登録番号:025036
セキュリティサービス(セキュアブラウザDoCAN)の企画とマーケティング/営業。
日々Youtubeなどを活用してセキュリティ関連の情報を発信する株式会社コネクトワン代表取締役の吉田晋社長。運営している「よしだセキスペch」では、2024年4月末現在で約100本の動画をアップし登録者数も伸びている。
そのように、セキュリティに関する様々な取り組みをしている吉田社長に、これまでの経歴から業務のこと、今後目指しているセキュリティ業界の未来についてお伺いしました。
これまでの経歴を教えて下さい。
早稲田大学の理工学部を卒業後、株式会社本田技術研究所にてオートバイの開発に14年間などに携わっていました。2000年には株式会社いいじゃんネット設立の創業株主の1人として加わり、その後2005年に株式会社コネクトワンを設立し、代表取締役社長に就任しました。
現在経営しているコネクトワンでは、セキュアブラウザ「DoCAN(ドカン)」という製品を開発、営業販売を主に行なっています。
このDoCANの開発にはFTAという手法を使っています。
FTAとは、1962年にベル研究所が発案したリスクを発見するための思考法です。1つのリスクがあったときに、そのリスクを細分化していき「それ以外がない」という証明ができるようになり、そのことを元にどこを対策すると効率よく対策できるか?がわかるようになります。
この考え方を、最初に就職した本田技術研究所で利用していました。オートバイだけでなく、車であったり飛行機であったり原子力プラントであったり何でも、信頼性を維持しないといけないものに、どのようなリスクがどのくらいの割合で起きる可能性があるのか?ということを計算できるのです。
その考え方を、ITの分野におけるセキュリティ・情報漏洩にも適用したということになります。
『この「DoCAN」を導入するとそのリスクをこれだけ低減できますよ』ということをわかりやすく数値で示せるようにしているのです。
資格「情報処理安全確保支援士」について
なぜ「情報処理安全確保支援士」を取得しようと思いましたか?
この「DoCAN」が、セキュリティ分野の製品・サービスになるので、FTAの手法を使ってセキュリティリスクが数値で表せるようになっても、独自の考え方になるので、企業からなかなか信頼を得ることができずにおりました。その信頼を得るためには国家資格を取得することが良いと思い、「情報処理安全確保支援士」の資格を取得しました。
もともと技術者では無いため、資格取得に向けて「久々に勉強したな〜」という感じです。弊社に在籍している優秀なエンジニアと一緒に2人で資格取得を目指すことにし、問題を出し合うことでモチベーションを維持して、無事合格しました。
自分だけで勉強するよりも、相手に教えることがより知識の習得につながったと感じています。
ゼロトラストFTAを広める
また、自分で考案した「ゼロトラストFTA」の考え方が正しいものか?を知りたかったということも資格取得の理由です。
ゼロトラストFTAとは、ゼロトラスト(信用しないこと)を前提に、FTAによって(リスクの洗い出しと発生率の算出)セキュリティ対策の解析を行う弊社オリジナルの解析手法です。ゼロトラストFTAによって、隠れたリスクを見える化し、効果の高いセキュリティ対策から実施することが出来ます。
まず、このゼロトラストFTAを広めるために、Youtubeで動画をアップするようにしてきたところ、この動画をあげて色々な方に見ていただいた方のお話や、お試しで5〜6社くらいセキュリティコンサルをさせていただいたのですが、ほとんどの企業で当たり前の対策ができていないことに気づきました。
例えば、セキュリティパッチを当てることや、不要なポートを閉めておくなどです。このような基本的なセキュリティ対策をするだけで9割の攻撃は防げることがわかっているのですが、ほとんどの企業で対策できていないのが現状です。
進まないセキュリティ対策の原因はアンタッチャブルゾーン
色々な企業のセキュリティコンサルに入らせていただくことで徐々にわかってきたのですが、心理的なアンタッチャブルゾーンがあるようです。
セキュリティ対策をしたつもりでいても、1回でも痛い目にあったらもうその対策もしたくなくなるようなのです。
例えば、
・セキュリティ対策のためにした行動が原因で「プリンターが使えなくなった」
・セキュリティのアップデートをしたら「パソコンが重くなった」
などです。
このようなことが起こると、パッチを当てることすらしなくなってしまいます。
さらに、企業のセキュリティ担当者の入れ替わりが早かったりするので、全てを把握できている人がいなくなる企業が多い。
またそのような企業は、ベンダー企業に依頼しても、ベンダーさんは言われたことしかしないし、依頼している方は全てやってもらっていると思っている。お互い自分が担当者ではないと思ってしまっている企業が多いのです。
資格取得からYoutube等での発信をきっかけに、このアンタッチャブルゾーンがあることがわかったので、その部分を解決するためにはどのようにすると良いか?という点を詰めている。そのためのサービスの内容・金額などの落とし所を考えているところです。
この資格を取得してよかった点を教えてください。
セキュリティの専門家としての信頼度をアップできたと感じています。
また、自分が考案した「ゼロトラストFTA」が正しいとわかりました。
この考え方が正しいとわかるまでの過程で、中小企業のセキュリティ対策の現状がわかり、それに対するサービスをしていくという方向性が明確になったことが、良かった点と言えます。
「セキュリティエージェント」について
当サービス「セキュリティエージェント」に登録していただいた理由を教えて下さい。
「情報処理安全確保支援士」の資格取得のための勉強をしているときに見つけたので、資格をとったら登録しようと思っていました。ゼロトラストFTAの手法を元に解決できる案件があれば、受注したいと思っています。
今後「セキュリティエージェント」に期待することはありますか?
まずは、ゼロトラストFTAの手法で解決できる案件を受注できることを期待していますが、セキュアオンライン社とも、お互いメリットがあるような、ビジネスの構築ができたら嬉しいですね。ゼロトラストFTAを広げるための取組を一緒に取り組んでいくなど。
また、サービス内容を固めていくために、中小企業に対して無料でセキュリティコンサルをしているのですが、全部で20社程対応して事例を集めたいと考えています。
現在はまだ4社対応している状態ですので、その企業を増やしていくための集客などをお手伝いいただけると嬉しいです。
今後セキュリティ業界・技術で取り組みたいことはありますか?
セキュリティ診断とセキュリティポリシー策定が得意なので、そのような業務に携わっていきたいと考えていますが、「ゼロトラストFTA」の手法で実施していきたいと思っています。
また将来的には「ゼロトラストFTA」を広めていき、フランチャイズ化していきたいと考えています。その中でセキュリティエージェントと組めると嬉しいです。
先日開催いただいた専門家の方々のランチ会では色々な方々と交流できましたが、そのコミュニティでは個人でご活躍されている専門家の方も多かったので、もし「ゼロトラストFTA」をご活用いただけるような方がいれば使っていただきたいと思っています。
この手法が広まれば、中小企業のセキュリティ対策に対する考えも変わってくるので、取り組みやすくなってくるはずです。当たり前の対策のみで9割は防げますので。
またそのように中小企業でのセキュリティ対策が進んで行った際には、企業のセキュリティ管理者の方は、大まかに自分で理解できるようになってもらいたいし、セキュリティベンダーは丸投げで頼るものではなく、利用するものになって欲しいなと考えています。
