HENNGE代表 小椋氏に聞く、SaaS企業から見たセキュリティトレンドと中堅・中小企業に必要な対策

中堅・中小企業にとって、IT活用の加速とともにセキュリティ対策は喫緊の課題となっています。しかし、限られた予算や人員の中で、どの脅威にどう対処すべきか、その「ちょうどよい」バランスを見つけるのは容易ではありません。

今回はHENNGE Oneを提供されているHENNGE株式会社の代表取締役社長兼CTO 小椋氏にインタビューをし、ランサムウェアやMFAバイパスといった最新のサイバー攻撃トレンドから、Microsoft 365 など、SaaS環境の具体的なセキュリティ課題、そして中堅・中小企業が陥りがちな「落とし穴」まで、多岐にわたるテーマでお話を伺いました。本記事では、HENNGE Oneが提供するソリューションが、どのようにこれらの課題を解決し、企業が安心してSaaSを活用できる「あたりまえのセキュリティ」を実現するのかを深掘りしていきます。

— HENNGE Oneは、なぜID管理、DLP、Microsoft 365 保護といった領域に注力されているのでしょうか？ その背景にある問題意識や市場認識について教えてください。

私たちHENNGEが注力しているのは、SaaSの可能性をいち早く予見し、企業がSaaSを積極的に活用していく中で直面するセキュリティ課題に対処することです。業務のクラウドシフトが進む中で、IDの管理や情報漏えいの防止、Microsoft 365 といった主要なSaaS環境の保護は、避けて通れないテーマとなっています。

特に Microsoft 365 は多くの企業で利用されており、業務の中心を担う存在になっていることから、そのセキュリティに特化した対応は必要不可欠です。私たちは、こうした現代の業務環境における“あたりまえの脅威”に対して、実効性のある防御策を提供していきたいと考えています。

— サイバーセキュリティラボは、中堅・中小企業のセキュリティ担当者様によく見ていただいています。HENNGE Oneのサービス提供を通じて見えてきた、この層のお客様特有のセキュリティ課題や傾向があれば教えてください。

中堅・中小企業の多くは、セキュリティに取り組む上で人手や予算の制約を大きなハードルとして抱えています。さらに、取引先企業からの要請やサプライチェーン全体のセキュリティ基準への準拠といった外的要因により、対応の必要性が高まっているのも最近の傾向です。その中で多くの企業が、限られたリソースの中でどのようにセキュリティ対策を優先し、実施していくかを真剣に模索していると感じています。

— HENNGE Oneを導入することで保護されるセキュリティ領域と、別のサービスにお任せする領域また、ユーザー企業や主体的に取り組むべきセキュリティ対策について教えてください。

HENNGE Oneがカバーするのは、SaaS活用の広がりに伴って必要となるIDの統合管理やクラウド上の情報保護など、“SaaSの活用を前提としたセキュリティ”です。これらは我々のソリューションに安心してお任せいただきたい領域です。

一方で、セキュリティ対策はツールだけでは完結しません。社員一人ひとりの意識や行動、リテラシーといった「文化」の醸成も不可欠です。これはどんな優れた製品でも代替できるものではなく、ユーザー企業の皆さまが主体的に取り組んでいただく必要があると考えています。

とはいえ、日常生活において私たちは無意識のうちにスマートフォンやオンラインサービスを使いこなしており、ITの利便性や必要性を自然に理解しています。そうした感覚をビジネスにも落とし込むことで、セキュリティに対する意識もより身近で現実的なものになっていくのではないかと感じています。

— 現在、中堅・中小企業を狙うサイバー攻撃で、最も深刻、あるいは増加していると感じる脅威は何でしょうか？（例：ランサムウェア、標的型攻撃、BEC、フィッシングなど）

現在特に深刻だと感じているのは、やはりランサムウェア攻撃です。攻撃者は、最初から大手企業を狙うのではなく、その取引先である中堅・中小企業を起点に侵入するケースが増えています。サプライチェーンの一部として関連性が高い企業、あるいはネットワークやインフラが密接に連携している企業を踏み台にし、本命のターゲットに攻撃を仕掛ける手法です。こうした文脈では、ランサムウェアだけでなく、それを送り込むための標的型攻撃なども多く見受けられるようになっています。

— ID管理（IDaaS）の観点から見て、不正アクセスやアカウント乗っ取りに関して、どのような手口が増えていますか？ 多要素認証（MFA）だけでは防ぎきれない巧妙な攻撃はありますか？

近年増えているのは、AiTM（Adversary-in-the-Middle）攻撃のように、多要素認証（MFA）さえもバイパスしてしまう手法です。MFAが導入されていても、攻撃者がその認証情報を中継して取得・突破するケースが確認されています。こうした巧妙な攻撃に対抗するためには、MFAだけに頼るのではなく、端末に紐づく証明書やクレデンシャルを組み合わせるなど、より多層的な認証アプローチが求められます。

— 情報漏えい対策（DLP）の観点から、中堅・中小企業において「意図せぬ情報漏えい」はどのような形で発生しやすいですか？ また、内部不正や外部攻撃による「意図的な情報窃取」の最新トレンドはありますか？

「意図せぬ情報漏えい」でよく見られるのは、現場や事業部主導で進むSaaS活用の中で、セキュリティ設定が不十分なままクラウドストレージやツールが使われてしまうケースです。たとえば、ファイル共有の公開設定が想定よりも広くなっていたり、業務完了後も不要なファイルが誰でもアクセス可能なURLで公開され続けている、といった事例が挙げられます。一方で「意図的な情報窃取」に関しては、正規のコラボレーション機能（例：Google カレンダーや Teams）を悪用して、マルウェアを添付ファイルとして埋め込むなど、利便性を逆手に取った手口も確認されています。

— Microsoft 365 利用企業を対象とした攻撃で、特に注意すべき点は何でしょうか？

Microsoft 365 は世界中で広く使われており、攻撃対象としても非常に魅力的です。特にアカウントの乗っ取りを目的とした攻撃が多く、Microsoft の正規のログイン画面と見分けがつかない精巧なフィッシングサイトを用いたメール攻撃が頻発しています。

また、Microsoft 365 と Active Directory（AD）を併用している企業も多く、最近ではADそのものが攻撃され、その後の侵害に利用されるケースも報告されています。ID基盤に関するセキュリティ強化も、今後ますます重要になるでしょう。

— 貴社サービス（HENNGE One）のログやインシデント対応の経験から、最近観測されている特徴的な攻撃の予兆やパターンがあれば教えてください。

大きく2つのパターンが見られます。1つは、認証まわりの異常です。短期間に複数回のログイン失敗が集中して記録されるケースでは、国外からの総当たり攻撃的なアクセス試行が疑われます。

もう1つは、当社の「HENNGE Cloud Protection」で検知された Microsoft 365 関連の不審なアクティビティです。たとえば、あるユーザーのIDとパスワードがダークウェブ上で売買されている痕跡が確認されたり、流出した認証情報をもとに不正ログインが試みられているといったインシデントが発生しています。こうした兆候は、攻撃者が事前に情報を収集し、継続的に企業への侵入を試みていることを示しています。

— 限られた予算や人員の中で、中堅・中小企業がセキュリティ対策を進める上での最大の障壁は何だとお考えですか？

最大の障壁は、「セキュリティ対策のバランスをどう取るか」という点に尽きると思います。限られたリソースの中で、どこからどこまでを守るべきか、どこにどれだけ投資するかといった判断が非常に難しいのです。

たとえば、予算をかけて高度な対策を導入しても、運用のリソースが足りずに回らなかったり、逆にリソースがあってもセキュリティリテラシーが十分でなかったりするケースもあります。あるいは、本当にそこまで対策が必要だったのかという費用対効果の観点も含めて、複雑な意思決定が求められる。その「バランス感覚」が定まらないことが、大きな障壁のひとつだと感じています。

— 経営層や一般従業員のセキュリティ意識について、どのようなギャップや課題を感じていますか？

この点は企業ごとの事情によって大きく異なるため一概には言えませんが、よくあるパターンとしては、経営層は「できるだけコストをかけずに対応したい」と考える一方で、現場の従業員はその方針に対してどこまで順応できるか、というギャップが生まれやすいと感じます。

また、現場が積極的にITツールを導入しようとする一方で、経営層がそこに対して理解が追いつかない、という構図も見られます。いずれにしても、組織全体でセキュリティに向き合う意識のすり合わせが、今後ますます重要になると思います。

— クラウドサービス（特に Microsoft 365）の利活用が進む中で、中堅・中小企業が見落としがちなセキュリティリスクは何でしょうか？

一番多いのは、依然として「IDとパスワードだけで認証している」ケースです。MFA（多要素認証）が浸透しつつあるとはいえ、未導入の企業も少なくありません。また、メールを通じたフィッシング攻撃が依然として主流で、感染経路の多くを占めているにも関わらず、対策が十分でないケースも目立ちます。

さらに、Microsoft 365 を通じて利用されているユーザーのメールアドレス（＝ユーザーID）が、他のクラウドサービスでも使われることで、シャドーIT的なリスクやID漏えいの危険性が生じています。これらはまだ十分に認識されていない領域であり、注意が必要です。

— HENNGE Oneは、これらの脅威や課題に対して、具体的にどのように貢献できるとお考えですか？ 特に有効な機能や活用法があれば教えてください。

HENNGE Oneでは、大きく4つの側面からご支援が可能です。

まず、ID管理の観点では、MFAをはじめとする強固な認証手段を提供しています。一般的なワンタイムパスコード認証に加え、証明書ベースの認証など、複数の選択肢をご用意しています。たとえば、端末に証明書をインストールし、それを用いた認証を行うことで、IDとパスワードだけでは突破されてしまうリスクを軽減できます。
次に、Microsoft 365 全体を保護する「HENNGE Cloud Protection」では、ユーザーのID情報がダークウェブ上で流通していないか、あるいは不審なログインが発生していないかなどを早期に検知・可視化することが可能です。万が一のインシデントに備えた迅速な対応が可能になります。

また、HENNGE File DLPには、クラウドストレージの外部共有状況を横断的に可視化・管理できる機能も提供しており、複数のクラウドサービスにまたがる情報共有のリスクを一元的に把握・制御できます。必要に応じて共有設定の変更や制限といったアクションも管理者側から実行可能です。

さらに、組織のセキュリティ文化醸成を支援する「標的型攻撃訓練（HENNGE Tadrill）」も提供しています。単なる訓練にとどまらず、「不審なメールを受け取った際にどう行動するか」まで含めて、日常業務の中で実践的な意識づけを行えるよう設計されています。こうした継続的な教育・訓練によって、セキュリティ意識の底上げにも貢献できると考えています。

— 今後1～3年で、中堅・中小企業のセキュリティ環境はどのように変化していくと予測されますか？ 注目すべき技術トレンド（AI活用、ゼロトラストなど）はありますか？

今後数年で注目される技術トレンドとしては、やはりAIの活用は避けて通れないテーマになると考えています。ただし、AIによって守る側のセキュリティが強化されると同時に、攻撃者側の手口もより巧妙かつ効率的になっていくリスクがある点には注意が必要です。

AIによって攻撃の「民主化」が進み、技術力の高くない攻撃者でも、心理的なトリックを含んだ精緻な攻撃を仕掛けやすくなる可能性があります。そのため、「自分たちは大企業ではないから狙われない」といった考え方は今後さらに通用しなくなり、中堅・中小企業を含むすべての事業者が標的になりうる時代になると考えています。

— HENNGE Oneは、今後の脅威の変化にどのように対応し、進化していく予定ですか？ 開発ロードマップについて、お話しいただける範囲で教えてください。

今後の脅威の多様化・高度化を見据え、HENNGEとしてもプロダクトの進化を図っていきます。これまで対応してきたID管理やクラウドセキュリティの領域に加え、今後はより広範な業務領域をカバーできるよう、新たなソリューションの検討・提供も視野に入れています。

また、SaaS活用は今後も中堅・中小企業のビジネス成長にとって欠かせない要素です。私たちはその利用を阻害しない形でセキュリティを担保し、ビジネス推進とセキュリティ対策の両立を支援していきたいと考えています。

— 中堅・中小企業のセキュリティ担当者に向けて、今、最も伝えたいメッセージやアドバイスは何でしょうか？

アドバイスというよりも、ぜひ皆さまの「生の声」を私たちに届けていただきたい、というのが一番のメッセージです。中堅・中小企業の皆さまの多くが、これから本格的にセキュリティに取り組もうとされているフェーズだと思っています。

私たちも、皆さまが実際にどんな悩みを抱え、どんな業務課題に直面し、どのような制約の中でセキュリティと向き合っているのかを、より深く理解していきたいと考えています。その理解を通じて、HENNGEのサービスもさらに現場に即したものに進化できると信じています。

すでにご利用いただいているお客様には、ぜひユーザーコミュニティ「Chameleon」などを通じてご意見をお寄せいただけると嬉しいです。まだご検討中の方も、お困りのことがあればお気軽にお声かけいただければと思います。

— 限られたリソースの中で、セキュリティ対策の優先順位をつけるとしたら、何から着手すべきだとお考えですか？

非常に難しい問いではありますが、まずは「リスクの大元」を正しく把握し、そこから着手することが重要だと考えています。特に、依然として最大の攻撃経路となっているのが「メール」です。フィッシングやマルウェア感染の入口となるため、メールに関する対策は第一に検討すべきでしょう。

また、VPNの脆弱性やインターネットに直接公開されているサービスの弱点など、侵入口になりやすい部分の管理も非常に重要です。さらに、人に起因するリスク、つまりリテラシー向上も避けては通れません。教育や訓練を通じて、組織全体の意識を高めることも優先的に取り組むべき領域です。

— 中堅・中小企業が陥りやすいセキュリティ対策上の「よくある間違い」や「落とし穴」があれば教えてください。

中堅・中小企業のお客様が陥りやすいのは、「セキュリティ対策の最適解は大企業と同じもの」という思い込みです。世の中でよく言われている“ベストプラクティス”をそのまま採用しようとすると、過剰な運用負荷やコストがかかってしまい、かえって対策が形骸化してしまう恐れもあります。

重要なのは、自社の規模やリソース、業務プロセスに合った「ちょうどよいセキュリティ」を見極めること。そのバランスを考慮せずに進めてしまうと、大きな落とし穴にはまる可能性があります。自社にとって無理なく続けられる対策を構築することが、実は最も現実的で効果的なセキュリティ施策だと考えています。