Webサイトを脅かす脅威が増え続ける中、企業はどんな対策を打ち出すべきか。こうした課題に直面する企業に、これまでにない新たな脆弱性診断サービスを提供し、従来のセキュリティ対策の在り方に一石を投じるアズリアル。同社はセキュリティ対策に何が大切だと訴えるのか。アズリアル 代表取締役社長の藤田陽介氏に、デジタルシフトウェーブ 代表取締役社長の鈴木康弘氏が話を聞きました。
セキュリティ対策の誤った常識を見直せ
鈴木:業務とITが密接に関わるようになった今、改めて見直さなければならないのがセキュリティです。システムの不備が原因で機密情報や個人情報を漏洩すれば、自社の責任問題に発展しかねません。巨額の賠償を請求される懸念さえあります。にもかかわらず、十分なセキュリティ対策を講じずにサービスやシステム開発を急ぐケースが見られます。こうした現状を藤田さんはどう考えますか。
藤田:企業を取り巻く脅威は以前より増えているし、より巧妙化しています。「これまでと同じ」という感覚でセキュリティ対策を施すだけでは不十分です。最新の動向にアンテナを張り、どんなリスクがあるのか、そのためにはどんな対策を新たに検討すべきかを常に考えることが大切です。サービス開発も日々の業務も、十分なセキュリティ対策を施した上で進めるのが大前提です。
鈴木:セキュリティ対策というと「終わりがない」「コストをどれだけ投じてもリスクはゼロにならない」などと考える人が少なくありません。こうした中でも企業は、どんな対策に目を向けるべきでしょうか。
藤田:企業規模に応じて状況は変わるのではないでしょうか。例えば大企業の場合、十分な予算を投じてセキュリティ対策を講じているでしょう。しかし、問題は頻度です。大企業の担当者と話をすると、「年に一度、会社全体のリスクを定期的に洗い出している」という声をよく聞きます。ウイルスチェックなどの自動検知を除けば、セキュリティ環境を見直す機会は年に数回、という大企業が目立ちます。新たな脅威が次々現れる中では、予算や環境より頻度に目をむけることが大切です。
一方、中小企業の場合、大企業ほどの十分な予算を投じられません。そのため、多くの中小企業が十分な対策を施していないのが現状です。セキュリティに精通する専任者も不在で、何をどう見直すべきか分からない企業も少なくありません。しかし、こうした中でも何ができるかを考えるべきです。例えば社員向けの勉強会を定期開催するだけでも十分な効果を見込めます。他社はどんな対策を打ち出しているのか、最新の脅威はどんな仕組みなのかを学ぶことから始めるべきです。最初から諦めるのではなく、まずは実践することが大切です。
鈴木:頻度や予算でいうと、Webサイトの脆弱性診断は低頻度で高コストという印象があります。大企業も中小企業も十分な対策を講じられずにいるのではないでしょうか。
藤田:その通りです。ほぼすべての企業がWebサイトを使って情報を発信したり、サービスを提供したりしています。にもかかわらず、脆弱性に対する対策は今なお不十分です。一度の診断で数十万円から数百万円の費用がかかる診断サービスが多いことから、年に数回程度しか診断しない企業が多いと感じます。
しかしWebサイトの脆弱性が放置され続けると、悪意のある第三者からの攻撃により、不正アクセスによってWebサイトが改ざんや情報漏えいなどのリスクが非常に高くなります。メールサーバーも乗っ取られてしまえば、大事な顧客に偽情報を発信するリスクも高まってしまいます。
鈴木:セキュリティへの意識が低い企業では、脆弱性に対する正しい知識が不足していると感じます。
藤田:脆弱性を突かれて個人情報などが漏洩すると、一度に大量の情報が盗まれると思っている人は多いのではないでしょうか。しかし、これは間違いです。実際はWebフォームに個人情報などが登録されるたび、その都度個人情報が盗まれているのです。つまり、脆弱性を放置し続けるほど、多くの個人情報が漏洩するわけです。
さらに、「定期的に脆弱性診断すれば十分」という考え方も必ずしも適切ではありません。脆弱性診断を実施しても、その翌日には新たな脆弱性が発見されるかもしれません。次回の診断までの間、ウイルス感染や不正アクセスといった危険にさらされているわけです。Webサイトの脆弱性診断は予算や実施回数に目が行きがちですが、どんな脅威なのか、どんな仕組みなのかを正しく理解し、状況に応じた適切な対策を検討することが必要です。
全社員の意識改革がセキュリティを強化する後押しに
鈴木:藤田さんが代表を務めるアズリアルでは、Webサイトの脆弱性を診断するサービスを提供しています。なぜ、こうしたサービスを提供しようと考えたのか。その経緯を教えてください。
藤田:当社を起業する前、Webサイトを使ったビジネスを手掛けていたことがあります。売上を順調に伸ばして3年ほど経ったある日、不正アクセスによってサーバーが乗っ取られてしまったのです。Webサイトでは動画を配信していましたが、約半数の動画が削除され、Webサイトのアクセス数も急降下。結果的にはWebサイトの閉鎖に追い込まれてしまったのです。その後も顧客のWeb制作に携わる機会があり、脆弱性の必要性を徐々に感じるようになっていきました。
近年は個人情報保護法の施行により、安全な情報管理への意識が高まっています。しかし、その意識を具体的にどんな対策に落とし込めばよいのか分からない企業が数多くあります。そこで、こうした企業のセキュリティ対策の一助になればと、脆弱性を洗い出す診断サービスを提供することにしました。
鈴木:藤田さんは脆弱性診断サービスを提供することで、企業がどんな未来を描けるようになればいいと考えますか。
藤田:1つはセキュリティに詳しくないWeb担当者でも脆弱性対策に意識を向け、もっと気軽にセキュリティ対策を施せる環境を築ければと考えます。近年のセキュリティ対策は、環境となるシステムが複雑化しつつあります。クラウドの利用が常態化する中、社内システムだけではなく社外のクラウドやリモートワークで自宅作業する社員のPCやスマートフォンも含めた包括的な対策が求められます。しかし、こうした環境を想定したセキュリティ対策を講じるのは決して容易ではありません。そこで、セキュリティという不可欠な仕組みをもっと身近に、もっと手軽に触れられるものへと進化した未来を描ければと思っています。
そのために欠かせないのが、社員の意識改革です。安全な環境はITやセキュリティ担当者が構築すればよいという社員の考え方を払拭すべきです。「安全な環境は社員全員の手で」といった意識が全社に根付き、一人ひとりのセキュリティに対する高い意識が安全をもたらします。こうした人の意識を変える取り組みに着手しなければ、どんなに優れたセキュリティ環境を構築してもリスクを低減できないのではと考えます。
リスクが一目で分かる!低コストで常時監視可能な脆弱性診断サービス
鈴木:アズリアルの脆弱性診断サービスについてお聞きします。具体的な特徴や機能を教えてください。
藤田:当社が提供する脆弱性診断サービス「secuas(セキュアズ)」は、月に1万円からという低予算で脆弱性を診断するのが特徴です。
また、診断結果から誰でもリスク管理ができるよう、該当件数とその内訳(危機項目)を表示しました!
年に一度実施して終わりというサービスではなく、Webサイトの脆弱性を365日、監視し続けます。
一般的な脆弱性診断は、人がWebサイトに問題がないかを確認し、診断します。「secuas」はこうした人による確認作業を自動化することで低コストを実現します。もちろんすべての確認を自動化できるわけではありません。しかし、中には自動化が可能な診断項目があり、「secuas」では人による確認作業を極力減らすことで低コストを可能にしています。年に一度、200万円のコストを投じていた脆弱性診断を、「secuas」導入で70万円まで削減したという導入実績もあります。
さらに「secuas」では、検知した脆弱性の対応方法を明記しています。発見した脆弱性は、当然すぐに解消しなければなりません。そのとき、何をすべきか、どの部分をどう改修するのかといった方法を記載しています。
csvファイルで記載内容をダウンロードでき、Webサイトの保守や運用を依頼する外部取引先や社内のエンジニアにcsvファイルを渡すことで、問題を容易に解消できるよう配慮します。競合サービスの多くは解消法を明記せず、診断結果をもとに自分たちで調べなければなりません。脆弱性に精通しなければ分からないことは多く、解決策を導き出すまでに時間もかかってしまいます。「secuas」を使えばこうした時間を省き、Webサイトの危険な状態を早期に解消することが可能です。
セキュリティに対する固定観念を打破せよ
鈴木:藤田さんが「secuas」に込めた思い、「secuas」を通してどんな課題を解消しようとしているのかに大変興味を持ちました。私も藤田さんの考えに強く賛同します。セキュリティ対策というと、費用対効果を見込みにくいことから積極的な投資に踏み切れない企業が目立ちます。しかし、企業のこうした根深い考え方を覆すのが「secuas」だと考えます。年に数回といった脆弱性診断の実施回数はもちろん、年間数百万から数千万円とも言われる実施コストも含め、これまでの常識に当てはまらないサービスは、競合にはない価値を提供するはずです。導入企業にとっても、従来の考え方にとらわれない新たなセキュリティ対策の手段として、十分な効果を発揮するに違いありません。
藤田:「secuas」を通じて、従来の固定観念を打ち破ることができればうれしいですね。多くの経営者はセキュリティリスクについて、「うちは大丈夫」「うちは関係ない」と考えがちです。システム担当者の中には、「Web制作会社が勝手に対策しているので安心」と思い込んでいるケースもあります。しかし、Web制作会社が脆弱性まで調べて対策を講じるケースは、限りなく0%に近いでしょう。こうした安全を軽視する考え方を改め、Webサイトの安全性と真正面から向き合う人を一人でも増やすことができればと考えます。こうした取り組みが企業で徐々に浸透したとき、当社の「secuas」が取り組みを後押しする起爆剤になれば幸いです。
鈴木:大変貴重なご意見、ありがとうございます。本日はいろいろと参考になりました。どうもありがとうございました。
藤田:こちらこそ有意義な時間をいただき、感謝します。どうもありがとうございました。
最後に、このインタビューを通じて、実際に弊社のサービスで「secuas(セキュアズ)」を活用させていただきました。診断結果に表示される「リスク件数」を確認することで、必要な修正ポイントを迅速に特定できるのが大きな利点です。また、日々のアップデート対応や新たに発生する脅威に対しても、リスク状況が視覚的に分かりやすく提示されるため、「secuas」の狙い通りに効果的なリスク管理が実現しています。この点は、全社的にも意識づけができるものであり、意識改革の観点からも非常に効果を発揮していると実感しています。皆様にとって、従来の考え方にとらわれない新たなセキュリティ対策の手段として、この情報が参考になれば幸いです。 鈴木康弘
サービスサイト:secuas(セキュアズ)
https://secuas-cloud.com/
有限会社アズリアル
https://www.asreal.co.jp/
