HENNGE(へんげ)の渡辺 宏哉 氏をインタビューしていたら面白い攻撃者視点の考え方が出てきた。
セキュリティ管理における「攻撃者視点」とは、自分が守るべきシステムなどを、攻撃する側の視点で精査することを指し、普通は「どこを狙うか」「どんな攻撃手法を取るか」などの技術的かつ具体的な検討を行うことが多い。しかし、渡辺氏の攻撃者視点は、一段上の「ビジネス」レイヤーからサイバー攻撃について考える興味深いものだった。
HENNGE株式会社は、クラウドセキュリティサービス「HENNGE One」において、PC などの端末を保護する新サービス「HENNGE Endpoint & Managed Security」を 2026 年 3 月から提供開始する。本サービスは、WithSecure 製の EDR(エンドポイント検知・対応)および EPP(エンドポイント保護プラットフォーム)に、24 時間 365 日運用・対応する MDR(管理型の検知・対応)と、脆弱性診断を統合したパッケージである。価格は端末 1 台あたり月額 950 円。HENNGE株式会社 Product Planning & Research Division 渡辺 宏哉 氏と岩部 晃己 氏へのインタビューから、このサービスに込められた独自の設計思想が見えてきた。
●「攻撃者視点で考える」SaaS ベンダーが見た RaaS ビジネスの実像
渡辺氏はインタビューの中で、ランサムウェア犯罪組織と SaaS ビジネスの構造的類似性について言及した。
最近のサイバー攻撃は完全にビジネス化していると渡辺氏は指摘する。攻撃者は金銭目的でテクノロジーを活用し、データを人質に取って身代金を要求する。興味深いのは、身代金を支払った場合の復旧率だ。一般に「半分程度しかデータが戻らない」と言われるが、渡辺氏はこれを逆の視点から捉えていた。「半分近く戻る」ということは、それすなわち「対価を払えばサービスを履行する」という意味であり、ビジネスとして成立している証拠だという。
「SaaS ベンダーとして攻撃者の構造や意図が理解できる。結局どちらに倫理的に立つかだけの違いしかない」
渡辺氏の発言を聞いて、筆者は犯罪である RaaS(Ransomware as a Service)と、正規の SaaS ビジネスの共通点について考えを巡らせた。両者はともにサブスクリプション型のビジネスモデルを採用することが多く、効率的に多数の対象にリーチして一定比率の収益を得る。一度開発したソフトウェアや攻撃ツールを多数の対象に展開できるため、少ない労力で大きな成果を得られる点も共通している。
RaaS の場合、身代金を払えばデータを復旧するという「役務提供」を一定程度の比率で履行することで、ビジネスとしての持続可能性を確保してもいる。当然だが技術やビジネスモデル自体は善でも悪でもない。だから同じ構造は犯罪にも正当なビジネスにも使われ得る。違いは倫理的な選択だけだという渡辺氏の認識は、冷静に考えればその通りである。正直ここの部分は書くかどうか迷ったのだが、昨 2025 年にこれとそっくり同じ事を、業界の重鎮が国際会議で発言していたので思い切って書くことにした。
渡辺氏の発言を聞きながら、筆者は 2025 年夏にラスベガスで開催されたセキュリティの国際会議の基調講演で、ランサムウェア犯罪組織を有望なスタートアップにたとえて脅威を分析していた研究者の言葉を思い起こしていた。CryptoLocker 以降、その研究者はランサムウェアギャングを「サイバー犯罪のユニコーン」と呼ぶようになったという。企業価値が 10 億ドル以上の未上場のスタートアップ企業をユニコーンと呼ぶが、同氏によればランサムウェアギャングの経済規模や利益は間違いなくこの基準を満たしている。
かつて大企業を狙い撃ちにしていた攻撃は、今では効率的にばらまかれ、引っかかった企業から収益を得るモデルへと変化した。企業規模に関係なく狙われる時代であり、「うちは小さいから大丈夫」という認識はもはや通用しない。渡辺氏はこの変化を「馬鹿にできない」と表現する。
攻撃者が経済合理性に基づいて行動するという認識は防御側の戦略にも影響を与える。ここからは記者の見立てになるが、この視点から導かれる結論は明快だ。攻撃者はコストの低い攻撃を好み、効率的にばらまき、隙のあるターゲットを選ぶ。つまり対策を行う場合は、攻撃者の ROI(投資対効果)を下げる対策が最も効果的であり、基本的な防御を固めれば「割に合わないターゲット」になれる可能性が増す。完璧でなくとも「他より硬い」だけで狙われにくくなるという考え方だ。後述するが、HENNGE のサービス設計にはこの視点が反映されている。
● 無批判に「侵入前提」を受け入れる前に 後発だからこそできた判断
EDR の販売においては「侵入は防げない、だから侵入を前提に検知・対応が重要だ」という説明がなされることが多い。渡辺氏はこの常套句にも疑問を呈した。
「防御をきちんと強化すれば、侵入されるリスクは限りなく低減できるのではないか」
渡辺氏が実際のインシデント事例を分析すると、話題になった某大手出版・動画配信企業や、某印刷関連企業の事案など、外部からアクセスできるシステムの ID とパスワードが極めて簡単だったケースや、脆弱性パッチや OS のアップデートが未適用だったケースが目立ったという。
「想像もできないような高度なテクノロジーで突破されたわけではなく、油断している隙を突かれているのが実態(渡辺氏)」
渡辺氏は製品企画にあたり、約 60 社の顧客にヒアリングを実施した。そこで見えてきたのは、EDR の必要性とは別の課題だった。EDR を導入したものの管理運用ができず上層部を説得できないまま解約したケースがあったし、また「自分たちはもっと手前のレベルかもしれない」という声も聞かれたという。つまり、脆弱性管理やパッチ適用すらできていない段階の企業も多く、EDR を入れる以前の課題を抱えている企業が少なくなかった。
これらのヒアリング結果から、渡辺氏は「EDR だけでは不十分」という気づきを得た。この認識が、予防・防御に重点を置いたサービス設計へとつながっていく。
●防御・予防特化という設計思想
検知偏重から防御重視へ。HENNGE のサービス設計は、単なる最新技術の切り売りではない、明確な思想の転換を打ち出している。
まず、EDR エンジンにはフィンランドの WithSecure(旧 F-Secure)を採用した。渡辺氏によれば、EDR ベンダーには大きく二つの思想と系譜がある。それは「EDR 発祥のベンダー」と「アンチウイルスから発展したベンダー」だ。WithSecure はアンチウイルス由来のベンダーであり、「まず潰せるものは潰す」という防御重視の設計思想を持つ。この思想が HENNGE のコンセプトと合致したことが採用の決め手となった。
WithSecure は第三者評価機関 AV-TEST において 2024 年度「Best Protection Award」を受賞し、9 万個以上のマルウェア検体に対して防御スコア 100 %を記録している。
HENNGE と WithSecure の協業関係は以前からあった。HENNGE の商号が HDE だった時代、オンプレミスのメールセキュリティでアンチウイルスエンジンとして使用しており、現在の Cloud Protection も WithSecure の OEM によって提供されている。今回の EDR 採用は、その延長線上にある。
渡辺氏自身、フィンランドの WithSecure 本社を訪問したことがあり、当時同社に勤務していた世界的に著名なセキュリティ研究者、ミッコ・ヒッポネン氏に社内を案内してもらったという。先に挙げた、ランサムウェアギャングを「サイバー犯罪のユニコーン」にたとえた研究者がまさにこのヒッポネン氏であり、渡辺氏のビジネスレイヤーでの攻撃者視点の鋭い分析は、ひょっとするとこうした交流から培われたものかもしれないと考えた。
●HENNGE Endpoint & Managed Securityの全容
本サービスは HENNGE One を構成する 3 つの Edition のうち、サイバー攻撃対策の「Cybersecurity Edition」において提供され、「予防」「防御」「監視・対応」の三層構造で設計されている。
【予防】
自動パッチ管理機能(ソフトウェアアップデータ)により、OS やアプリケーションの更新プログラムの適用を統合的に行う。また、ASM(アタックサーフェス管理)として、インターネットに公開されているサーバーや VPN 機器などの「管理不備」を洗い出し、対処すべき脆弱性をリスク評価とともに可視化する。日次レベルでの脆弱性診断を実施し、外部からの侵入経路を常時監視する
【防御】
WithSecure 製の EPP を中核に据え、「ディープガード」と呼ばれるパターンファイルに依存しない振る舞い検知技術により、未知の攻撃やランサムウェアの実行を阻止する。ユーザーが危険なサイトにアクセスしようとした場合に接続自体をブロックする「ブラウザ保護」や、ランサムウェアに暗号化されたデータを OS の設定ごと復元する「ロールバック」機能も備える
【監視・対応】
24 時間 365 日の MDR サービスにより、専門アナリストが EDR のログから選別と初動対応を実施する。対応が必要なインシデントだけを通知するため、ユーザー側の担当者が不要な対応に追われることはない。「セキュリティ製品の管理画面を見る必要がない形でマネージドサービスを提供する(渡辺氏)」
顧客とのコミュニケーションには独自のチケット管理システムを用意し、アラートの確認や問い合わせをシンプルなインターフェースで完結させる。月次レポートも提供され、デバイスの健全性やリスク評価を継続的に確認できる。
●月額 950 円の意味
価格設定について渡辺氏はこう語る。
「 1,000 円を切りたかった。そこまですればインパクトがあると考えた」
月額 950 円(税抜)という価格には、MDR サービス( 24 時間監視・レポート)、ASM(脆弱性診断・リスク評価)、EPP/EDR ライセンスのすべてが含まれる。100 名規模の企業であれば、950 x 100 x 12 = 年間 114 万円(税抜)となる。
注目すべきは、EDR 単体での契約ができない点だ。MDR とセットでの提供が前提となっている。これは前述の顧客ヒアリング結果を踏まえた設計判断である。
●ターゲットは「リソースが足りない人たち」
本サービスの主要ターゲットはサプライチェーン上の中小企業だが、渡辺氏はより本質的な定義を示した。
「中小企業という言葉はわかりやすいが、本質的にこのサービスは『リソースが不足している組織』、いわゆる一人情シスと呼ばれるような方たちがセキュリティも担っているような組織がターゲットです」
企業規模だけでは捉えきれない課題がある。従業員 1,000 人や 2,000 人を超える規模の企業でも、IT 担当者がユーザーからのヘルプデスク対応で手一杯というケースはなんら珍しくない。事前に 60 社に対して行ったヒアリングでは、EDR を導入していても運用が回っておらず解約を検討していたという声も聞かれたという。
決して大企業向けソリューションの簡易版などではなく、企業規模に関わらずリソース不足の現場の実態に合わせた設計。これが本サービスの立ち位置だ。
●面白い EDR/MDR が始まった
今回の渡辺氏へのインタビューを経て、セキュリティ企業が攻撃者をどう描いてきたかについて考える重要な機会を得ることができた。これまで業界は攻撃者を「フードをかぶって顔を隠す抽象的な存在」として多く描いてきた。その理由はいくつか考えられる。
まずマーケティング上の理由がある。顔のない、得体の知れない存在として描くことで恐怖を煽り「何をしてくるかわからない」「理解不能な敵」という印象を与える。「悪者 対 正義の味方」という単純な構図はマーケティング素材としても扱いやすい。
敵が「理解不能」であるほど「専門家である我々にお任せください」という説得力が増し、複雑で高度な製品を売りやすくなる。さらに「こんな高度な攻撃者には誰も勝てない」という言い訳にもなる。もし製品が失敗しても「攻撃者が高度すぎた」と開き直ることも可能だ。
本サービスで渡辺氏はこれと逆のアプローチを取った。攻撃者を「法律に触れる活動をするビジネスパーソン」として捉え、経済合理性に基づいて行動する存在として理解した。SaaS ベンダーと同じ構造で考えることで、相手の行動を予測しやすくなり、より効果的な対策を設計した。「倫理的な選択の違いだけ」という視点は、過度な恐怖心を避けながら現実的な防御戦略を立てることを可能にしたと思う。
EDR/MDR 市場へのおそらくは最後発の参入者、HENNGE株式会社が持ち込んだのは、先端技術ではなく独自の視点だった。今後の展開次第だが、少なくともセキュリティ管理の現場に実効性のある変化をもたらすことは間違いないだろう。
同席したHENNGE株式会社 Product Planning & Research Division Go-To-Market Strategy Section 岩部 晃己 氏は「( HENNGE は)お客様の声をしっかり聞いて製品という形にして届けることを強みにしている。今回もお客様の声を反映した製品を作ったので、しっかり届けていきたい」と語った。さらに「今日渡辺がお話ししたのも現時点の課題であり、2 年後 3 年後には、また違う課題が現れるので、それをしっかりと定義できるようにしていく」と、継続的な進化への意欲を示した。
