き出せます。セキュリティーがあるからこそ、自由と創造性を実現できるのです。
たい・よしまさ 1986年東京工業大学工学部卒、ソニー入社。その後、IT業界でデータ分析や金融コンサルティングを経験し、ソフォス、マカフィー、シスコシステムズでセキュリティー事業に従事。2020年フォーティネットジャパン副社長を経て、22年7月より現職。
Super DX/SUM 単独講演
「ファブリック」の発想で防ぐ
田井社長は9月に開かれたSuper DX/SUM(超DXサミット)で講演。企業のデジタル環境が大きく変わる中、これからのDXに求められる「セキュリティーファブリック」の考え方などを提唱した。
フォーティネットの年間売上高は世界で5000億円以上、従業員は世界で1万人、顧客は55万社以上を抱える。
同社が重視するのは、オフィスと工場、ITとOT(制御システム)が混在するハイブリッド環境のセキュリティー対策だ。「オフィスのITでは端末を守る『エンドポイントセキュリティー』が有効だった。一方、製造現場のOT分野では、ネットワークを通過する情報を守る『ネットワークセキュリティー』がより重要となる。制御機器にセキュリティーソフトが提供されているわけではないからだ」(田井社長)。製造業のセキュリティー対策ではネットワークを流れる膨大な情報を監視できるセキュリティー機器の重要性が増す。
ここで重要なのは、すべてのアクセスに対して常に信頼性を評価し続ける「ゼロトラスト」と、複数のプラットフォームの間で情報を共有して安全性を向上させる「セキュリティーファブリック」の考え方だ。「一個一個の機械を守るだけでなく、お互いに通信してどこに攻撃が来るかを予測し、対策していく。ネットワークで連携することで、セキュリティーを向上させていく。これがセキュリティーファブリックの考え方だ」(田井社長)。
セキュリティーを守るには「人」の要素も欠かせない。同社は2026年までに全世界で100万人にサイバーセキュリティーの教育・訓練を提供すると表明している。企業のDXをセキュリティー面から支援することが同社の姿勢だ。
