「日本法人よりも日本法人」ってどういう意味? セキュリティ課題に立ち向かう熱き相棒:後編 | ScanNetSecurity
2024.03.19(火)

「日本法人よりも日本法人」ってどういう意味? セキュリティ課題に立ち向かう熱き相棒:後編

後編では、メールセキュリティ特有の事情や、正しい製品選びについて考えてみることにする。

製品・サービス・業界動向 業界動向
PR
 本稿の取材をするまでは、たとえば同じ会社の〇〇というセキュリティ製品なら、別にどこからそれを買っても何ら変わりないものと無邪気に考えていた。ましてや「電子メールの領域など枯れた技術だ」と思っていたので、なおさらそれを疑わなかった。

 だがどうやら全くそうではないようだ。これが適切なたとえかどうかわからないが、どんなベンダとインテグレータの組み合わせを選ぶかは、「学校の『普通の先生』と『忘れえない恩師』ぐらいの違いがある」と取材を通じて感じるようになった。

 学習指導要領というプラットフォームで、文部科学省検定済教科書を用いて、教員採用試験をパスした教師が授業なり生活指導をする訳だが、名前も思い出せない大多数の教師がいる一方で、わかりやすい授業を創意工夫し学問の楽しさを伝えたり、生徒の悩みや課題に向き合い寄り添い、人生に大きな影響を及ぼしたり、あるいはときに正しい道へ更正させる先生も世の中には存在する。

 今回取材した株式会社日立ソリューションズ株式会社TwoFiveというふたつの会社は、まさにメールセキュリティという領域において後者に属する会社だったと思う。

 ScanNetSecurity 読者には、そんな熱血教師は願い下げだと思う人が少なくないかもしれないが、メールセキュリティに関しては、後述するその特異性から、『普通の先生』では事足りない。セキュリティベンダとインテグレータのコンビとして両社は、極めて解決が難しい部類の課題に対して、熱い思いで解答を探し当て続けてきた。

 株式会社日立ソリューションズの浅図 達也(あさず たつや)、そして株式会社TwoFiveの末政 延浩(すえまさ のぶひろ)(本文中敬称略)の二人に取材した記事の、今回は後編となる。

 前編では、互いを認め合うきっかけとなったトラブルの発生と、その解決について書いたが、後編では、メールセキュリティ特有の事情や、正しい製品選びについて考えてみることにする。

●なぜメールセキュリティは難しいのか

 そもそもメールセキュリティの難しさとはいったいどの辺りに存在するのか。メールという領域の特殊性について浅図と末政に質問した。

 「メールは歴史が長く、基本となる仕組みやルールは今も変わっていない」と浅図は言う。メールの基本的な仕組みが開発されたのは今から 50 年以上前だが、当時は、性善説的に、悪用されることよりも、「メッセージを相手に届ける」という使命と利便性を重視していた。

 その後、メールを悪用するサイバー攻撃が多発し、深刻な被害をもたらす悪質なものまで登場するようになったことで、それに対抗するために、業界を挙げて仕組みの改良や機能追加が行われ、送信ドメイン認証に代表される新しい仕組みも追加されてはいる。しかし、基本的な仕組みやルールは踏襲されているので、セキュリティ対策はその上に施され、必要なものをパッチワーク的に追加していくことになる。これがメールセキュリティの最大の特徴だ。

 浅図によれば、ゼロから作った方が簡単なのだが、メールは広く一般に使われコミュニケーションのインフラとして定着してしまっているので、少なくとも当面は、ゼロから作り直すことはできない。歴史のある技術を使い続けながら、日々、加速度的に手口が巧妙化、悪質化していくサイバー攻撃にどう立ち向かっていけばよいか…。それが、メールセキュリティの難しいところだ。

 末政は、電子メールという通信の法的側面を強調した。たとえば ISP (インターネットサービスプロバイダ) のメールがたとえごく短時間にせよ停止でもしたら、その事業者は所管官庁である総務省に報告義務が発生する場合がある。メールは「手紙」「電報」「電話」と並んで、日本国憲法で秘密が守られる「通信」のひとつであり、ミッションクリティカルな対応が要求されるのだ。それもリアルタイムで、である。そして一通でも紛失すれば大問題になる。

 そんな難しいメールセキュリティという領域で出会った両社は、20 年近く「共闘」してきた。

 本稿前編で紹介したとおり、重要案件で発生した不具合の原因を、丁寧に時間をかけてつきとめた日立ソリューションズを、末政は「絶対にあきらめない」と高く評価したが、逆に日立ソリューションズの浅図が TwoFive を評価する印象的な言葉があった。それは「日本法人よりも日本法人」という言葉である。

●短い要望の行間にある背景を読む

 たとえば〇〇社という外資のセキュリティ企業があって、日本市場に進出したら、「日本〇〇株式会社」「〇〇ジャパン株式会社」といった日本法人が登記され活動を行う。浅図によれば TwoFive は、こうした日本法人よりも、もっと日本法人なのだという。

 どういうことか? 浅図はこんなエピソードを挙げた。

 浅図と末政は海外出張で、とあるメール製品の米国本社を訪問する機会を持った。浅図は、その製品に対する日立ソリューションズの要望を一緒に伝えることを末政に頼んだという。

 浅図の要望は、日本語にしてわずか一文程度の短いものだったが、ベンダの技術担当者に浅図の要望を伝える末政の説明は 3~4 分に及んだ。それに対するベンダ側の返答もごく短いものだったが、末政はその回答内容を、やはり 3~4 分かけて浅図に説明したという。

 つまり、末政は浅図の要望の背景をくみ取り、ベンダからの回答を、浅図の要望に込められた課題にどう当てはまるのかを的確に説明したのだった。

 そして、結果的にその要望は、米国本社に対応してもらえることになった。

 製品のさまざまなエンハンスリクエストを日本から本社に出しても、かんばしい返事が返ってこないとはよく言われる話だ。海外本社の反応が悪いのは日本市場の重要性が相対的に低いといったことも近年はあるかもしれないが、それ以前に、機能追加が必要になるところの、日本の商習慣や、求められるサービス水準の違いを単純に本社に腹落ちさせることができないという理由もある。

 TwoFive は、米国本社の状況を理解し、あわせて日立ソリューションズやその先のエンドユーザーといった日本の顧客の要望や背景も理解したうえで、それを腹落ちするところまで米国本社に説明し納得させるという交渉力を持つということが、浅図が体験したエピソードから浮かび上がる。

 その交渉力こそが「日本〇〇株式会社」「〇〇ジャパン株式会社」と名乗るオフィシャルな日本法人よりも、はるかにもっと日本法人としての仕事をしているという浅図の評価につながっている。


●「グローバルクオリティ」を「日本クオリティ」さらに「日立ソリューションズクオリティ」へ

 海外では、たとえメール一通紛失しても、こだわって原因追及が行われるとは限らないという。しかし、日本の通信事業者や一部の大企業にとっては、まったくもってそうではない。日立ソリューションズにとって「国際クオリティ」を「日本クオリティ」まで高め、そして前編で書いたようにさらにそれを「日立ソリューションズクオリティ」まで高めることができるパートナーが TwoFive ということなのだろう。

 本稿を執筆する際の浅図と末政の取材はそれぞれ別々に行われた。両者同席の取材にしなかったのは、互いの発言に引きずられることなく、二人の本音を引き出したいという意図だった。言い方は少々不穏当だが、互いにとっての欠席裁判である。スリリングな取材であった。しかし結果的に、二人のお互いを認める発言がちょうど重なり、“相棒”としての関係が築かれていくストーリーが出来あがった。

 「絶対にあきらめない信頼できるインテグレータ」、「下手な日本法人よりちゃんとした日本法人の仕事ができるベンダ」 いずれの言葉も、今回の取材の機会がなければ、生涯互いの口から出ることのなかった、生涯互いに耳にすることのなかったセリフに違いない。

●業界への信頼の地盤低下の恐れ

 最後にひとつ、浅図が大いに懸念していることについて書いておこう。それはメールセキュリティにとどまらない、セキュリティ製品全体への信頼失墜と地盤低下につながりかねない事態である。

 先に挙げたとおりメールセキュリティは、インターネット黎明期の性善説時代に開発された技術を土台に構築され、さまざまなセキュリティ対策技術をパッチワークのように組み合わせ実現している。

 たとえば BEC (ビジネスメール詐欺) 対策ひとつを挙げても、細かいものまでリスト化すれば 5 種 6 種くらいの「BEC対策製品・サービス」が市場には存在する。どれが有効であるかは、当該ユーザー企業のメールの使い方、どんな取引先とどうやりとりをするのか、どんな業種業態なのか等々、おびただしい変数が存在する。

 つまり、たとえば「BEC対策A」が有効な企業に対して、腕の良いセールスパーソンが訪問し、その販売会社が唯一取り扱う「BEC対策B」を買わせてしまった場合、そしてその後、不幸にして BEC被害が発生したとしたら、対策のミスマッチであったことなど知らぬユーザー企業は、単にその BEC対策製品だけではなく、セキュリティ製品やサービス一般が、金はかかるのに言うほど効果が期待できないものだと勘違いしてしまうケースがある。これが浅図の懸念である。

 どこから買っても同じではない、と冒頭に書いたが、無数にある BEC対策の中で、いったい自社に何が必要なのか、対策方法の目利きが充分にできるのであれば事情は異なるだろうし、ScanNetSecurity 読者にはできる人たちが多いことと推察するが、そうでない企業だとしたら、どこから買うかは極めて重要になる。

 塾や大学を除いて、ほとんどの学校で先生を選ぶことはできないが、ベンダやインテグレータ、そしてそのコンビは選択することができる点を、覚えておきたい。


※メールセキュリティの歴史については以下を併せてお読みいただきたい
我らかく戦えり 第1回「 電子メールセキュリティ20年攻防史」
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×