本記事は2022年1月13日に行われた「DX競争優位推進ラボ～サイバー攻撃から会社を守る最新のDX成功事例～」における株式会社サイバーセキュリティクラウド 経営企画部 部長 西澤 将人様の講演部分とパネルディスカッション部分をインタビュー形式に再構成したものです。

話し手

株式会社サイバーセキュリティクラウド
経営企画部 部長
西澤 将人

（略歴）
早稲田大学第一文学部総合人文学科哲学専修を取得単位数首席で卒業後、FAメーカーにコンサルティングセールス職として入社し、トップセールスを経験。
その後、かねてより興味のあった音楽業界へ転身し、マネジメントやプロモーション、販売促進などに加え、 部門（子会社）経営や事業企画、広告代理業などの経験を積み、クラウドサービス業界へ転業する。
転業後は組織マネジメントを中心に戦略立案や市場調査、アライアンス、マーケティングなどから、 重点顧客・大規模事業者の攻略や、カスタマーサクセス領域などまでを手掛け、 新規事業責任者としても企業成長を牽引し、東京証券取引所マザーズ市場への上場に貢献した経験も有する。
現在は株式会社サイバーセキュリティクラウドにて、ビジネス領域全体を管掌しながら、 サイバーセキュリティ市場全体の活性化に心血を注ぎ、 サービスを通じて「世の中の有り様を変える」べく、日夜邁進している。

聞き手

早稲田大学グローバル科学知融合研究所　招聘研究員
早稲田大学グローバルエデュケーションセンター非常勤講師（人工知能とﾋﾞｼﾞﾈｽﾓﾃﾞﾙ創出）
株式会社プライムスタイル　代表取締役　
奥田聡

（略歴）
早稲田大学卒業、朝日アーサーアンダーセン（現PwCコンサルティング）で主に通信・放送の分野の業務プロセス改善を中心とした経営改革業務に携わる。
その後株式会社サンブリッジソリューションズ（現：株式会社サンブリッジ）にてマーケティングストラテジストとして従事。技術シーズの事業化をテーマに大手メーカー・大手ソフトウェアハウスに対するコンサルティング業務に携わる。
2005年株式会社プライムスタイルを創業、代表取締役に就任。広告管理システムの開発・販売から創業し、現在は新規事業コンサルティング、システム構築、オフショア開発、マーケティング支援等新規事業の成功に向けた多面的なサービスを提供する。
その他、ジャパンビジネスモデル・コンペティション実行委員、Founder Institute(米国起業支援組織）の東京ディレクター、複数の企業の社外取締役等を歴任。
北陸先端科学技術大学院大学先端科学技術研究科博士前期課程修了。

インターネット上のデジタル犯罪の脅威に立ち向かう
～進化する手口とそれに対抗する技術～

奥田）本日は「サイバー攻撃から会社を守る」最新DX事例ということで、西澤様よりお話を伺いたいと思います。まずは株式会社サイバーセキュリティクラウド（CSC）についてですが、東証マザーズ（現：東証グロース市場）に上場されていて、AI技術を活用したWEBセキュリティ、とりわけWAF（Web Application Firewall）と呼ばれる領域の製品およびサービスを提供していらっしゃる会社です。WAFというのは、要は企業のWebサイトやWeb上のアプリを外部の攻撃から守るものですね。

西澤）よろしくお願いします。我々はWAFを基軸にWebセキュリティサービスを展開しています。それぞれの用途に応じて市場で高いシェアを獲得していますが、本日はその中でもパブリッククラウドのWAF自動運用サービス『WafCharm』を主眼にお話ができればと思います。なぜなら、この『WafCharm』がサイバーセキュリティ領域におけるある種のデジタルトランスフォーメーション（DX）を果たしたサービスだからです。そしてこのサービスがなぜナンバーワンを取れているかという部分が、まさに「企業がDXを成功させる秘訣」に繋がるのではないか、と考えています。

奥田）まずは、Webサイトがどの程度攻撃の脅威に晒されているのか、事例からお話しいただけますか？

西澤）警視庁の調査では、Webサイトへの不正アクセス数は5年間で4倍に増えています。警視庁自身がわざと攻撃されるような脆弱なシステムをWeb上に置いて、それがどのくらい攻撃されるのかを日々計測しているのですが、これが1日当たり6,506件世界中から攻撃を受けているという状況です。

具体的な企業のWebサイトへの攻撃事例は、お示しするのが難しい部分もありますが、ある会社では問い合わせフォームを運用する管理サーバが外部からの不正アクセスを受けたことによってシステム内部に記録されていた個人情報が最大10万件漏洩しました。

また、別の会社では1,500名以上のカード情報が流出し、調査の結果、Webサイトに内在していた脆弱性を利用した外部からのサイト改ざん行為だったということが判明しました。この脆弱性というもの自体はWebサイトの欠陥のようなものです。結局人が作るものなので、完璧はないのです。当該改ざん行為は購入ボタンを押したら、当該Webサイトに酷似した別のWebサイトに飛んで、カード情報を入力するページから偽の決済がなされるという改ざんがなされていました。ただし、購入ページが改ざんされていたからといって荷物が届かないわけではなく、最近はWebサイトによっては商品自体は届くのですが、劣悪なものが届くという例もあり、ユーザ側は情報が漏れたことに気付かず「あの店は劣悪な商品を送ってきた」と会社に対する憎悪だけが積み重なり、提供事業者側も「変なものが届いた」とクレームが来るものの、購入履歴がないから混乱しつつ謝罪をする。この様に情報自体が漏洩したと気付くのが遅れるパターンも結構あるので、とても悪質化かつ巧妙化してるのが昨今の傾向です。

ちなみに、この被害にあった会社は最終的には被害サイトで使用していたサーバ及びシステムの破棄を決定。せっかく頑張って販売サイトを作ったにも関わらず、サーバもシステム自体も捨てました。加えてオンライン販売ができなくなってしまったのでビジネス自体も大打撃を受けてしまいます。これが昨今のサイバー攻撃の実態であり、被害の大きさ、重さ、怖さが分かっていただけると思います。

奥田）やはり様々な脅威が潜んでいる分、事前の対策はしておかないといけないですね。特に狙われがちな業界や情報等の傾向というのはありますか？

西澤）狙われている業界としては、基本的には全業界、全業種です。ただ、犯罪者は効率よくお金を窃取していきたい、収益を得たいと思っているので、一番高く売れる情報である「個人情報」を持っているEC事業者が特に狙われやすいところではあります。

奥田）ランサムウェアの話は私も身近で知り合いがまさに掛かってしまったのがありました。聞いていてひどいなと思ったのが、会社の中のサーバーにある情報が全部削除されて、一つだけビットコインのウォレットの情報のファイルが置いてあって、そこに振り込んだら情報を戻してやると。こういう身代金型のものが来てしまった場合の対策は何かあるんでしょうか？

西澤）来てしまった場合には、残念ながら遅いです。払って返してもらうか、払わないで情報を失う決断をするしかないです。

奥田）払って返してもらえるならまだしも、本当に返してくれるかも定かではないですよね。やはり事前に対策をしなければならないんですね。ちなみに西澤さんの会社では、事が起きてしまったときに駆け込まれたりするケースはあるんですか？

西澤）かなりあります。例えば、サイバー攻撃には「空き巣のデジタル版」という側面もあり、社内に誰もいない年末年始のような大型連休になると攻撃が増えるという報告もあるのですが、それが故に連休中に「今すぐ導入したい」というケースがあります。DDoS攻撃という多くのPCを乗っ取り、一つのWebサイトに一斉に攻撃を向かわせるという攻撃があるのですが、それを今受けていて全然Webサイトが立ち上がらなくて何とかしたい、というお問い合わせをいただきます。連休となれば我々にとっては恒例の「この季節が来たな」という感じです。

セキュリティ運用の課題と解決策
～蓄積データからAIで最適なルールを提供する～

奥田）セキュリティを導入する側の企業から見ての、セキュリティの運用をする上での課題としてはどういうものが挙げられますか？

西澤）実際に企業でWebセキュリティの1つ、WAFを運用するにあたっては、まずルールの作り方に課題が多いです。
例えばWebサイトを守る警備員がWAFとなりますが、警備員が立っているだけで全員を通したらダメで、お客さんは良いけど泥棒だったら止めなければいけない。警備員に、この人はお客さん、この人は泥棒だとルールを作って教えてあげなくてはいけないんです。そこで出てくる問題が「最適なルールの作り方が分からない」ということです。例えば何の経験もない人が、初見で一般の人が「万引きするかどうか」とかが分からないのと同じで、Webサイトの世界でもルールもヒントも何も無ければ結局どれが不正アクセスかが分からない部分もあったりします。そうなってくると、人で言えばキョロキョロしてるとか、目をそらすとか、警察の勘のようなもの（ルール・ロジック）を機械に教え込まないといけないんです。

奥田）なるほど。ではアクセスを許可したり拒否したりなど、細かく設定をしておく必要があるんですね。その設定をシステムとして作るのも中々難しそうです。

西澤）そうですね。次に新規の脆弱性の対応に手が回らないことが多く、それに対して新しいルールが必要になるがその余裕がない、という問題が出てきます。結構細かく運用していかなきゃいけなくて、日々色々な攻撃があり色々な脆弱性に対応していかなきゃならないので、完全に専任でなくても人員を用意しなければいけないものの、ルール設定の網羅性の不安があったりしますが、かと言ってルールを厳しくしすぎると警備員の役割のシステムが正常なお客さんを含めて全てを追い返すような誤検知が起きてしまいます。そういった誤検知やトラブル対応のチューニングに時間が掛かるなどがありがちな課題です。

その様な課題をAIを使うことによって解決できるのが『WafCharm』というサービスです。通信に入ってくる時に全てスキャンされて、そのスキャンされたデータを元にAIが「これは良い、これはダメ」とアクセスを識別しているような感じです。

我々は冒頭でもお話しした通り、クラウド型WAFとしては実績ナンバーワン（※）で、Webサイトを国内で一番守っている会社なので、その分攻撃も受け、その攻撃のデータもたまっています。そこの部分をAIに解析させて、最適なルールを提供する形です。既存の攻撃であれば最強ですし、それをもとに新たな攻撃も駆逐できるというのが当社の強みです。
※ 日本マーケティングリサーチ機構調べ　調査概要：2021年10月期_実績調査

DXの意義を改めて問い直す
～AIを使いこなすためには、運用者もアップデートし続けなければならない～

西澤）我々が事業を通じてたどり着いた、DXすなわちデジタルトランスフォーメーションの意義について、最後にお話しさせていただければと思います。
サイバーセキュリティ領域において、我々にとってデジタル化というのはAI化とほぼ同義でした。ここでAIが果たす役割として大きく3つあると考えています。
まず1つ目が、専任者のナレッジ・スキルに再現性を持たせ、レバレッジを効かせる、ということです。具体的には、我々はセキュリティサービスを展開している会社で、顧客を担当する者にそれなりの専門性が求められます。しかしその専門性というものは多岐に渡っていて、すべての分野の専門家をすべての顧客に張り付かせるレベルで確保するのは現実的に不可能です。そこで我々はAIでそれぞれの専門家のナレッジ・スキルを再現できるようにして、担当者がカバーできる領域を増やしています。専門性をコモディティ化している、ともいえるでしょう。
2つ目は、顧客であるサービスの導入者側の運用者様を、AIでエンパワーメントする、という考え方です。これは我々や我々のAIが運用者様に取って代わるというものではなくて、運用者様に判断の為の情報を与えるだとか、AIが新規のディレクションに関してもルールだけ作って、あとは適用するかしないかは人にお任せするというような状態で持っていく、という業務効率化です。
3つ目は、単純作業などはデジタル／AIに任せてしまう、ということ。「人がやらないこと・やらなくてもいいこと」を明確化することで、業務によってはむしろデジタル／AIによって再現性の高い自動運用ができるということです。

奥田）サイバーセキュリティの運用者をAIでエンパワーメントする、というのは、AIが運用者に対して「こういう風にした方が良いよ」と提案して、それを人間が受け取ってなんらかの判断をするようなことになる、ということですよね。それは「AIが人間に意思決定を委ねる、結局は人が意思決定する」ということだと思うんですが、その際に生じる問題・課題はどんなものがありますか？もしあるとすれば解決策をお聞きしたいです。

西澤）結局、AIとかデジタル自体は道具でしかないので、最終的には人が使いこなす必要があります。包丁と一緒で、料理で使えばおいしいものを作れますが、人に向けたら犯罪になる。そこの部分をどういった形で定義づけるか、要するに要件定義に関しては課題として生じるところがあります。
解決策としては、コンサルティングを入れるでも良いですし、我々のようなセキュリティベンダーが定義したサービスを使うなど、一旦はツール側に運用を合わせるというような形もあり得ます。しかし既存の定義に合わせてお終い、ではなく、運用者様自身もアップデートしていくという意識は忘れてはならないと思います。それができるかできないかで、有効な解決策になるか、一時凌ぎで終わるか、変わってくるのでしょう。

奥田）セキュリティの運用の中で、AIでエンパワーされたとしても人間がやらなければならないこと、とはどんなことがあるのでしょう？

西澤）まさに最終的な「ルール」の適用。ルール適用の判断をAIに完全に任せてしまうと、全てをシャットアウトしてしまうことになりかねないので、会社によっては最終的なルールの適用は人が実行する形にして「敢えてそこは見逃す」ような運用をしている企業もあります。
また、ログを見て最終的な分析をするのは人間が行うケースも多いですね。
いずれにせよ、何をデジタル／AI化し、何を人がやって、何が人にしかできないかというところをちゃんと明確化する。そして人がやらなくてもいいこと、人が得意ではないことに関してはデジタル／AI化することで、人をエンパワーメントしていく。つまり、人がやらなくてはいけないことに人が集中する世界が「DXが進んだ世界」なんじゃないかな、と個人的に思います。

奥田）それこそまさに、デジタル／AIと人との共存ですね。西澤さんありがとうございました。

（編集後記）

サイバー攻撃に対する防御は、多くの企業にとって「最高レベルの経営課題」となっています。しかしながら、昨今のように国際化・高度化・組織化されたサイバーテロリストとの戦いに、一企業や一部署が立ち向かう術はありません。防御する側も、専門家の高度なスキルやノウハウを短期間に共有し、武器として使えるようにできる仕組みが必要です。

それこそが西澤さんのおっしゃるような「防御側の専門家のスキル・ノウハウのレバレッジを利かせ、セキュリティの運用者をエンパワーし、デジタル／AIを使う人間をアップデートする」サイバーセキュリティクラウド社の取り組みなのでしょう。

「デジタル／AIと人が共存できる社会」は、意図して目指さないと手に入れられないものかもしれません。サイバーセキュリティの世界でよりよい社会を目指して奮闘する西澤さんの活躍にこれからも期待しています。