これからも続く不測の事態に
変革の好機と捉えて行動する

Chapter- 4 不測の事態への備え

ICチップなどの部材不足が顕著化した当初は、解消する時期についてさまざまな予測や憶測が飛び交った。しかし現在の状況はまだしばらく続くという意見が今では多数を占める。ただし現在の状況を難局と捉えるのか、翻って変革の好機と捉えるのか、各社に今後の動きを聞く。

パーツと設計のモダン化を図る
人の移動制限への対策も重要

 前述の通りICチップで不足しているのは主に付加価値の低い低価格な製品であり、部材についても調達が難しいのは主にレガシーな製品である。アイ・オー・データ機器の米谷氏はすぐにできることではないと前置きし、「新しいソリューションへの移行のスピード感を上げていく必要があります。ICチップだけではなく鉄やプラスチックなどの材料も入手性が悪くなっているため、基板サイズを小さくして材料を減らす工夫も必要です」と、現在の部材不足を変革の好機と捉えている。

 レノボ・ジャパンは「サプライヤーの事情や調達の状況に応じて調達できるICチップを実装するために、きめ細かく基板の設計変更をしています。当社はグローバルで約30カ所に生産拠点があり、その約半分が自社工場です。そのため調達できた部材の状況に応じて製造する製品を柔軟に変更、選択して納期を短縮しています」と説明する。

 さらに「製造業にとって部材不足は深刻なリスクですが、一方でロックダウンや規制により人が移動できなくなることも大きなリスクです。当社では世界中の工場のラインの変更や移設、新規の立ち上げなどを、ARヘッドセットを用いてリモートで行っており、生産体制をグローバルで適宜最適化して安定した製品供給を実現しています」というように、製造業にとって最新テクノロジーの活用の好機でもある。

新しい売り方、買い方の提案と
正確な情報の開示で不安を払拭

 今後も続く不透明な状況に対して企業や組織が成長に向けてデジタル基盤を維持、増強していくにあたり、HPEが提案するのはas a Serviceによるハードウェアのサービス利用だ。HPEの本田氏は「オンプレミスのデジタル基盤を、使った分だけ支払う従量課金で利用できるHPE GreenLakeは余剰分を含めてオンプレミスで導入、設置できますので、先が読めないリソースの需要の変化に対してリスク対策することができます」と、新しい売り方、買い方の提案をアピールする。

 ベンダー、パートナー、顧客、さらにはサプライヤーまでをつなげたサプライチェーンの再編や、そこでの情報共有にも新たな仕組み、考え方が根付いていきそうだ。デル・テクノロジーズの上原氏は「メーカーとしてお客さま、パートナーさまに迷惑をかけないようにするには、正確な情報を提供することが最善策だと考えています。お客さまが求めるものがサプライチェーン上にない場合、入手できるのか、できないのか、いつ入手できるのか、代替品はあるのかなど、サプライチェーンに参加する人たちがお互いに情報を開示して共有し、事実を知って最善策を検討、選択することが、これからのビジネスに求められます」と説明する。

 デル・テクノロジーズでは構成作成ツール「Online Solutions Configurator(OSC)」をパートナーに提供している。例えば製品の納期や構成しているパーツの残数などがオンラインでリアルタイムに確認でき、納期の早いパーツを確認して構成を変更することもできる。

 上原氏は「OSCはある意味、残酷にサプライチェーンを見なければ提供できない仕組みです。画面で提示した納期を早めることはできませんし、ないパーツはありませんと言い切っているのですから。融通が利かないと思われてしまいますが、納期が早くならない、希望のパーツがない、こうしたメーカーとして言いにくい事実をパートナーさまと共有し、お客さまに伝えることこそ誠意であり、全てのお客さまと公平にお付き合いさせていただいている証だと自負しています」とアピールする。

 最後に上原氏は「できるだけ早く決断して注文してください、これが最善策です」と強調する。そして「1日の後れが1日のデリバリーの遅れとは限りません。デリバリーの遅れはビジネスの遅れを引き起こすリスクです。保守を延長したりパーツの交換で対応したりするなどの妥協は、ビジネスに良い結果をもたらしません。デジタル基盤は今やツールではなく、事業そのものなのですから」と提言する。

混乱に乗じてサイバー攻撃が激増
段階的な多層防御の提案で商機を獲得

Chapter- 5 セキュリティ対策が需要増

世界中を巻き込む大きな変化、世界中に知れ渡る大きな出来事が起こると、それに乗じて悪事をたくらむ個人や組織の活動が活発化する。その法則はサイバー空間にも当てはまり、コロナ禍以降、そして昨今、サイバー攻撃の発生件数や被害件数が激増していると警鐘が鳴らされている。多くの企業ではデジタル化に向けたIT投資が旺盛な一方で、セキュリティ対策への投資は二の次になる傾向がある。とりわけ中小企業ではそれが強い。しかしサイバー空間におけるリスクが深刻化している現在、セキュリティへの投資も避けられない状況である。そしてこの分野にも商機が訪れている。

サイバー攻撃のスキルを提供する
ブラックビジネスが犯罪を助長

トレンドマイクロ
セキュリティエバンジェリスト
岡本勝之 氏

 ランサムウェアやEmotetなどのマルウェアやサイバー攻撃が急増している実態については調査機関が公表しているデータに詳しいが、いずれにしてもリスクが深刻化していることは周知の通りだ。

 その背景についてトレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏は、世界中に知れ渡る大きな出来事が起こると、それに乗じてサイバー攻撃が増加する傾向があると指摘するとともに、サイバー攻撃が容易に実行できる環境が整っていることに言及する。

 岡本氏は「RaaS(Ransomware as a Service)と呼ばれるランサムウェア本体や身代金要求の手順など、インフラとノウハウをサービスとしてほかのサイバー犯罪者に提供するブラックビジネスが確立されています。RaaSの利用者はランサムウェア攻撃に必要な準備をすることなく、また知識や経験がなくても容易に攻撃することができます」と説明する。

 さらに不正侵入に必要な企業や組織のネットワークにアクセスするための正規のIDやパスワードといったアクセス権を販売、レンタルするビジネスもあるという。

 岡本氏は「AaaS(Access as a Service)と呼ばれるブラックビジネスで、すでに不正侵入に成功した企業や組織のネットワークへのアクセス権を、ほかのサイバー犯罪者に提供する犯罪行為も横行しています」と語る。

 このようにランサムウェア攻撃などのサイバー攻撃が極めて容易になったことで、金銭詐取を狙って攻撃者が増加している背景がある。また近年、ボットを利用してマルウェアを拡散した後に、遠隔で不正操作や情報窃取を行う「human-operated ransomware attacks(人手によるランサムウェア攻撃)」が主流になっているという。この攻撃では人が操作するため行動を先読みしにくく、防御や対策が難しいという問題がある。

ユーザー側の過失も大きなリスク
脆弱性の放置とクラウドの設定ミス

キヤノンマーケティングジャパン
セキュリティソリューション企画部
部長
輿水直貴 氏

 セキュリティの脅威の要因はユーザー側にもある。リモートワークで導入が増加しているVPN機器の脆弱性や、クラウドの設定ミスなどが主な要因だという。ESETなどのセキュリティソリューションを提供するキヤノンマーケティングジャパン(キヤノンMJ) セキュリティソリューション企画本部 セキュリティソリューション企画部 部長 輿水直貴氏は「VPN機器のパスワードをデフォルトのまま使用している、あるいは最新のセキュリティパッチを適用していない、こうした脆弱性が狙われます」と指摘する。

 トレンドマイクロの資料によると、2021年の全世界における脆弱性検出数のランキングの上位には、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)番号に「2010」や「2003」という数字が見られる。これは脆弱性が発見された年を表している。つまりかなり古い脆弱性がいまだに放置されているケースが多いということを示している。

 クラウドの侵害原因については「脆弱性や不正ログイン(認証突破)に加えて、設定ミスが挙げられます。公開範囲やアクセス権限などの設定の間違いに気付かず、外部から不正アクセスされてしまうケースが報告されています」(トレンドマイクロ 岡本氏)という。

最新の脅威に対抗する最新ソリューション
ネットワーク監視から多層防御を強化

 それではどのような対策が必要かつ有効なのだろうか。前述のVPN機器などの脆弱性に対して最新のセキュリティパッチを適用すること、クラウドの設定を確認することはもちろんのこと、さらにリモートワークによって脅威が深刻化しているエンドポイントのセキュリティを強化することが求められる。

 キヤノンMJの輿水氏は「ワンポイントソリューションでは不十分です」と指摘する。またトレンドマイクロの岡本氏も「ゼロトラストアーキテクチャとそれを支える技術的な多層防御が基本となります。多層防御としては、特にクロスレイヤーで防御と対応を行うXDRの利用をお薦めしています」と話す。

 キヤノンMJが提供するESETはリモートワーク環境でのエンドポイントの脅威に対応するべくラインアップを一新し「ESET PROTECTソリューション」として提供されている。ESET PROTECTソリューションではエンドポイント保護、クラウドサンドボックス、フルディスク暗号化、クラウドベースの統合管理、そしてMicrosoft 365などのクラウドアプリケーションセキュリティといった機能が提供されている。

 さらに5月11日にESET PROTECTソリューションの最上位ラインアップとして、XDRとセキュリティサービスを加えた「ESET PROTECT MDR」を8月下旬より提供する。

 ESET PROTECT MDRはESET PROTECTソリューションにXDRを加えた「ESET PROTECT Enterprise」と、専任のセキュリティエンジニアにより運用、サポートを行うMDRを含むセキュリティサービスで構成される。なおESET PROTECT Enterpriseも5月30日より提供される。

 トレンドマイクロではゼロトラストと多層防御、それらの管理・運用を一元化するセキュリティプラットフォームとなる「Trend Micro Vision One」を提供している。さらに中小企業向けにSaaS型のEDR・XDRセキュリティサービス「Worry-Free XDR」を4月21日より提供を開始した。

 Worry-Free XDRは「ウイルスバスター ビジネスセキュリティサービス」に、脅威がユーザー環境に侵入した際に根本的な原因を特定してインシデントの調査、対応を行うEDRおよびXDRの機能を搭載する。

 万全の装備でセキュリティの脅威に備えることが理想ではあるが、一気に環境を整えるのは厳しいため、段階的に整備していきたいという要望もあるだろう。ではどのような手順で進めるべきなのだろうか。トレンドマイクロの岡本氏は次のようにアドバイスする。

「優先順位で考えるとEDRを導入していなくてもウイルス対策ソフトなどのクライアントの防御対策はすでに導入されているでしょう。またネットワークの社内と社外の境界の防御対策も導入が進んでいます。エンドポイント、ゲートウェイは対策済みですので、その間の社内ネットワーク監視を加えれば多層防御を進められます。ネットワーク監視は規模が大きくなると難易度が上がりますが、そうでなければ可視化する範囲が狭いためリーズナブルで導入しやすいと思います」クラウドベースのセキュリティサービスの充実や多層防御に向けた段階的な提案など、中小企業向けにも商機が期待できそうだ。