「サイバーレジリエンス」強化に向けて、日立ソリューションズが取り組むセキュリティソリューション事業とは
あらゆるサービスのDX(デジタルトランスフォーメーション)が加速する現代社会において、情報セキュリティ対策の強化は必須のテーマとなってきています。IPA(情報処理推進機構)が2022年8月に発表した「情報セキュリティ10大脅威 2022」によると、組織向けの脅威としてランサムウェアや標準型攻撃といった内容に加え、今年は「ゼロデイ攻撃(修正プログラムの公開前を狙う攻撃)」がランクイン。益々高度化・巧妙化する様々な脅威から守るため、最新の対策を恒常的に講じられるような仕組みの構築が不可欠だと言えます。
今回は、そのような企業のセキュリティリスクを低減するために日々奮闘している、日立ソリューションズの「セキュリティソリューション事業部」について、事業のマネジメントを担う2名のメンバーにお話を伺いました。
目次
プロフィール
執行役員
セキュリティソリューション事業部 事業部長
セキュリティソリューション事業部
ネットワークセキュリティソリューション本部 関西システムインテグレーション部
担当部長
分析から保守までトータルに提供するセキュリティソリューション
――まずは日立ソリューションズの「セキュリティソリューション事業部」について教えてください。
平間:セキュリティソリューション事業部は、日立ソリューションズの中でもネットワークとセキュリティに特化した事業部です。自社開発や海外ベンダーの製品・サービスなど、最先端の技術を取り入れて、ネットワークとセキュリティに関する現状を分析してコンサルティングし、サービス導入やシステム構築、さらには運用・保守までをワンストップで提供しております。
平間:私たちの強みは、セキュリティエバンジェリストやホワイトハッカーなど高度な技術を有する技術者が在籍し、常にトレンドや最先端の技術に追従していることです。またソリューションを提供するだけでなく、セキュリティ領域に関するトレンドや注意点などを日々発信するなどして啓発活動を進め、市場全体のリフトアップへと貢献している点も特徴として挙げられます。こちらについては、自社単独ではなく、日立グループとしても様々な取り組みを行なっています。
新常態となり、場所に捉われない働き方やDXが一層加速する中で、自社でシステムを構築するより、クラウドを利用するという企業が増えています。従業員はどこからでもリモートでシステムにアクセスできるようになりました。そのような環境において、情報セキュリティ担当部門は、これまでのような対応ではセキュリティを確保するのが難しくなるため、「グローバルに広がる拠点やサプライチェーンも含めて、全体的にセキュリティ対策を見直したい」というご要望が増えてきています。そのような要望に対して、私たちは、幅広いお客さまに向けて最先端のソリューションを提供しています。
――三宅さん主管チームの他に、どのようなチームがいらっしゃるのでしょうか?
平間:大きく3つのチームに分かれます。1つ目のチームでは、自社製品を主に作っており、端末からのデータの持ち出しの制御や暗号化する製品などが有名です。もちろんそれに限らず、昨今ではクラウド上のセキュリティを担保するような製品なども扱っています。
2つ目のチームでは、弊社製品と海外の商材を組み合わせてソリューションとして提供するフロントのチームがあります。ここが三宅の所属するチームですね。
3つ目のチームでは、海外の最先端商材を国内へとデリバリーしています。
――デリバリーとは、具体的にどのようなことをしているのでしょうか?
平間:海外で見つけてきた商材が国内で利用できることを検証し、保守対応の運用まで含めて国内で展開するということです。直近では、IDの多要素認証ソリューション、そしてグローバルへのWebアクセスなどで危険なところをチェックしてガードをかけるようなソリューションなどが挙げられますね。
人財交流含め、積極的に日立グループ間で連携
――先ほど「日立グループとしても様々な取り組みを行なっている」というお話がありましたが、具体的にはどのような連携をされているのでしょうか?
平間:弊社はソリューションカットでの多様な製品を持っていることが強みですから、日立グループ内の企業とお付き合いをされているお客さまのセキュリティ領域のお悩みに対して、一緒にワンストップで支援をしています。弊社から直販お取引をする案件では、産業、流通、製造などのお客さまへの対応が中心ですが、グループ内の企業との連携においては、社会インフラを担う企業や金融、公共向けに数年規模の大規模プロジェクトのネットワーク、セキュリティを担当することも多いです。
――同じセキュリティ事業であっても、日立グループ内で役割分担されているということですね。
平間:そうですね。それぞれの強みが異なるので、うまく連携することで、グループとしてのシナジーを高めていると感じます。
――ちなみに、先ほどのセキュリティ領域のように情報のアップデートの流れが早い領域のコンサルティングは、非常に難易度が高く、人財育成の難易度も高いと感じます。その辺りは、具体的にどうされているのでしょうか?
平間:情報収集を専門で行っているチームがあり、最新の情報をキャッチして対応・展開するという体制を組んでいます。外部のコンサルティング会社と組んで対応することも多いです。弊社内での座学やOJT、日立グループとの連携を通じて人財育成を進めつつ、足りない部分については外部コンサルティング会社と連携するという形で対応しています。
また育成からは少し離れる話題かもしれませんが、「SECCON」と呼ばれる情報セキュリティをテーマに据えた、多様な競技を開催する情報セキュリティコンテストに毎年必ずエントリーしており、国内では上位に入賞しております。他には、社内でも年に一回ハッキングコンテストをやっています。また、弊社のセキュリティのコンサルに関するチームが問題を作成し、参加者300人ほどの別イベントも開催しました。参加者は弊社の社員が多いですが、日立グループ内の企業からの参加もあり、人財交流にもつながっています。
※日立製作所と日立ソリューションズの人財交流については、以下の記事もご参照ください。
DX時代に必要なセキュリティを。ホワイトハットハッカー。おとり環境。日立のすごすぎるセキュリティを専門とする組織に迫る。
ゼロトラストのSASE基盤の提案や導入、プロジェクトマネジメントに強みあり
――次に、現場でのお取り組み内容について伺いたく、まずは三宅さんの現在の業務内容について教えてください。
三宅:私は現在、自部門の責任者として、西日本エリアへのセキュリティ商材の拡販や大規模プロジェクトの提案など、事業計画・予算の策定および達成に対して責任を負っています。また、システム導入時におけるプロジェクトマネジャーというのがもう一つの重要な役割です。具体的には、プロジェクトの遂行ルールの定義や監視/修正、お客さまやメーカー(ベンダー)とのコミュニケーションマネジメント、そして、お客さまとの意識のずれの予防や問題点の共有・解決などを担っています。事業部としては、製造業に加え通信や小売、流通など、幅広い業界の中堅・大手企業の皆様をご支援しています。
――現在ご対応されているのはどういった業界のお客さまなのでしょうか?
三宅:私自身は製造業のお客さまが中心です。その中でも国内外に工場や販売店をお持ちになっている大規模企業さまとのお付き合いが多いです。
理由の1つとして、製造業のセキュリティインシデントは、サプライチェーンや海外拠点から発生してしまうことが多く、その課題対策を急務とされていたことが背景にあります。そこで私はゼロトラストのSASE(Secure Access Service Edge)基盤の提案や導入、プロジェクトマネジメントを行っています。事業部としては、製造業に加え通信や小売、流通など、幅広い業界の中堅・大手企業の皆様をご支援しています。
――具体的にどのような取り組みをされているのでしょうか?
三宅:リモートワークを考えてみると、コロナ禍以前も取り組んではいたのですが、コロナ禍をきっかけに非常に速いスピードで進みました。インフラ基盤やOAを含む業務システムのクラウド化が当たり前になって、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)そしてSaaS(Software as a Service)をはじめ様々なサービスが利用されるようになってきました。
イメージとしては、これにゼロトラストを合わせたような感じです。合わせ方としては、プロキシサーバをクラウド上に出すSWG(Secure Web Gateway)や、シャドーITの可視化としてのCASB(Cloud Access Security Broker)など、それらを基盤にして世界中どこからでも同じレベルで対応できる形にするというものがあります。もちろん、それだけだと「大丈夫なのか?」となるので、IaaS/PaaSに対しては脆弱性の監視するようなCSPM(Cloud Security Posture Management)やCWPP(Cloud Workload Protection Platform)を取り入れています。 Microsoft365やSalesforceなど重要な情報が集約されているSaaS設定に関してはセキュリティ脆弱性を監視するSaaS セキュリティ ポスチャ管理(SSPM)などを利用し、セキュリティベンダーとしてMSS(Managed Security Service)を用いた運用支援まで行っています。
――取り組む領域として、バックヤードの基幹システム的な部分やフロントのオペレーション部分もあると思うのですが、どの部分のお引き合いが多いのでしょうか?
三宅:一番多いのはOA系です。国がAWS(Amazon Web Services)へ発注する時代になってきましたからね。過去ほど各システムのレスポンスが悪くない状態ということもあり、弊社がもつ基幹パッケージをパブリッククラウドで実装して対応するというケースも増えてきました。
――工場の現場では古い端末を使っていて、最新のOSバージョンを適用しようとしてもハードがもたない、というケースもあるのではないかと推察します。そのような中でゼロトラストをどうやるの?と感じることがあるのですが、その辺りはどのような状況なのでしょうか?
三宅:IT(Information Technology)や、工場やプラントなどの制御機器を制御して運用する技術やシステムであるOT(Operational Technology)が今非常に盛んになってきています。しかし、システムを触って止めてしまったら大変ですので、現時点では、まずは可視化かなと思います。もちろん、最終的にはIT/OTを合わせてトータルで管理することになると想定し、工場全体がゼロトラストを実現できるという大きな絵は、いつも描くようにしています。
従業員について、会社がしっかりと考えてくれている環境
――セキュリティ領域について、日立ソリューションズの強みや他社との差別化ポイントを教えてください。
三宅:一つの分野に関する提案について、他社だとある程度決まった商材をもってくると思うのですが、弊社では複数の選択肢を提示してご提案するようにしています。またそれぞれの分野に専門家がいて、サポートまで可能な人財を擁している点も強みだと感じます。もちろん自社製品もありますが、ファイアウォール製品をはじめとしたセキュリティ商材は複数社とアライアンス契約を行い、一次販社として取り扱っていますので、ここまでお客さまに最適な提案が行えるベンダーは他に無いと思います。
また、私のような取りまとめる立場の人間は、マネジメント能力に特化することでさらなる強みとなるように努めています。お客さまからのフィードバックでは、ありがたいことに「プロジェクトマネジメント能力や推進力が非常に良い」というお言葉をいただいています。同じ海外商材を適用すると言っても、導入する会社によって満足度や設計が変わってきます。ニーズを正しく把握して、それを専門家で細かな部分まで対応できるというのが強みであり、ご評価いただけている部分かなと感じています。
――プロジェクトマネジメントは、ある程度経験がものをいうところがあると思うのですが、どのように高いクオリティの人財を担保されているのでしょう?
三宅:日立グループ内で認定資格を作っていて、ステップを踏んで学習していけるような仕組みを会社として用意しています。具体的には、PMP(Project Management Professional)のような資格の有無や、扱っているプロジェクトの人数規模や金額などの実績を踏まえて、段階的な試験で取得していくものです。
――なるほど。実際に活躍されているセキュリティ人財とはどのような人物が多いのでしょうか?
三宅:セキュリティの分野では、新しい技術や製品・サービスがすぐに出てくるので、20年やっていたからといって対応できる訳でもありません。逆もまた然りで、この領域に入ったばかりであっても、若い人を筆頭に伸び率が高いことも多々あります。やる気があってなんでも吸収するようなタイプは、どんどん活躍している印象ですね。
平間:担当業務によって多少違うのでしょうが、共通するのは、何かしらのこだわりがあって、技術なりプロジェクトマネジメント力なり、携わったときにとことん突き詰めていけるような向上心のある人が活躍していると感じますね。
三宅:特にセキュリティに関しては100点がないと思っているので、ある程度自分でゴールを決めて、そこからの逆算で、バックキャスト的に進めていける人が強いなと思います。
――スペシャリストとマネジメントでキャリアに悩む人もいると思うのですが、そこに関してはいかがですか?
平間:マネジメントの素養がある人には「マネジメントをやらないか?」と提案しています。ただマネジメント人財だけ増えてもダメで、スペシャリスト人財も重要ですし、技術だけをとことん突き詰めていきたいという方も当然おりますので、メンバーそれぞれの希望を最大限反映するようにしています。
――お二人から見て、職場としての日立ソリューションズの良さはどこだと思いますか?
三宅:個人的には「アルムナイネットワーク」と呼ばれる退職者のコミュニティが発足され「再雇用(リターン)制度」と呼ばれる、一度退職しても戻ってこられる制度が素敵だなと。社員を家族のように扱ってくれるところが良いなと感じています。
また働きやすさとしても自由で、いわゆる「FA制度」のようなものもありますし、やりたいことに手を上げれば実際にできる点も、良い文化だなと思っています。
平間:従業員について、会社がしっかりと考えてくれている点は間違いないなと感じますね。たとえばリモート勤務がメインになって、多くの企業がコミュニケーションに苦労しています。しかし、経営幹部や人事部門が、日々、従業員が働きやすい環境改善に取り組んでいるからこそ、制度を作成してからの実施率も高いのだなと思います。
「自信をもってお勧めしたい会社」
――セキュリティソリューション事業部として中長期的に描かれている未来について教えてください。
平間:今後ますますDXが加速していく中で、社会はサイバー攻撃に常に晒されている状況です。だからこそ、日立ソリューションズとしては、お客さまのレジリエンス経営を支える新しいセキュリティ対策として、「サイバーレジリエンス」に注力していきます。
――サイバーレジリエンスとはどういう概念ですか?
平間:サイバー攻撃の被害が発生しても、抵抗力や回復力を高めることで、事業継続を可能にする取り組みのことです。経営視点で情報資産、商品・提供価値、バリューチェーンのリスクの把握・管理を徹底することで、サイバー攻撃が起きた際の事業のダメージを局所化し、スピーディーに回復できるようにして、レジリエンス経営を強化するという考え方です。また、ゼロトラストセキュリティなど従来のセキュリティ対策を事業継続の観点で見直し、強化することも可能です。
――サイバーレジリエンスという考え方の前提には、企業のボードメンバーのサイバーセキュリティへのリテラシーが高いことがあると思いますが、現状はいかがでしょうか?
平間:おっしゃる通りですが、残念ながらまだまだ道中半ばで、海外のセキュリティ領域へのIT投資と比べると我が国の金額は少ないと言わざるを得ません。ただ、感度の高い企業や経営者は、弊社含めてしっかりと先んじた投資を進めています。
――なるほど。そのようなサイバーレジリエンスを強化していくという未来に向けて、どのような人財と一緒に働きたいですか?
平間:ネットワークやセキュリティのスペシャリスト/ゼネラリストとして、お客さまのIT/OTを守るという使命感を持っている人財ですね。具体的には、お客さまの課題に対して寄り添い、真摯に向き合う姿勢を持っている人です。そのために新しい技術を貪欲に学ぶ人、さらにはお客さまの課題解決に向けてチームで取り組む姿勢がある人かなと思います。
三宅:今お話があった通り、社内外コミュニケーションを自発的に行い、チームで仕事ができる人は素敵ですね。あと、分からないことがあれば「まずはやってみよう」の考え方を持っていることも大事だと思います。
――ありがとうございます。それでは最後に、「あなたにとっての日立ソリューションズは?」というテーマでコメントをお願いします。
三宅:僕の中では感謝しかないなと思っています。入社当時はセキュリティ分野についての知識や経験が全くない状態でしたが、現場での開発から超上流のコンサルティングまでいろいろな経験をさせてもらいました。教育制度が決め手で入社してから20数年間在籍しているのですが、やりがいある仕事や新しいスキルを習得する機会を常に得られております。
平間:高校・大学とソフトウェア開発に関わり、大学の先輩からの評判を聞いて入社しました。新人の頃から社員をしっかりと育てる会社だと思います。私自身、技術者として、マネジャーとして、事業を管掌するポジションとして、入社以来、やりがいをもって仕事してきました。社員一人ひとりの特性を生かして育成しようとしている会社ですので、新しいキャリアを考えている皆さんに自信をもってお勧めしたい会社です。
※本文中の会社名、商品名は各社の商標、または登録商標です。
編集後記
取材が始まってからすぐに分かったことなのですが、今回お話を伺ったお二人は非常に仲がよく、とてもフランクな雰囲気でいろいろなお話を聞かせていただきました。提供されているソリューションの内容もさることながら、このような「やわらかい」メンバーの雰囲気だからこそお客さまからの信頼も厚いのだろうなと、取材者として感じた次第です。IT/OT領域におけるサイバーレジリエンスの強化に向けて、プロフェッショナルな環境で経験を積みたいという方には、これ以上ない職場だなと感じました。
取材/文:長岡 武司
撮影:藤田 亜弓
株式会社日立ソリューションズ採用情報