池田　秀司（いけだ・しゅうじ）

i-3c株式会社　代表取締役
 

セキュリティ製品の開発、販売、コンサルティングを行う会社を経て、2006年11月にi-3c株式会社を設立する。情報セキュリティコンサルタントとして、各種マネジメント系の認証取得支援、情報セキュリティ監査の実施に携わる。教育分野では、情報セキュリティに関する講師の育成から各種セミナーや研修会の講師として多くの実績がある。

 

 

近年コロナウイルスの影響もあり、ますますIT化が進んでいます。しかし、その発展が急なあまりに、セキュリティへの考え方や重要性、基礎知識に関する情報が一般に浸透しきれていないのが現状です。そんな中、i-3c株式会社では、企業へセキュリティシステムをコンサルティングするだけでなく、セキュリティに強い組織構築の支援なども行っています。これからの情報セキュリティはどうあるべきなのでしょうか。代表取締役の池田様にお話を伺いました。
 
 

IT化の波のなかで誕生したi-3c株式会社

 

--本日はよろしくお願いします。早速ですが、池田さんのこれまでのキャリアをお聞かせください。

 

はい。私が大学を卒業するときの社会状況は、ちょうどバブルがはじけてずっと同じ会社にいる時代から、個々に自分の技術を伸ばしていく時代に変化した時期でした。同時に、IT化が主流になってきた時期でもありました。

 

前職で私はコンサルティング業務に携わっており、世間一般的にいう営業から実務までを全て自分でおこなっていました。独立できるぐらいの仕事を任されていたので、その流れの中で法人化したというのは１つの区切りとなります。

 

情報セキュリティのコンサルティング・監査・教育事業を展開

 

--現在情報セキュリティ事業を中心に事業展開されていると思いますが、改めてご説明をお願い致します。
 

情報セキュリティといっても分野はとても広いのですが、そのなかで弊社では主にコンサルティング、監査、教育事業の3つの分野で事業をおこなっております。
 

現状は、企業の情報セキュリティをどのように進めていくかといったコンサルやセキュリティ状態の確認を行う監査に注力しています。セキュリティの教育に関しては、重要性を常々感じてはいるのですが、小さい規模の会社なのでそこまで手が回っていないのが現状です。

 

--情報セキュリティの教育について、どんな考えをお持ちですか？

 

世の中はセキュリティの人材が不足していて、我々のようなコンサルがいくら頑張っても、肝心の現場の人材が育たないと、日本全国はもちろん世界的に見たとしてもセキュリティはうまくいきません。
 

私はそういった教育に集中するべきだと思うのですが、コンサルと監査の需要が多く、目の前の業務をこなしている状況です。
 

専門知識を有している人は少なく、ニッチな業務ではあるのですが、いかに人を育てて確保していくかということが、お客様に対応するためのこれからの課題だと思っています。 

 

 

--貴社の独自性や強みについてお伺いできますでしょうか。
 

弊社の強みは、必ず有資格者がコンサルのリーダーとなって、プロジェクトを進めていることです。第三者的にも試験や資格を得た人だ、ということが重要だと思っています。我々が持っている資格も取ったら終わりでなく、継続的に教育研修を受けて力量を保てるように管理しています。 これが我々のこだわりです。 
 

 

--具体的なコンサルティング例を教えていただけますか。
 

システムに特化したコンサル例としては、脆弱性診断があります。これは仮想的にシステムを攻撃し、結果を報告して改善、対応していくというサービスです。検査すると何かしら不具合が出てきますので、気づかなかった部分をいかに改善するか、またはすぐに改善できない場合には、システムごと変えるのか、など中長期的に見て修繕していきます。

 

また、脆弱性診断は健康診断と一緒で一度受ければいいということはなく、定期的に検査が必要です。社内のシステムは変わらなくても外部の脅威が変わるので、新たな攻略方法に対しての対策をとる必要があります。こういった脆弱性診断は、今後様々なニーズが出てくるでしょう。

 

あらゆるセキュリティ事故を防止するために

 

 

--今後の中長期的な事業展望についてお伺いできますか。
 

はい。弊社は仕事をすれば一定の評価をいただくのですが、広告が苦手なので、新しいお客様とのお付き合いを中期的な課題と考えています。セキュリティは新規のお客様にとって入りにくい分野だと受け止め、現在は安価なサービスから入り、必要に応じてオプションで対応していくというサービスを打ち出しています。 

 

健康診断に例えると、お客様が診断結果を理解し自らが対応できるなら、コストはあまりかからないでしょう。それと同様に、セキュリティ事業でも問題がないという結果を渡すだけであれば、コンサルの解説もいらないので、料金もあまりかかりません。

 

もしお客様が対応できないような問題が生じた場合には、コンサルによる解説、報告書の翻訳サポートなど、場合に応じた必要なサービスを追加していただきます。健康診断の例えで言うと、結果に対して週に何回運動した方がいいですよ、もう手術を受けた方がいいですよ、というようなアドバイスをするところにあたります。

 

今までセキュリティのコンサルを受けたことのない企業にとっては、こういった形の方が、気軽に検査を受けられると思っています。確実にニーズはあるので、そういった情報を出して広めていくことが中期的な課題だと思っています。 

 

 

--新しいお客様に対し、入り口を広げていくことが重要なのですね。長期的な展望についてはどうお考えですか。

 

長期的には、世の中の課題に対し我々がどう動いていくかというところです。現在世の中ではIT化が浸透し、さらなる拡大が進んでいます。直近では、新型コロナウイルスの影響でテレワークやオンラインなどによるIT化の流れが加速していると実感しています。しかし、IT化あるいは便利になるということの裏には、リスクも増えているという注意が必要です。システムが止まれば、業務が全て止まってしまうことを忘れてはいけません。

 

情報セキュリティには３つの定義があります。１つ目は、情報を外に出ないように守る機密性。２つ目は、情報が正確でなくてはならないという完全性。３つ目は、使いたいときに使えなければならないという可用性です。３つの要素を確保することが、今後のテーマとしては非常に重要です。単に情報が外に出ないようにするだけじゃなく、どうやって使えるようにするかということが大事なのです。 

 

 

--具体的な例を教えていただいてもよろしいでしょうか。

 

はい。例えば、病院の電子カルテシステムです。システムが止まると、カルテが見られなくなり、人の命に影響します。私が小さい頃行っていた病院のカルテは、手書きでした。ドイツ語で記されており、看護士さんはよく読めるなと思っていたのを覚えています。

 

今はパソコンが使えないと、全くオペレーションできなくなります。止まったらどうするのかと聞くと、バックアップ電源があるから大丈夫だと言います。しかしシステム側の人間からすると止まらないシステムはありません。システムは脆弱なので、これが止まるとバックアップ、それが止まると次のバックアップということになり、すべてがダメになるとそこで止まります。

 

さまざまなところでシステムが止まったという情報を聞き、振り返ってみると、どこもそういったシステムに関する基本的な知識が欠けているのだと思われてなりません。システムの管理を継続的に実施していかなければ、いつかセキュリティはダメになり事故が起こります。これは専門家が言い続けていかなければならない、重要なミッションだと思っています。  

 

 

--そういった事柄に対し、御社ではどのような活動をおこなっているのでしょうか。

 

そうですね。我々は可用性（システムを停止させることなく稼働させつづけること）で、人の生命やお金の問題、例えば誰かが困って倒産してしまうようなことなど、国民の生活に大きく影響する部分の監査を重点的に行っています。 

 

例えば、無人運転はハッカーが入ってくる場合を想定していません。AIは自分で考えて動いていますが、コンピュータが暴走すれば、人間を征服するんじゃないかという懸念もあります。 そういったことを含めて、これからもさまざまなところで我々がお手伝いする必要性を感じています。

 

そのためには、我々も今の知識では十分といえません。次の世界へ追いつけるよう、継続的に新しい分野に対応できる仕組みを整備しています。最終的なゴールとしては、我々は小さな会社ですが、世の中の人がITを使うにあたって安全を享受できるような社会に貢献していきたいです。

 

 

--最後にProfessional Onlineを見ていただいている経営者、決裁者の方に向けてメッセージをいただけますか？

 

世の中には、大きな会社から小さな会社まで、さまざまな規模の組織があります。弊社くらいの規模ですと、何でも自分たちでやらなければなりません。かくいう私も全ての業務に関係し、多種多様な業務をおこなっています。大企業だと、経営者レベルの方がさまざまな業務に直接関与することは、あまりないのかもしれません。ただ情報セキュリティに関してだけは、どんな規模の企業でも経営者レベルが関与するべき。我々セキュリティの立場からすると、それは間違いない事実です。

 

もしそこがぶれてしまうと、さまざまな問題が起きます。トップダウンでお金を出してあとは任せた、ではなくて、多くの企業経営者がセキュリティに積極的に関与し、フォローするようになれば、世の中のセキュリティの考え方はもっと高まってくるのではないかと思います。

 

トップダウンの話をしましたが、逆にボトムアップというアプローチもあります。現場の方1人ひとりがセキュリティのことを考えなければならないという考え方です。200人いる中で、1人が甘かったがために、そこからウイルスが入ってきて感染するということもよくあります。現場が主体となって、トップにさまざまな意見を上げていくような仕組みを構築することが非常に大事です。

 

ボトムアップやトップダウンという活動がうまくできている組織というのは、セキュリティ事故が起きにくく、また、起きても回復が速い傾向にあります。セキュリティに関して課題を感じられている経営者さんは、参考にしていただければと思います。

 

弊社では、そういった組織の仕組みづくりに関しても、ノウハウや経験を出していきたいと思っています。一緒に検討していただければ、よりよいセキュリティ環境を提供できることと思います。 現在は継続案件が多いのですが、新しく事業を拡大していく必要があるので、ご縁があればぜひよろしくお願いします。

 

--本日はどうもありがとうございました。

 

株式会社i-3c

https://i-3c.co.jp/

 

Professional Onlineでは無料で経営者インタビューに掲載いただける方を募集しています。お問い合わせフォームよりご連絡ください。