【特別対談】アプリケーションセキュリティの未来~AlgoSecに聞く・顧客のセキュリティ課題とビジネス領域
はじめに
デジタル化が加速する現代において、企業にとってアプリケーションは生命線です。しかし、同時に、アプリケーションはサイバー攻撃の格好の標的となっています。こうした状況下で、企業はアプリケーションセキュリティを強化することが喫緊の課題となっています。
今回、アプリケーションセキュリティの分野で高い評価を得ているAlgoSec社のAPAC地域担当副社長・マイク・ランドウェア氏を弊社TD SYNNEXの新本社に迎え、同社が提供する革新的な技術や、顧客事例、そして今後の展望まで、アドバンスドソリューション部門長 會田との対談形式で幅広くお話を伺いました。
ランドウェア氏
2004年に設立された当社の使命は、お客様のビジネスアプリケーションの保護にあります。お客様と話していると、誰もがアプリケーションの専門用語で話し、アプリケーションこそが自分たちの業務の生命線であることを強調します。アプリケーションがダウンしたりハッキングされたりすると、新聞の一面を飾るだけでなく、業務が停止し、アプリケーションのセキュリティを確保する必要性を感じていることが分かります。。
私たちが始めた頃のAlgosecは、コンプライアンス対策の非常に小さな分野からスタートし、当時はお客様が監査人に対して「ほら、この製品からこんな素晴らしいレポートが得られましたよ。」と言っていたものでした。
次に顧客の現場で最初に目にしたのは、ビジネスアプリケーションには次々と変更が加えられ、セキュリティポリシーの変更が必要だったことです。 それは、私が台所を掃除しても、またすぐに散らかってしまうようなものでした。
Algosecはすぐに、お客様が継続的にコンプライアンスを順守できる機能を提供することにしました。お客様が変更を加える際には、その変更がすべてAlgosecのシステムを通して、コンプライアンスに準拠していること、またログが記録されていることを確認します。 誰が何のために変更を加え、誰が承認したのかも確認できます。
組織をサポートするためには、私たちも同じ言語で話す必要があります。Algosecは過去10年間、アプリケーションの文脈の中でそれらの開発を行なってきました。アプリケーションの観点から見ると、セキュリティ担当者に「ここからここまで行ないたい」と話すだけでなく、「注文処理アプリケーションがこれを実行して、提供すべきものを確実に提供できるようにする必要がある」と言うことになります。多くの社内処理が関わっているため、より厳しいセキュリティ要件を満たす必要があります。
さらに、より迅速に処理する必要もあります。また、処理が完了した時点でその旨を関係者に関係者の言語で知らせる必要があります。なぜなら、このアプリケーションを気にかけているのは、まさにこのビジネスアプリケーションの関係者だからです。そのため、当社にとってこの言語で会話できることは、その分野のお客様をサポートするためには非常に重要でした。
私たちは現在、クラウドへの移行を進めるお客様をサポートする分野に参入しています。クラウドは多くの変化をもたらしており、本日お話しすることになると思いますが、Algosecの新しい時代の取り組みなのです。
「セキュリティ」の中のAlgoSecのソリューション
會田
Algosecの観点からすると、エンドポイントにアンチウイルスソフトウェアを導入するだけでは十分ではないということですね。それだけでは基本的にビジネス要件や規制に準拠していないということですね。
ランドウェア氏
ええ、その通りだと思います。
もしあなたのラップトップがハッキングされた場合、あなたにとっては非常に劇的で不愉快なことでしょう。しかし被害を受けるのは1人です。多くの点で、被害は限定的です。
企業でははるかに大きな課題に直面しています。第一に、すべてが常に変化しています。毎日、1日に3回もアプリケーションに変更を加えるお客様もいらっしゃいます。第二に、お客様のアプリケーションは、組織内外の何百もの他のアプリケーションと接続されています。
銀行を例にとると、何百もの他の銀行、取引システム、証券取引所など、ありとあらゆるものに接続されています。航空会社や政府について考えてみても、それらのシステムはすべて互いに接続されています。 たとえ自社のシステムが管理下にあると考えていたとしても、他のシステムへの扉を開くたびに、新たな混乱が生じます。
顧客から伺った第三の問題は、知識を社内に留めておくことが非常に難しいという点です。企業では、常に人が入社し、異動し、退職しています。そして、起きることすべてを手作業で理解しようとするのは非常に困難です。ですから、管理する強力なシステムがなければ、失敗はほぼ確実です。
Algosecによるセキュリティ対策
會田
セキュリティについて考えると、リスクの1つとして、あなたが言っているようなことが起こり得ます。システムやアプリケーションがハッカーに侵入されたりしても、それに気づかないということが起こり得るのです。Algosecのソリューションでは、実際にリアルタイムで、あるいはほぼリアルタイムで検出できるのでしょうか?
ランドウェア氏
Algosecは、ハッキング検知システムではありません。 どちらかというと、リスク管理を効果的に行うために、現状を把握し、何をすべきかを理解する手助けをするシステムです。
効果的な方法と言っても、いくつかの段階があります。 1つ目に、現状を把握し、問題を修正すること。2つ目は、その時点から行うすべての作業がコンプライアンスに準拠した方法で行われるようにすることです。そうすれば、組織に新たなリスクをもたらすことは抑制されます。3つ目は、これらすべてをアプリケーションの文脈の中で行うことです。そうすれば、利害関係者であるビジネス関係者は十分に満足します。
システムによっては、他のシステムと同じレベルのセキュリティを必要としないものもあります。一部の部屋やオフィスビルでは、より頑丈なドアや金庫が必要ですが、そうでない場所もあります。同様にアプリケーションごとに、ビジネス上の文脈を考慮しながら対応できることは非常に重要です。どの領域やアプリケーションをより安全にすべきかについても、エンドユーザーにアドバイスすることができます。
クラウドセキュリティ「Prevasio」
クラウドの世界についてお話ししましょう。
企業がクラウドを好むのは、それがダイナミックで素早いからです。 非常に素早くそこにデータを置くことができますが、それには代償が伴います。システムに悪意のある誤設定を持ち込む新しい方法が非常に多くあるからです。
そこで、Algosecの次の段階、つまり進化ですが、Prevasioと呼ばれる、当社の新しいクラウドセキュリティプラットフォームです。ネットワークポリシーの観点で、先ほどお話ししたすべての問題に対処しますが、それ以上に、クラウド資産の誤設定も確認します。
多くの企業では、クラウド資産が数百、数千に上ります。その中には社内のものだったり、 外部から提供されたものがありますが、一部はどこから来たのかさえ不明です。当社は、それらを可視化することでお客様をサポートしています。
Kubernetesシステムのセキュリティ管理をサポートし、クラウドトポロジーについてもサポートしていますし、コンテナについても同様です。つまり、お客様が使用しているコンテナが安全であることを保証するサポートを行っています。悪意のあるものは何もなく、使用しているものは一夜のうちに置き換えれたものでなく自身が思っていたものであり、使用すべきでないバージョンを使用していることもありません。
そして、これがまさに当社の新しい業務の中核です。アプリケーションはコンテナで実行されています。Algosecのクラウドにはアプリケーション検出モジュールがあり、利用しているアプリケーションコンテナの安全を確保しているのです。
業種や顧客層について
會田
では、顧客層について少し教えてください。御社のソリューションは特定の業種や業界、その他のセグメントに重点を置いているのですか?それとも、業種問わず汎用性が高いのでしょうか?。
ランドウェア氏
ソリューション自体は非常に多用途です。 特定の業種向けに設計されたものではありませんが、業種によっては他よりも有用性や重要性の高いものもあります。 その要因として考えられる1つ目は業種による組織の複雑さの違いです。 ネットワークやクラウド環境、他の組織との関係が複雑であればあるほど、 セキュリティを管理は困難となり、自動化ソリューションに対するニーズが高まるでしょう。
會田
自動化なしでの管理は現実的ではありませんね。
ランドウェア氏
2つ目は、コンプライアンス規制要件です。私たちは重要なインフラを持つ多くの顧客を抱えています。電力も鉄道などもです。これらのシステムは重要ですから、非常に厳しく規制されています。ハッキングされるわけにはいきません。そして3つ目の要素は、ファイナンスです。大規模な組織では、多くのものが入れ替わるため、このニーズがより高くなります。人々は入社し、退職します。それを管理する何らかの手段が必要となります。人々を頼りにすることはできません。政府や重要なインフラとの関わりも非常に多くなっています。医療も間違いなく増加傾向にあります。多くの国々で、医療システムには以前よりもはるかに多くの人々に関する情報が集まるようになっているからです。
AlgoSecのビジネス状況
顧客基盤とその成功について
會田
では、Algosecのビジネスについて少しお話いただけますか。御社のソリューションは顧客に広く受け入れられていると思いますが、APACリージョンでのビジネスはどの程度うまくいっていますか?また、日本での方向性や投資について教えてください。
ランドウェア氏
APACはAlgosecのビジネスに非常に大きな貢献をしています。その成功の理由は、私たちがこの地域に早期に進出したからです。私たちが参入を決めたほとんどの市場で、非常に強固な顧客基盤を確立することができました。オーストラリアやシンガポール、その他のアジア諸国でも強力な顧客基盤を築いています。
中東は当社にとって成長市場ですが、ここでも強力なビジネスを展開しています。当社に影響を与えるもう一つの要素は、素晴らしいパートナーとの関係です。あらゆる市場で成功を収めるためには、エンドユーザーや再販業者との関係を持ち、それぞれの特定の国における購買パターンや要件、ニーズを理解する手助けをしてくれるパートナーと協力できることが重要です。
現在、米国のTD SYNNEX社との強固な関係を、日本でも再現しようとしているところです。それが今回の訪問の目的であり、私がここに来た理由です。そして、Algosecを日本市場により深く浸透させるために、皆様と協力できることを楽しみにしています。
會田
私が質問しようとしたことでしたが、すでに答えられてしまいました(笑)。
TD SYNNEXへの期待
TD SYNNEXとのパートナーシップについて
會田
では、私どもTD SYNNEXにどのようなことを期待されているのでしょうか?
ランドウェア氏
TD SYNNEXは米国では当社の素晴らしいパートナーであり、日本でも同様の関係を築けると信じています。私は今日、多くの時間を御社のチームと過ごしました。素晴らしいミーティングをいくつも行いました。当然ながら御社は市場を我々以上に理解しています。顧客が何を求めているか、どのようにアプローチすればよいか、顧客が何に関心を持っているかを知っています。Algosecと組み合わせることで、市場により魅力的なストーリーを提供できる他の製品は何かも。ですから、私たちは御社のブランド認知度と市場での知名度、そして市場とソリューションを市場に投入するニーズに対する理解に本当に期待しています。
当社は100%パートナーベースで販売する企業です。直接販売は行っていません。私はこれまで、APACで直接取引を成立させたことはありませんし、今後もこの方針を維持したいと考えています。これは、ビジネスを成長させるための本当に良い方法だと考えています。ビジネスを知り尽くし、規模も持つパートナーと協力し、顧客の目から見てパートナーが関連性を維持できるようなテクノロジーを提供していくのです。
會田
わかりました。他にも我々ができることは何かありますか?
ランドウェア氏
私たちが御社をより成功に導くために、どのようなお手伝いができますか?Algosecを御社のパートナーとして親しみやすいテクノロジーにするにはどうすればよいでしょうか?
會田
セキュリティは誰にとっても優先事項です。誰もが、あらゆる企業が、何らかの方法でセキュリティを確保する必要があることを知っています。
私たちはセキュリティ製品のみを販売しているわけではありません。一般的な製品の販売方法については知っていても、セキュリティに特化した販売店ではありません。ですから、セキュリティをどのように販売すればよいか、あるいは、セキュリティに関する話題を、顧客や再販業者とどのように話し合いを始めればよいか、わからないことも時にあります。そこで、ベストプラクティスについてのサポートが必要だと考えています。
ランドウェア氏
確かに、セキュリティは一般的な製品ではありません。ですから、私たちは、ソリューションやテクノロジー、そして顧客にとっての価値について、その道の専門家なのです。
會田
その通りですね。
ランドウェア氏
そして御社は市場やニーズ、そしてここで何が機能し何が機能しないかといった具体的な内容についての専門家です。ですから、お互いにうまく補い合えると思います。
會田
両社とも納得ですね。よかったです。名残惜しいですが、今回の対談はそろそろ終わりです。マイクさん、今日はどうもありがとうございました。
ランドウェア氏
こちらこそ、御社に訪問できて嬉しいです。次回の訪問で初期の成功を祝うことを楽しみにしています。
関連リンク:
TD SYNNEX、AlgoSecとの戦略的パートナーシップで日本市場のセキュリティ運用ソリューションを強化