[インタビュー]顧客満足度第１位、コンサルティングという視点からみた情報セキュリティ　（インフォセック）

インフォセックは株式会社イードが主催する「エンタープライズセキュリティアワード2014」において、総合情報セキュリティコンサルティングサービス企業の部で総合満足度第1位を獲得した。

特集特集

2014年4月30日（水） 12時23分

インフォセックは株式会社イードが主催する「エンタープライズセキュリティアワード2014」において、総合情報セキュリティコンサルティングサービス企業の部で総合満足度第1位を獲得した。

受賞に際して、同社が考える近年のセキュリティ動向や、今後の戦略について、代表取締役社長兼CEO 廣中憲司氏、セキュリティビジネス本部本部長菅原文昭氏に話を聞いた。

●コンサルティングの2本柱はマネジメントとテクノロジー
インフォセックは、前身となる会社が2001年に三菱商事によって設立された。当時は海外のセキュリティ製品やソリューションを利用し、大企業や官庁などに情報セキュリティシステムの設計や導入、運用までを提供する事業を手掛けていた。とくにSOC（Security Operation Center）の構築やサイバー攻撃監視サービスなどの領域では、国内トップレベルの品質と実績を残している。

設立当初は、国内での金融取引オープン化により、インターネットを利用したオンラインバンキングが始まった時期だ。インフォセックでも金融機関を中心にセキュリティ対策や監視システムのコンサルを多く手掛け、ISMSの認証取得支援や、その後のJ-SOXでも大手企業のコンプライアンスに関わるサポートやシステム構築を行ってきた。

現在では官公庁の他、電力、通信、放送、運輸など重要な社会インフラに関わる企業が主な顧客となり事業ドメインを広げている。コンサルティング領域もセキュリティシステムの導入や認証取得支援、マネジメントシステムの運用支援から、セキュリティ教育や人材の育成、拠点間の連携を含めた統合セキュリティ管理へ拡大している。

同社では、これらセキュリティに関わる人材育成やマネジメントシステムにかかわるコンサルティングサービスの部分を「セキュリティマネジメントコンサルティング」として、コンサルティング事業の二本の柱のうちひとつとしている。

もうひとつの柱は、「セキュアテクノロジーコンサルティング」である。マネジメントコンサルティングが業務や人を直接サポートするのに対して、テクノロジーコンサルティングでは機器やシステムのセキュリティ診断、セキュアなシステム導入のための要件定義、システム設計のポイントのアドバイスなど技術的なアプローチで対象企業のセキュリティを向上させる役割を担う。

この領域に対して廣中氏は、「現在のようにセキュリティ攻撃が複雑化すると、防御側のセンサー、つまりファイアウォール、アンチウイルス、IDS/IPSといったシステムの膨大な情報の中から、いかに不正や攻撃の予兆などを検出するかが重要になる」と語った。システムの安全性診断、ソフトウェアの解析、ログ解析などによって、状況を可視化し、気づきを与える。これらのモニタリング技術は、SOC監視分析システムを国内にいち早く導入した同社のいわばDNAともいえる部分であり、強みでもある。

●コーディングの重要性
さらに廣中氏は「ユーザは、利便性が損なわれずに安全が提供されるのを常に望んでいる」と続ける。つまり、安全のために規制を行うのではなく、安全性を向上させることで利便性を維持しようという考え方だ。このための方策のひとつが、セキュアコーディングである。ソースコードの静的解析、外部モジュールやライブラリの脆弱性解析、攻撃や侵入テストなどを開発プロセスに組み込むことで、バッファオーバーフローやインジェクションのような、初歩的だが蔓延している問題による被害を軽減できる可能性が高い。

また、これらのテストは開発主体ではない第三者が行うほうが望ましい。特に脆弱性の評価や侵入テストは、攻撃者の視点や専門家の目が必要となるからだ。同社では、ソフトウェアの品質テストや外部モジュールの脆弱性評価、コーディングルールのガイドライン提供、クラウドプラットフォームの安全性評価などを行っており、安全性と利便性を両立させようとしている。

●デバイスからデータ防衛にシフトするモバイルセキュリティ
企業のITトレンドに私用モバイルデバイスの活用がある。これについて菅原氏は「コンサルティングにおいてもBYODに関する案件は着実に増えており、企業は2、3年前と比較して、より現実的に私用デバイスの業務利用を促そうとしています。BYODの導入に関しては、セキュリティに加えて利便性の確保が非常に強くに求められます」と説明してくれた。

一般的にソリューションベンダがBYODを企業に提案する場合、ツールの機能ありきでMDM（デバイス保護）やデバイス認証の提案になりがちだ。しかし同社ではMDMだけでなくMAMやMCM（アプリケーションやデータの保護）などの機能も合わせた提案を行っている。特に、以前は端末にデータを残さないセキュリティソリューションが効果的だとされていたが、現在では利便性の確保を目的に、端末にデータを残しながら安全を確保するコンテナ型ソリューションの人気も高いという。このように、セキュリティと利便性のバランスを保ちながら導入企業の目的を効率的に達成できるのが、同社のテクノロジーコンサルティングの強みだ。

●バランスの取れた人材育成を
今後事業を展開する上での課題はどうだろうか。廣中氏と菅原氏は、エキスパート人材の不足が直近の課題だと口を揃える。インシデントの対応やフォレンジックなど、分析や解析が必要とされる場面で、適切な判断を下せる人材が不足しているというのだ。

なお、人材育成は業界全体の課題でもある。現在、官民共同で若手エンジニア育成のため、ハッカソンやCTFなどの取り組みが盛んだが、これらのイベントやプログラムは、ともすると、ハッカーやアタックといったキーワードが先行して攻撃側の視点へ偏ってしまう。これについて廣中氏は「攻撃は最大の防御」と言われる通り攻撃手法を熟知することは重要だが、同時に「守る側」の技術とノウハウを磨くことを忘れていけない。例えばハードニングや、攻守に分かれた演習など、攻守バランスの取れた人材育成手法が相応しいのでは」と持論を語った。

また、人を育てて増やすだけではなく、システムを防御する要員の負荷を減らすことも重要だといい、検知ルールや分析のためのナレッジなどを蓄積することで、従来、プロのセキュリティ技術者が経験に基づき判断していた部分を、いかにシステムで自動化・効率化するかという点にも注力するという。

●NECとの共同経営体制
インフォセックは2014年3月からNECと三菱商事の共同経営体制となり、二人三脚で経営にあたっている。同社では、今後の事業計画や課題についてどのように考えているのだろうか。最後にこの点について聞いたところ、廣中氏は次のように答えてくれた。

「NECとの資本提携を機に、両社が持つ顧客基盤などの得意分野を積極的に活用するだけでなく、NECの持つ情報セキュリティ基礎技術や人材を積極的に活用して、セキュリティ人材の育成を一層強化していきたいと思っています。そして、国内の技術基盤を成長させ、海外戦略も進めていきたい。とくにアジア諸国はIT化のスピードが速く、政府もサイバーセキュリティに力を入れていますので、積極的に進出していきます」

今後の同社の取り組みに期待したい。

《中尾真二》