大和田生成AIを活用した新たなサイバー攻撃が登場するなど、企業を取り巻くセキュリティ環境は刻一刻と変化し続けています。実際の取材でも、情報システム部門やセキュリティ担当者の苦労話をよく耳にします。

徐昨今は取引先の中で狙いやすいところから侵入してくる「サプライチェーン攻撃」が増えています。大企業のサプライチェーンに入っていれば、中堅・中小企業でも狙われるリスクがある。「うちは大丈夫」と安心してはいられません。そういう意識は次第に高まってきていますが、中堅・中小企業は人も予算も十分ではありません。新たなリスクへの対応に苦慮しているのが現状です。

大和田人材不足は慢性的な課題です。セキュリティは情報システム部門の仕事の1つなので、兼務のところがほとんど。いわゆる一人情シスだと、セキュリティも含めて情報システムの仕事を全部1人でやっているわけです。何か問題があれば、夜間や休日に呼び出されることもある。これは相当なプレッシャーですよね。

徐セキュリティの専門知識を持った人がそもそも少ないのに、インシデント発生時の対応や法規制・ガイドラインへの準拠など専門性の高い業務を求められる。これを1人でこなすことは容易なことではありません。

大和田その上、予算も十分ではないとなると「やってられない」と思う人もいるでしょうね。ただその一方、経営者目線で考えると、セキュリティは成果が見えづらい。業務システムのように「業務時間が削減できた」「売り上げが伸びた」といった成果が明示的に出るわけではない。何も問題が起きないことが成果ですが、これでは評価しづらいという側面があることも事実です。

徐その通りです。「こんなリスクが高まっているから新しい対策が必要です」と提言しても、経営者からすればピンと来ない。そのリスクがビジネスや経営にどんな影響を及ぼすのか。経営者が納得できる説明も必要になります。

大和田そうした意味では、セキュリティ製品を選択する際も経営視点による説明が重要になりますね。

徐セキュリティリスクは多様化しているので、「あれもできる。これもできる」と聞くと、多機能な製品のほうがいいように思えてきます。ただ、経営層にあれこれ機能を説明しても伝わらないですし、実際に必要な機能やよく使う機能はそれほど多いわけではありません。多機能だとコストも高額になるし、メンテナンスやサポートの手間もかかる。「大は小を兼ねる」の理屈で導入すると過剰投資になる恐れがあるわけです。自社が直面しているリスクや課題を把握した上で、本当に必要な機能を選んで導入するほうが、現場も混乱しないし管理の手間も減る。コストだって最適化できます。

大和田そうしたセキュリティ担当者の見えない苦労を加味した上でHENNGEでは製品設計を行っていると聞きました。

徐HENNGEでは「セキュリティリスクから解放し、テクノロジードリブンな企業成長を後押しする」という設計思想のもと製品づくりを行っています。特に重視しているのが「使いやすさ」です。情報システム部門が生産性高く業務を遂行すればこそ、その先にあるDXが初めて実現できる――。当社にはこういう思いが根底にあるからです。その考えを具現化したソリューションがクラウド型セキュリティサービス「HENNGE One」です（図1）。

図1　HENNGE One Suiteの概要

SSOや多要素認証、脱PPAP対策やメール誤送信対策、外部共有ストレージの可視化、標的型攻撃メール訓練に至るまで多様なセキュリティサービスを提供する。これらをオールインワンで提供するのが「HENNGE One Suite」だ。Microsoft 365、Google Workspace、Boxなどのクラウドセキュリティを強化し、ユーザーの安全性と利便性の向上を実現する

大和田使いやすさを重視するのは、なぜですか。

徐どんなに多機能・高機能でも、使われなければ意味がありません。それより必要十分な機能で使いやすいほうが、現場のユーザーにも管理者にもメリットが大きい。使いやすければ運用も定着しやすいですからね。

必要十分な機能とは、守りを妥協するという意味ではありません。セキュリティ製品は往々にして想定されるすべての攻撃を完全に防がなくてはいけないという意識が強いですが、実際は深刻な損害を与える攻撃を防げる機能があれば十分ということも多い。必要十分な機能とは、余分なものを削ぎ落した機能という意味です。それらを組み合わせた多層防御を実現すれば、守りをより強靭化できます。

大和田機能を組み合わせた多層防御とは、具体的にどのようなアプローチなのでしょうか。

徐HENNGE Oneにはアクセス管理や情報漏洩防止など様々なサービスがありますが、その連携をスムーズに行えるソリューションを用意しています。それが「HENNGE One Suite」です。HENNGE Oneの機能をオールインワンで提供するものです。

管理面でも大きなメリットがあります。他社製品の組み合わせによる多層防御はツギハギになり、エアポケットのような“隙間”が生じることがあります。HENNGE One Suiteなら“隙間”が生じにくいですし、課題が発生した場合も窓口をHENNGEに一本化し、その対応もトータルにサポートします。

大和田セキュリティを強化すると、ルールが厳しくなったり現場に負担を強いたりして反発を買ってしまう。ユーザーの利便性を損なわないことが大事ですが、そのバランスは非常に難しいですよね。

徐何かを禁止したり制約したりするというセキュリティではなく、業務課題を解決したり、新しい価値を提供する。HENNGE Oneによって、セキュリティのアプローチも変えていけると思います。

例えば、ここ数年は「脱PPAP」の動きが活発化しています。しかし、これまで使っていたPPAPが使えないと「大容量ファイルを安全に送受信するにはどうするのか」と現場は混乱してしまいます。HENNGE Oneには送信メール添付ファイルをクラウドストレージやBoxに格納するサービスがあります。これを使えば、セキュアな情報共有が可能です。

いきなりPPAP禁止をアナウンスするのではなく、PPAPに代わるセキュアな情報共有手段を提案すれば、ユーザーも混乱することなく脱PPAPを実現し、組織のリスク低減につながるでしょう。

業務アプリのSaaS化が加速し、それに伴い多様化するパスワード管理も大きな課題になっています。HENNGE Oneのシングルサインオン（以下、SSO）機能を使えば、ユーザーはSaaSごとに複数のパスワードを使い分ける必要がなく、管理者もパスワード忘れなどの対応に忙殺されずに済みます。また、パスワードレスタイプの証明書を利用することで、ほとんどのパスワードが必要なシーンを削減することもできます。

新たに提供を開始した「標的型攻撃メール訓練」は疑似攻撃メールを送り、人のセキュリティ意識の向上を促します。攻撃メールを開いたらどうなるのか。ユーザーも身につまされるので、ガイドラインを読んで頭で理解するより危機感が高まります。

こうやって新しい価値を提案し、守るだけではなく働きやすい環境を提示していけば、「普段からこんなことをやってくれるんだ」と感じて社員とセキュリティ担当者の距離が近くなる。情報システム部やセキュリティ担当者は縁の下の力持ちではなく、表舞台で活躍するヒーローになれるのではないでしょうか。

大和田セキュリティに関する取材をしていると、セキュリティ担当が“負のスパイラル”に陥っていると感じます。自社リソースでは回しきれないから、外部の システムインティグレーター（SI）に頼る。そうすると内部にノウハウがたまらず、新しい脅威に対応できない。外部事業者に頼るから対策もツギハギで、コストも上がる。このスパイラルを断ち切ることが重要です。使いやすいセキュリティ製品を使うことは、こうした課題に有効な選択肢なのかもしれませんね。

徐導入企業の中には外部一辺倒な体制から脱却しようとするお客様も少なくありません。回転寿司チェーン「元気寿司」などを展開するGenki Global Dining Concepts様はその好例です。多様なセキュリティ課題を解決するためにHENNGE One Suiteを導入し、IDaaSによるSSO、脱PPAPによるメールセキュリティ強化などを実現しました。操作が分かりやすいので、導入後の問い合わせはほとんどなかったそうです。

特にメリットを実感していただけたのが、SSOです。パスワードの設定・周知、パスワード忘れやリセットなどの手間がなくなり、管理工数が激減したそうです。SSOの仕組みが確立できたことで、新たなサービスも安心して導入できると評価していただいています。

大和田サービスの設計・開発にあたって、社内ではどのような取り組みを行っていますか。

徐サポートに寄せられる意見や要望を収集したり、アンケートを実施したり、ユーザー会ではインタビューなども行います。そうして得られたお客様の声は集約、分析のためにSaaS上で管理し、その中からニーズの高い課題の把握に努めています。そこからアイデアを得て、セキュリティトレンドと整合性を取りながら、既存機能の改善や新機能開発のロードマップを決めていきます（図2）。

図2　HENNGE Oneの開発プロセス

ユーザーの声と市場動向を基に仮説検証を繰り返し、改善や新規開発の優先度などを決めていく。優先度の高いものはロードマップと実現方法を策定し、HENNGE Oneに実装してプロダクトの価値向上を図る

こうした取り組みを支えているのが、私たちの行動規範「HENNGE WAY」です。その規範の1つに「Eat unripe fruits」というフィロソフィーがあります。自らがアーリーアダプターであり続けるために「青い果実を食べる」という意味です。

失敗や挑戦を恐れていたら、本当の学びを手にすることは難しい。お客様に先んじて自社でいろいろなことを試し、たくさん挑戦や失敗をして、たくさんの変化を成し遂げようというメッセージが込められています。社内には失敗を許容する文化があるので、皆のびのび働いているし、新しい技術のキャッチアップも早い。これも当社の大きな強みです。

大和田失敗を繰り返し、自社でのノウハウを蓄積することによって、セキュリティ担当者に沿った使いやすさを重視しているわけですね。

徐セキュリティ専門家でなくても分かるように、専門用語を極力使わず、「どんなことが可能になり、どんなメリットがあるか」を伝えるようにしています。私たちの設計思想や提供価値をきちんと理解してほしいからです。

大和田最近は攻撃側もAIを活用するなどサイバー攻撃が進化しています。新たな脅威に迅速に対応しなければなりません。今後、ソリューションや機能をどうやって進化させていくのでしょうか。

徐HENNGE Oneはまず自分たちの課題解決を実現し、そのベストプラクティスをサービスとして提供しています。このやり方は今後も継承していきます。その中で開発プロセスにおけるAI活用を進めたり、そこで得たAIの使い方など、様々な情報を交換・開示する場を設け、ナレッジの共有も促進しています。こうした活動が広がることで、品質や提供スピードの向上につながるはずです。その中からベストプラクティスを生み出し、AIが適切なソリューションとして検証できれば、それをお客様にも届けていきたいと考えています。

セキュリティは大切な情報資産やシステムを守り、安心して業務に専念するために不可欠の取り組みです。今後もHENNGEは課題解決型ソリューションの開発・提供を推進し、お客様のビジネスの成長に貢献していきます。