日本ではこれまで注目度が低かった「サイバーセキュリティ」の問題。しかし最近では、北朝鮮によるものと見られるソニー・ピクチャーエンタテインメントの電子メール流出や、日本人の銀行口座をねらった中国人ハッカーによる不正送金など、海外からの攻撃で大きな被害が発生する事件が報じられています。
一方、軍事的緊張にさらされているイスラエルではこの分野への意識が高く、軍事技術をベースに技術が発達しています。今回は世界のトップレベルのセキュリティ技術を誇るイスラエルのスタートアップ企業から、Cytegic(サイテジック)社にインタビューしました。回答してくれたのは、製品マーケティング・ディレクターのヨタム・グットマンさんです。(聞き手:夢野響子@イスラエル在住)
ほとんど公表されていない「サイバー攻撃」の被害
夢野:「サイバーセキュリティ」は一般の日本人にはまだ馴染みのない分野なのですが、分かりやすく説明していただけますか。
グットマン:インターネットを通じて国や企業に不正に侵入して情報を盗んだりデータなどを破壊したりする犯罪行為に備え、対策を行うという意味です。国家防衛レベルはもちろん、民間企業や個人にも十分な理解と体制が必要です。特に日本は、お隣りに中国や北朝鮮もあるわけですから、サイバーセキュリティの必要性は非常に高いですよ。
夢野:一般企業の秘密を盗み出そうという試みは日常的にある、ということですね。
グットマン:日本でも、最近のソニーの情報漏えい問題は記憶に新しいところでしょう。ただし企業には「うちは攻撃を受けた」と発表する義務はないので、耳にはしなくてもサイバー攻撃は毎日どこの企業でも起こっていますよ。
イスラエルと米国の調査では、中規模以上の企業支出の11%までサイバーセキュリティにかけている、という報告もあります。これはかなりの割合の支出です。攻撃は顧客情報やクレジットカード番号を盗んだり、企業のイメージを潰すような書き込みをしたり、と数限りなくあります。外部からの攻撃だけでなく、極端な話、内部の従業員が情報を盗もうとする可能性だってあります。
実際に「攻撃」に遭遇したエンジニアが製品を開発
夢野:防衛上の需要が非常に高いイスラエルには、サイバーセキュリティを扱う企業がたくさんあるそうですが、サイテジック社が他社と違うところはどんなところでしょうか。
グットマン:イスラエルのスタートアップは、「技術のある者が集まって製品を作り出し、それを売る市場をさがす」のが共通した起業の仕方です。しかし当社の製品は、実際に発生した問題への対策としてニーズ先行的に開発されました。
当社の創設者が以前勤めていたある会社に、サイバー攻撃がありました。そのとき「誰にでも客観的に状況が分かり、どのセキュリティ製品を使えばいいかが分かるシステム」が存在しないことが分かり、彼はそのような製品を作ると宣言したんです。
市場にはあふれるほどセキュリティ製品が出回っていて、情報も過多。企業のセキュリティ責任者は、どれを選んでいいかわかりません。この「誰にでも客観的に分かる分析をする」というアイデアに、国内大手のレウミ銀行が賛同してくれたこともあって、サイテジック社が現在提供するシステムが生まれました。
夢野:そのシステムは、具体的にどう働くのですか。
グットマン:まず顧客企業にすでにあるセキュリティシステムを調べ、それが最適に働いているかどうかを査定します。問題点があるとすれば、どこが弱点かを明確にします。それとは別に、当社独自の情報分析技術を使って、日本を含む世界のどの地域でどの職種に、いつサイバー攻撃がありうるかも把握します。
調査結果は、一般向けには月末ごとに発表しています。これらの結果をもとに、どのセキュリティ製品の運用が顧客企業に最適かを判断します。つまり、当社のサービスは常に顧客との協力体制で行うわけです。
今までにあった査定の方法では、年に1回ぐらい調査結果が出てくるだけでしたが、これではまったく不十分です。今日安全でも、来週攻撃される場合があるんですから。うちは週ごとに調査しています。もちろん、それだけやっても完全防衛というのはありえませんが、最善の防衛を施すことはできます。
情報を共有する「オンラインコミュニティ」が強み
夢野:その他にサイテジック社ならではの特徴はありますか。
グットマン:当社はサイバーセキュリティに関する非公開のオンラインコミュニティを運営しています。現在サイバーセキュリティに関し、企業間のコミュニケーションはほとんどありません。したがって、ある会社がサイバー攻撃で被害を受けた場合、企業ダメージにつながるからといって情報共有されないと、他社はそれを知らずに同じ製品を使っていて同じ被害に合うこともありうるわけです。
このオンラインコミュニティ内では企業間の情報の流通があり、セキュリティ担当者が今選ぼうとしている製品が効果的であるかどうか、自社の問題に最適かどうか、他社の意見を聞くこともできます。このコミュニケーションがない、またはできないというところが、サイバーセキュリティを改善していく上で一番むずかしいところですね。
夢野:企業間で、もっと話し合おうとかいう動きはないんですか。
グットマン:みんな問題はよくわかっていますから、年に1回ぐらいカンファレンスで同業者が集まると情報交換しますが、今のところそれ以上はないです。
夢野:つまり、他の企業がサイバー攻撃を封じ込める製品作りと販売に専念しているのに対し、サイテジック社はそれぞれの状況に適した製品を顧客との対応の中で見い出しながら、サイバーセキュリティ界の閉鎖性からくる問題もコミュニティ経営で改善していこうとしている、という独自性があると言えるでしょうか。
グットマン:そういうことになりますね。
日本企業から声が掛かれば「すぐに飛んでいく」
夢野:ところで、サイテジック社の顧客はすべてイスラエル企業ですか。
グットマン:いいえ。最初はイスラエル企業から始まりましたが、その後メキシコ市場にも進出し、現在は米国の大市場に展開しているところです。
夢野:将来、日本への進出は考えていらっしゃいますか。
グットマン:もちろんです。東南アジアやオーストラリアへも。
夢野:その際に、言葉の壁は問題になりませんか。
グットマン:現在運用しているファイヤーウォール(外部からの攻撃から保護するシステム)は世界共通ベースで、言語の切り替えはすぐにできますから問題になりません。日本企業が1社でも取引したいとなれば、私はすぐ飛行機に乗って飛んでいきますよ。
(インタビューを終えて)
イスラエル総保安庁の元長官でサイテジックの理事を務めるカルミ・ギロン氏が今年の1月8日、米ブルームバーグのインタビューに答えています。サイテジック社にはギロン氏のほか、戦略と組織心理学の博士号を持ち大手金融機関と情報技術に25年以上の経験を持つスタッフなど、高度な技術をもった人材でチームを構成しています。若い会社ではあるものの、イスラエルの大手銀行数社を含め、すでに数多くの顧客を獲得しています。
得意とする分析技術とユニークなシミュレーションシステムで、いつでもどんな攻撃にも対処できるよう備えているといいます。グットマンさんは「本番で失敗するより、練習(シミュレーション)で失敗した方がいいですからね」と笑っていました。2015年の年明けには安倍首相のイスラエル訪問も発表され、今後はイスラエルと日本とのビジネス上のつながりも強まっていくことでしょう。
あわせてよみたい:警告メッセージを軽視する日本人が中国ハッカーの餌食に