インタビュー
中小企業のセキュリティ対策、
最初の一手はAI診断から
── 登録セキスペ・佐土瀬氏が語る“現場の課題”と対処法
佐土瀬 充Mitsuru SADOSE
情報処理安全確保支援士(登録セキスペ)
情報セキュリティアドミニストレータ
情報漏洩や外部からの攻撃――いまや企業規模を問わず、情報セキュリティは経営課題の一つです。しかし中小企業においては、専任の担当者や予算の不足から「何から始めればいいか分からない」「不安はあるが手を打てていない」という声も少なくありません。
『AI脆弱性チェッカー』は、そうした企業の“最初の一手”として開発されたAI活用型のセキュリティ診断サービスです。
今回は本サービスの監修者であり、国家資格「情報処理安全確保支援士(登録セキスペ)」を持つ佐土瀬充氏に、サービス誕生の背景と、実際の診断が企業にもたらす価値についてお話を伺いました。「うちは大丈夫」と思っている企業こそ、まずは“現状を知ること”から始めてみませんか?
登録セキスペとはどんな資格?
── まずは、「情報処理安全確保支援士(登録セキスペ)」について教えていただけますか。
「登録セキスペ」とは、正式には「情報処理安全確保支援士」と呼ばれる国家資格で、情報セキュリティ分野における専門家として国が認定するものです。
情報処理分野の資格には、基本情報技術者試験や応用情報技術者試験など、いくつかの段階がありますが、その中でも登録セキスペは特に難易度が高く、かつ高度な倫理観も求められる資格です。
大きな特徴のひとつは、「試験に合格するだけでは名乗れない」という点です。合格後に、国へ正式な登録申請を行い、認定を受けてはじめて「登録セキスペ」として活動できる仕組みになっています。この登録に際しては、たとえば守秘義務や倫理規定など、法律的な責任も課せられます。ちょっと弁護士さんに近いようなところもありますね。技術力があるだけではなくて、そういう倫理観もきちんと持っていることが求められるのが大きな特徴だと思います。
セキュリティの知識は、善用すれば守りに役立つ一方で、悪用されれば攻撃にも使えるものです。だからこそ、そうした知識を持つ人間がどんな倫理観を備えているかが、非常に重要になります。その意味で、登録セキスペは「この人には相談しても大丈夫」と企業が信頼できる、ひとつの基準になりうると考えています。
── 技術の進化に対して、この資格はどのように対応しているのでしょうか?
登録後も継続的な学習が義務づけられていて、資格を取得して終わりではありません。情報セキュリティの世界は変化が非常に速く、AIを悪用した新しい攻撃手法や、新技術を標的としたリスクなどが、次々と現れています。
そうした最新の動きに対応できるよう、登録セキスペは定期的に講習を受ける仕組みになっていて、3年に1回は、実際の攻撃と防御を模擬的に体験するような、実践形式の講座も受講しなければなりません。
単に知識を得るだけでなく、現場で具体的な対応ができる力が求められる。登録セキスペは、理論と実務の両方に精通したセキュリティの専門家といえます。
中小企業に求められる、今こそ
必要なセキュリティ対策
── 最近、情報漏洩やサイバー攻撃のニュースをよく目にします。こうした問題は中小企業にとっても無関係ではないのでしょうか?
もちろん無関係ではありません。実際には、規模の大小にかかわらず、情報が漏洩したという事実そのものが報道の対象になります。件数や影響の範囲よりも、「情報が漏れたかどうか」にニュースバリューがあるためです。
たとえばBtoCの企業では、たった数件の漏洩であっても、お客様からの信頼を損ね、「この会社の商品はもう買いたくない」と思われてしまう可能性があります。購買行動に直結してしまうのです。BtoBの場合も同様で、取引先が「この企業と取引を続けて大丈夫か?」と不安を抱けば、契約の見直しや取引停止に発展することもあります。つまり、セキュリティの脆弱さは、企業の信用そのものに直結してしまうのです。
── とはいえ、中小企業では予算や人材の確保が難しいという課題もありますよね
まさにその点 が大きなネックになっています。中小企業の多くは、専任のセキュリティ担当者やシステム管理者を置ける体制にはなく、どうしても手薄になりがちです。
ただ、だからといって何の対策も取らなければ、リスクだけが増してしまいます。そうしたときにこそ、私たち登録セキスペのような専門家が、まず「インシデントを未然に防ぐ」ための相談相手になれると思うんです。さらに、万が一トラブルが起きてしまった場合にも、「どう対応するか」というところまで、的確にアドバイスできる存在でありたいと考えています。
AI脆弱性チェッカー』
開発に込めた想いと背景
── 今回の『AI脆弱性チェッカー』は、どのような発想から企画が始まったのでしょうか?
実は私自身、これまでに「セキュリティ診断を受ける立場」で複数の案件に関わってきました。そうした中で感じていたのは、従来のセキュリティ診断というのは、どうしても人手に依存している部分が大きいということです。
通常は、ある程度のスキルを持ったエンジニアが、数日から長ければ1か月以上かけて診断を実施し、詳細なレポートを作成します。もちろん、それだけ時間と人手がかかれば、費用も高額になります。大企業であれば予算を確保できますが、情報セキュリティに対する意識があっても、費用の面で導入をためらう中小企業は少なくありません。
── 中小企業には、現実的に手が届きにくいものだったということですね。
そうなんです。「セキュリティ診断を受けたいが、高額で手が出せない」――そんな企業の声に応えたいという思いが、このサービスの出発点でした。
そこで注目したのが、AI技術の活用です。これまでエンジニアが手作業で行っていた作業の一部をAIが代替することで、診断にかかる工数を大幅に削減できるようになります。つまり、その分コストも抑えることができ、従来のような高額な脆弱性診断よりも、ずっと導入しやすいサービスが実現できると考えました。
この『AI脆弱性チェッカー』は、「セキュリティ対策が必要だとは思っているが、何から手をつければいいかわからない」と感じている中小企業の経営者やIT担当者にとって、最初の一歩となるサービスでありたいと思っています。構えず、気軽に受けていただける“入り口”として、役立てていただけたらと願っています。
診断後の対応と、企業がとるべき
次のアクション
── 診断レポートを受け取った企業の中には、「×が付いていても、どう対応したらいいかわからない」と戸惑う方も多いのではないでしょうか。
そうですね。診断結果では、○と×で状態が示され、特に×の箇所には専門的な用語が多く出てきます。セキュリティの専門知識がない方にとっては、「で、これは何をすればいいの?」と困ってしまうケースも少なくありません。
── そうですよね。「診断を受けた、その後」がすごく気になります。
そういう声を受けて、今回のAIセキュリティ診断は「健康診断」や「人間ドック」に例えていただくとわかりやすいかもしれません。健康診断では、異常の有無はわかりますが、それだけで治療まではできません。必要に応じて二次検査を受け、専門医に相談し、そこから治療方針が決まっていきますよね。
AIセキュリティ診断もそれと同じで、「ここに脆弱性がありますよ」とか、「このサイトの運用方法、ちょっと危ないですよ」といった“兆候”を見つけるのが目的なんです。たとえば、「ここが弱い」という診断が出たら、私たちのような専門家に相談していただいて、「どうやって防御するのが最適か」という具体的な処置を一緒に考える、という流れになります。
── 診断結果によっては、すぐに対処が必要なケースと、そうでないケースもあるのでしょうか?
はい、まさにそうです。これも医療と同じで、「早急な対応が必要なケース」と「経過観察で問題ないケース」があります。たとえば、「数日以内に被害が出る可能性がある」といった深刻なケースもあれば、「社員の運用ルールを見直すだけで十分」という軽微なケースもある。設定を一つ変えるだけ、注意喚起を一度行うだけで対応できる場合も多いです。
── なるほど、それなら安心ですね。診断の対象範囲についても教えてください。
今回のAI診断では、外部からアクセスできる範囲、つまり「外から見える部分の脆弱性」が対象です。セキュリティは多層構造になっており、より深い内部のリスクまで調べるには、人手や内部情報へのアクセスが必要になります。
このサービスは「まずは外部から見えるリスクをチェックする」ことに特化した、いわば“最初のステップ”としての位置づけです。深掘りが必要な場合には、さらに詳しい診断をご提案することもできます。
セキュリティインシデント、
中小企業に多い落とし穴とは?
── 最近は、ニュースなどでもセキュリティインシデントの話題をよく見かけます。中小企業に特有のミスや問題には、どのようなものがありますか?
実は、セキュリティの問題といっても、原因がすべて高度な技術的課題というわけではありません。むしろ多くのケースで目立つのは、「人的なミス」や「社内の運用ルールの甘さ」です。たとえば、管理者アカウントのパスワードが初期設定のまま使われていたり、簡単なパスワードが複数の社員間で共有されていたり。極端なケースでは、パスワードが紙に書かれてパソコンのモニターに貼られていることさえあります。AI以前の問題ですよね(笑)。
── まさに“あるある”ですね…。
実は、こうした「基本的な設定や運用の見直し」こそが、最初に取り組むべき重要な対策なんです。今回のサービスでは、AIによる脆弱性診断に加えて、社員のセキュリティ意識を確認するための「セキュリティテスト」もセットにしています。
このテストでは、「どのような行動がNGか」「どうすれば安全か」といった基本的な判断力を問う内容を通じて、現場での意識レベルを可視化します。たとえば「パスワードの使い回しは避ける」「管理アカウントを個人で使用する」といった、ごく初歩的な知識をあらためて確認し、改善につなげていくものです。そういった基本的な行動判断の部分をテストによって可視化し、学び直す機会にしてもらえたらと思います。
AI診断における監修者の視点と役割
── 診断レポートには「監修者による確認」とありますが、具体的にはどのようなことをチェックしているのでしょうか?
たとえば、レポート上で「バツ」が多くついている場合に、その判定が本当に妥当なのかを確認しています。また、レポート全体の内容に矛盾がないかもチェックします。たとえば上の方では「この設定は危険です」と書いてあるのに、下の方では「問題ありません」と記載されていたら、読み手が混乱しますよね。そうした整合性は、AIだけでは気づきにくい部分なので、専門家の視点で丁寧に確認します。
── なるほど、単にAI任せではなく、やはり人が見る部分も重要になるんですね。
そうです。もう一つ重要なのは、診断項目ごとの「緊急度の判断」です。すぐに対応が必要なケースと、少し様子を見ても問題ないケースとでは、企業の対応も変わってきます。そのあたりは、診断レポートの中だけでは分かりづらいので、必要に応じて補足的なコメントを添えることもありますし、場合によっては、レポートとは別にお客様にご連絡することもあります。
── 健康診断で「この項目だけは精密検査を」と言われるような感じですね。
まさにそのイメージです。AIが出した結果をそのまま並べるのではなく、それをどう読むか、どこから優先して対処すべきかを整理して伝える。それが監修者の役割だと思っています。
“健康診断”としての
AIセキュリティが果たす役割
── ハッキングや情報漏洩って、ある日突然起こるものなんでしょうか? それとも何か前兆のようなものがあるんですか?
あります。攻撃というのは、段階を踏んで徐々に進行していくんです。たとえばECサイトを狙う場合、まず攻撃者は「このサイトにどんな脆弱性があるか」を探します。それが見つかれば、「どうやって侵入するか」「どこを狙うか」を考える。こうして計画的に攻撃が実行されていきます。
だからこそ、今回のAIセキュリティ診断の役割は大きい。攻撃者が探してくる“穴”を事前にこちらが見つけてふさいでおく。それだけで、侵入されるリスクは大きく下げられます。
さらに、WAF(Web Application Firewall)などの防御策や、侵入を検知するシステムを組み合わせて使えば、「何か異常が起きている」という兆候にも早く気づけます。そうなれば、たとえば一時的にサイトを閉じる、パスワードを変更する、アクセス制限をかけるといった“初期対応”が可能になります。
── まさに医療と同じで、「早期発見・早期対応」ですね。
健康診断を受けるだけで病気が治るわけではありませんが、異常に早く気づければ、重症化を防げますよね。セキュリティも同じで、問題が起きる前に兆候を見つけておくことが何よりも重要なんです。
── 今日のお話を聞いて、セキュリティが少し身近に感じられました。
ありがとうございます。セキュリティは「難しそう」「自分には関係なさそう」と思われがちですが、健康診断にたとえると、誰にとっても理解しやすいテーマになります。自分の身を守るためにも、まずは小さな診断からでも、気軽に始めてもらえたらと思います。
佐土瀬 充Mitsuru SADOSE
- 所属
- 株式会社サイドピーク
- 所持資格
-
・情報処理安全確保支援士(登録セキスペ) 登録番号 第028523号
・情報セキュリティアドミニストレータ - 主な経歴
-
・流通系システム会社にてFTPファイル転送パッケージソフトの開発に参加。
・ソフトウェアハウスにて、POS関連システム、販売管理システムを開発。
・現所属会社にて、発注者支援業務、ITコンサルティング業務、セキュリティ診断業務、開発管理業務等に従事。
業務等従事経験(直近5件)
(バックエンド開発)
(バックエンド開発)
特典サイトCMS構築
