世界の先進技術で実現する「積練夢旅」 - Varonis 並木氏:セキュリティ・パートナーの流儀(1/2 ページ)
顧客に寄り添い、共に困難を乗り越える――。その信条の下、世界の先進技術を日本企業へ提供してきたVaronis並木氏。正規IDを活用しデータ侵害の脅威が迫る今、ソリューションベンダーとして何をするべきなのか。ジャンボ尾崎の言葉「積練夢旅」を信条とするプロフェッショナルの流儀に迫る。
DXの波を超え、世界中の企業がAI活用へと舵を切っている。しかし、利便性の裏には常に新たな脅威が潜むもの。サイバー攻撃の手口は高度化し、従来の対策だけでは、企業の最も重要な資産である「データ」を守りきれない時代が到来した。
Varonis Systems Japan執行役社長の並木 俊宗氏は、時代の変遷に合わせて、海外の新たな技術を国内企業へ展開してきた人物だ。ベリサイン、パロアルトネットワークス、フォアスカウト、ディープインスティンクト――。いずれも、当時は多くの日本企業が気づかないリスクを指摘し、新たなソリューションを提示してきた企業である。
並木氏が次なる挑戦の場として選んだのが「データセキュリティ」である。そこに足を踏み入れた理由とは。そして、並木氏の目から見た、AI時代に経営層が持つべき視座とは何か。「積練夢旅」「和魂洋才」を座右の銘に掲げる並木氏の根幹に迫る。
並木俊宗(NAMIKI Toshihiro)
――Varonis Systems Japan執行役社長
Varonis Systems Japan執行役社長。大手国内IT企業を経てセキュリティ業界へ転身。日本ベリサイン、パロアルトネットワークス、フォアスカウトテクノロジーズ、ディープインスティンクトなど外資系ベンダーで要職を歴任。20年以上にわたり、常に世界最先端の先進技術を日本市場へ展開してきた。顧客に寄り添い共に困難を乗り越える「Trusted Advisor」を信条とし、2025年より現職。
「安全だと思っていた場所」が実は危険だった――セキュリティへの目覚め
並木氏がセキュリティの世界に足を踏み入れたのは、インターネットが爆発的に普及し始めた2000年代初頭のことだ。社会人キャリアの前半でERP(統合基幹業務システム)による経営課題の解決に従事していた彼は、ベリサインに出会い、インターネットの「暗号化されていない通信」が実は平文として盗み見ることができる環境であったという事実に衝撃を受ける。
ビジネスでも利用する万人のインフラが、実は無防備極まりない環境だった。その事実に気づいた並木氏は、社会基盤を裏側で支えるセキュリティベンダーの役割の大きさに惹かれ、この業界へのめり込んでいく。「知識があるなしにかかわらず、誰もが公正に安全に便利に利用できる環境を作る」、その思いが今も大切にする並木氏の原点だ。
その後、パロアルトネットワークスでは通信の可視化をネットワーク層(L3)からアプリケーション層(L7)へと引き上げ、ネットワークにおける新たな脅威への防御力を底上げした。フォアスカウトテクノロジーズではITのみならずOT(Operational Technology:制御システム)やIoTへと防御範囲を拡大。さらにディープインスティンクトではDeep LearningAI(深層学習)を用いた「予防」のアプローチでランサムウェア対策に革新をもたらした。
一貫しているのは「新しい世界の標準作りに貢献したい」という想いだ。これまでの経歴で培った世界中の人脈を活かして最先端の技術を日本に持ち込み、顧客がまだ気づいていない潜在的なリスクまで解決することを目指している。
「技術の変化は凄まじく速い。顧客ヒアリングだけに頼りすぎず、先進技術を正しく伝え、クライアントが実現可能なリスク低減と抑制に努めています。従来型の技術に固執するあまり限定的な解決策の探求に留まってしまうことは避けなければなりません。脅威への有効的な対策を常に共有し、新たな脅威対策に役立てていただきたい。」
なぜ今、「データセキュリティ」なのか―新たなセキュリティ基軸
並木氏が「これからの10年を支える技術」として選んだのがVaronisだ。その背景には、AI普及とサイバー攻撃の質的な変化がある。
多くの企業がEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)といった事後対処型のセキュリティソリューションを導入しているが、並木氏はそれだけでは守りきれない領域があると指摘する。
「ランサムウェアの本当の恐ろしさは『暗号化』だけではなく、その前段階で行われる『データの窃取』です。攻撃者は暗号化という爆弾を仕掛ける前に、正規のIDを使ってデータの偵察を終え、重要なデータを盗み出しています。もちろん暗号化は重大な被害をもたらしますが、その前の段階でデータ侵害を止めなければなりません。また事後復旧の観点からも、データ侵害後にどのデータに影響があったのか、リスクレベルに応じた原因特定をリアルタイムに把握する必要があります」
例えば、正規のIDを悪用する攻撃の場合、従来のソリューションでは検知が難しい。並木氏は、Varonisの企業哲学ともなっている創業者の原点を紹介する。
「大手石油ガス会社がデータ侵害にあい、数百万ドルを費やした海底画像データが気付かぬ間に全て盗まれてしまった。結局、足取りは追跡できず、何よりも大きな経営損失となってしまいました」
機密データを守るにはどうすればよいのか。並木氏が重要な項目として挙げるのは、「機密データそのものの所在とリスク状態の可視性」「デーアクセス権の最小化」「データアクセスへの活動モニター」だ。従来のサイバーセキュリティに加え、このデータ中心のセキュリティアプローチに着目する必要があると並木氏は強調する。
このデータガバナンスはAIにおいても必要不可欠だという。
「自制心なくデータを収集するA Iは、意図せず機密データにアクセスし、外部共有・漏洩させてしまうリスクがあります。今後はこの事実を悪用して、機密データを抜き出す攻撃も考えられるでしょう。企業が生み出すデータが固有の知的財産として認識されるこれからの時代、データセキュリティは一層対策が必要となっていきます」
Varonisは、機密データへのアクセス権限や利用状況を可視化し、AIが常時監視することで、正規IDによる異常な振る舞いをも検知する。異常時には原因特定も含めたアラートレポートを30分で提供するサービスも実装している。サイバーセキュリティとAIセキュリティの根幹は「データを守ること」にあり、このセキュリティ新機軸こそが今、日本企業に必要なピースだと並木氏は強調する。
Copyright © ITmedia, Inc. All Rights Reserved.