與澤 和紀

今回は、NTTセキュリティ・ジャパン株式会社の代表取締役社長を務める與澤和紀氏にお話を伺います。

１章では、次第に巧妙化するハッカー・サイバー攻撃とその被害を防ぐために必要なこと二ついてお聞きし、次の章からはそこに対してNTTセキュリティ・ジャパン株式会社が行っている事業内容についてお聞きしましょう。

【経歴】

1957年東京都出身。1979年千葉大学工学部卒業。中学・高校はバレーボール部、大学では少林寺拳法部に所属。卒業と同時にNTT入社。以降東京を中心に、金沢、仙台ならびに米国カリフォルニアで研究開発、人事、営業、エンジニアリング業務等多くの業務、事業に従事。途中、1995年にスタンフォードビジネススクールで修士取得。

現在はサイバーセキュリティ対応サービスを大企業を中心に世界各国で展開しており、グローバル最高技術責任者（CTO）を兼務。

本日は、セキュリティサービスの第一線でご活躍されている與澤様に、中小企業がセキュリティ強化をする必要性をはじめ、與澤様のこれまでのご経歴やNTTセキュリティサービスの強み、採用したい人材などについてお聞かせいただければと思っております。

はじめに、ハッカーやサイバー攻撃による被害、そしてそれに対する対策についてお聞かせいただけますか。

「はい。今、ハッカーやサイバー攻撃というのは、世界的に見てもとても被害が増えていますし巧妙化もしています。

もともと、ハッカーやサイバー攻撃をする人間というのは、日本でインターネットが流行り始めた20年位前から存在していました。当時は趣味・遊び程度でしたが、21世紀に入ると、高い知識を持った人間が組織ぐるみになって攻撃してくるようになりました。

例えば、100億もの巨額なコストをかけているような薬品の開発の製造・構成データや自動車の設計情報など、企業の機密情報を盗み出して闇のマーケットで売ったり。売らなくても「そちらの会社の情報を盗み出した。公表して欲しくなければ送金しろ。」というような形も増えてきています。

2020年に東京オリンピックが日本で開催されますから、日本は特にハッカーやサイバー攻撃から狙われることが多くなるでしょうね。」

「はい。しかも、脅しに屈して送金してしまう企業が多いのが現実です。会社としてはダメージが桁違いに大きいですよね。

しかも、法外な金額ではなく払えるような金額を要求してくるんです。例えば、パソコンを攻撃してフォルダやデータを不正に暗号化し、「3万円払わないとこのデータは復活させない。3万円を送金すれば暗号化するキーを教える。」と脅してくるわけです。

とある調査によると、世界のGDPでサイバー攻撃の被害総額はGDPの0.8％。アメリカの場合は1.6％強。GDPの約1％といったらそれはもう大変なものです。日本のGDPが約500兆だとしたら5兆円もの大きな額の被害を蒙ることになるので。」

「中小企業といえども、重要な情報はパソコンやサーバー、あるいはシェアフォルダなどはクラウド上に置かれていることが多いですから、これも盗まれると大変な被害になります。

特に顧客情報が盗まれた場合は大変なことになりますよ。顧客情報も、名前・Eメールアドレス・電話番号の他、万が一クレジットカード情報が入っていたりしますから。今、個人情報の漏洩というのは、どの国でもセンシティブになっています。

例えば、日本で№1・2・3の自動車会社の子会社をみても、部品会社だけで世界で約200社、さらにその下に細かい部品を専門に作っている会社が数多くあります。それらの受発注データは電子的に扱われていますので、たとえ小さな会社でもハッキングされてパソコンやサーバーが乗っ取られると、そこから親会社まで影響してしまいますし、実際にそうした事例も起こっています。

こうしたハッカーというのは、1番弱い所を突いてきます。この会社とこの会社は繋がりがありそうで、この会社は何も対策をしていないなと。その会社から入り込んで親会社まで到達してきます。こうしたパターンは、海外だけでなく、最近では日本でも危機感を持つようになっていますよ。

このようなことが起きた場合、親会社の責任にはなるのですが、中小・零細企業だからといって許されることにはならないですし、顧客情報扱っていてそれが漏洩すれば、他のハッキングにも使われ被害はさらに拡大します。」

「対策のひとつが、パソコンにアンチウィルスを入れること。添付文書のEメールがきた時に、感染の可能性のあるものを発見してくれます。

実は、パソコンやスマートホンの感染というのは100％防ぐことはできません。それよりはむしろ、感染をしそう、あるいは感染してしまった後にいかに短時間で気付いて被害が出ないようにするかが大切です。

この時、いかにしてインターネットの出入り口を守るかが重要。相手は会社のパソコンを感染させ、乗っ取り、遠隔で操作してデータを入手しようとしてますから。その出入り口を守る機器は入れるべきですね。

こうした機器は会社の規模に合わせて色々とありますし、外からの攻撃が特定のパターンだと全部跳ねてくれます。また、外から遠隔操作されそうになってもある程度の確率で止めてくれますよ。」

「スマートフォンは携帯会社が保証していますが、100％大丈夫ということではありません。ハッカーが入り辛いようにはしているものの、たとえスマートホンでも感染してしまいます。Wi-Fiの場合も安全とは言い切れませんね。

結局のところ、会社内に対策機器を入れていても、スマホ・PC・タブレットを持ち歩くことで外で感染してしまう可能性はあります。だから、やはりアンチウィルスは入れないといけません。

最近では、クラウド型のセキュリティサービスも充実しているのをご存知でしょうか。これは、ハッカーからの攻撃や侵入をかなりの確率で防いでくれるのもので、新しいセキュリティ対策として今後さらに利用が広がっていくと思います。

NTTセキュリティ・ジャパンでは、低コストで始められるサービスやクラウド型サービスなど、中小企業向けのサービスも提供しています。」

「元々は研究開発がキャリアのスタートになります。NTTの基幹の機器などの技術開発にも複数の分野で携わり、設備投資の経験もさせていただきました。アメリカのスタンフォード大学でMBAを取得し、アメリカでNTTとしては初となる事業も起ち上げました。IT先進地域となるアメリカのシリコンバレーでの事業でしたので、とても良い経験になりましたね。

帰国後はシリコンバレーでの経験を生かせるよう、IT関連の新しいサービスの開発・技術開発の担当を任され、今でいうクラウドサービスにあたるプロジェクトを私の方で発案。立ち上げまでこぎ着けることができました。

そのプロジェクトを軌道にのせた後は、日本を含めたグローバルのM&A事業に。IT会社やドイツやスウェーデンに本社のあるセキュリティ会社などを買収する業務を担当しました。

その次のステップとしては、買収したセキュリティ会社を纏め上げるためにセキュリティ専担になり、日本とヨーロッパのセキュリティ会社をひとつにして能力レベルを上げ、技術開発も継続。さらにその次は、アメリカやオーストラリアの買収した会社のマネジメントを任されました。」

そして、いま與澤様が経営されているNTTセキュリティ・ジャパンのサービスについてもお聞かせください。

「基本的にはサイバーセキュリティのプロフェッショナル・エキスパートとしての視点で、お客様をハッカーやあらゆるサイバー攻撃から守るというところが基本的な事業の骨格になります。

お客様のネットワーク環境が攻撃を受けにくい様になっているか？何らかの対策をとった方が良いのか？というようなリスクの分析サービスから、必要な対策・提案をしていきます。場合によっては、お客様の社員教育も行うことも。

具体的なサービスとしては大きく 2つありまして、1つ目がマネージドセキュリティサービスというもの。どういうものかと言いますと、センターから24時間モニタリングをして、何らかの攻撃があって、それが成功しそうなのかどうかということを24時間体制で見守ります。

問題が起きそうだと判断した場合には、遅くとも30分以内にレポートという形でお客様に送付し、必要によっては質疑応答も行います。センターの人間は能力が高いので、ハッカーの攻撃手法やツール、攻撃パターンを完全に把握できます。

2つ目は、自社開発の自動分析ツールを活用して、サイバー攻撃が成功しそうかどうかというのを自動的に分析する、低価格での導入を希望されているお客様向けのサービスですね。」

「当社はNTTコミュニケーションズやNTT東日本、NTTDoCoMoと同じような立ち位置にあります。NTTセキュリティの中で、私はNTTセキュリティの日本での組織の社長となりますが、同時にグローバルの最高技術責任者、CTOとして全てを見ています。

サーバー攻撃の多い国といわれているアメリカやヨーロッパなどでのセキュリティ対策事例や経験はやはり先進的なものなので、そうしたものが私たちの中に多く蓄積されていくのは1つの強みと言えるでしょう。

幸いにも、日本はサーバー攻撃では後進国ですが、私たちがグローバルと一体化することで海外での経験を日本にそのままインプット出来ます。

例えば、こういうインターネットアドレスから攻撃があったという海外の情報は、瞬時にこちらのチームにもシェアされます。それが分析エンジンの分析にも役立てますし、アナリストがリアルタイムで見る場合にも役立ちます。それがNTTセキュリティ・ジャパンの特長であり、他社には真似できない強みだと思いますね。

お客様はどんどんグローバル化していますので、ヨーロッパで4社、アメリカ1社、オーストラリア1社。それにNTTコミュニケーションズが元々作り上げて来たサービスの組織を一体にして、7社ほど海外のセキュリティ専門会社を買収し、一本にして作り上げ、グローバル化に対応しています。 」

「サイバーセキュリティというサービスを提供することで、星の数程あるサイバー攻撃を検知し、お客様を安全で守られた状態にする。そして、それによってお客様の事業を順調に伸ばすお手伝いをすることが出来たり、事業継続のためのサポートを出来るというところが当社の仕事の魅力だと思います。

また、当社の事業に携わっていれば、たくさんのお客様をモニタリング出来ますし、実際にお客様と話していく中で、どんどん新しい攻撃技術を知ることができるので成長にもつながると思いますよ。

さらに、当社の場合は新しい攻撃が来ても、グローバルのネットワークで、アメリカやヨーロッパの同僚と情報共有できますから、新しい攻撃パターンや、知識を習得出来る。そうした日々の積み重ねが、自分の向上マインドや好奇心を刺激してくれます。」

「はい。新しいシステム構成や、どういう攻撃パターンがあるかを学ぶトレーニングには積極的に送り出していますね。そうすることで、自分のレベルがどんどん高まっていくのが実感出来ますから。

包み隠さずお話ししますが、当社は24時間体制で監視を行っていますので、シフト勤務に入っている社員は夜勤もありやはり辛い部分もあると思います。その分、自分のための知識習得の時間も積極的に作ってあげたいんです。

アメリカ・シンガポール・シドニー・スウェーデンのメンバーと集まって、新しい攻撃パターンを学ぶような会も開いていますよ。今週はスウェーデンで開催しています。

こういうことが、彼らにとって喜びなんです。同じレベルや自分よりさらに高いレベルの人間が集まって、国籍や言語を問わず新たな発想をぶつけ合う。そういう学びや発見の場はどんどん提供するようにしていますね。

不思議なもので、専門家同士って言葉が通じなくても、大体紙に描くと通じてしまうんです。攻撃プログラミングというのは、英語があまり話せなかったとしても、情報共有できるんですよ。」

採用では、どのような人材を求めていますか？

「当社で働いている人間は、セキュリティ分野に長く携わっていた方が多いです。だからといって経験を積んでいないとダメかというと、そうではありません。

優秀な分析家・アナリストは、そもそもセキュリティの仕事が好きという気持ちがないと勤まりません。実際に、パソコンのかなり深い所まで知っているというレベルの知識が必要ですし、プログラミングも高級言語というよりは、細かい機械語でも書ける位の人が多いですね。

さらにいうと、“正義感”も必要になると思います。高いスキルを悪いことに使わず、お客様を守るという一点にのみ活かしていける人。

年齢や学歴は全く関係ないですね。スキルや、やる気があって、さらにグローバルを知っている人、そしてさらには追求することが好きな人を採用していきたいです。

今日はお話をお伺いできて本当によかったです。お時間のない中貴重な機会を頂きましてどうもありがとうございました。

與澤：こちらこそありがとうございました。