法人のサステナビリティ情報を紹介するWEBメディア coki

最先端のサイバーセキュリティをベンチャー企業に届けたい | 株式会社ROCKETWORKS　代表取締役 岩村昭英さん

インターネット版のセコムを目指すROCKETWORKSの「AEGIS（イージス）」

―はじめに、ROCKETWORKSさんの事業内容について教えてください。

弊社は、自社開発のサイバーセキュリティソリューションを中核ビジネスとする技術者集団です。
次世代セキュリティ技術の製品化と社会実装を目指し、2019年より、一般社団法人量子ICTフォーラムの運営サポートも行なっています。
直近ではクラウド型Web Application Firewall（以下、WAF）「AEGIS（イージス） サーバセキュリティ（以下、イージス）」の第3世代のリリースが控えています。

―「イージス」は、どんなサービスなのでしょうか？

端的に言うと「インターネット版のセコム」です。
セコムさんは、「ガラスが割れた」「扉がこじ開けられた」といった警備が必要な緊急事態が起こった時に、コントロールセンターにアラートが飛び、警備員さんがすぐに駆け付けてくれますよね。
これをサイバー攻撃が起こるインターネット上で実現しているのが、ROCKETWORKSの「イージス」です。「イージス」が契約企業さまのWebサイトへの攻撃を感知し、遮断命令を出して攻撃を防御する仕組みです。

―会社や個人のパソコンに入っているウイルスソフトやファイアウォールとは、どう違うのでしょうか？

守る対象が異なります。インターネットに接続しているPCを守る既存のウイルスソフトなどに対して、「イージス」は企業のWebサイトやデータを保管・運用するサーバ、なかでもその一番外側の層にあるWebアプリケーションの部分への攻撃を、AIを駆使して常に監視し守っています。

例えるなら、既存のコンピュータウイルスソフトは何者かが侵入してきた時にはじめて作動する“家の中”のセキュリティ。侵入をしにくくする外壁や玄関の鍵のような“家に入る前”のセキュリティがファイアウォールです。一方、「イージス」は住宅を上空からカメラで監視して、あやしい人物が家の周辺をうろついていたら家の外から中に侵入されないように遮断する防御システムです。

―そのようなサイバー攻撃が近年増加していると報道されていますが、実際にどの程度増加しているのでしょうか？

国立研究開発法人情報通信研究機構（以下、NICT）の「NICTER観測レポート」によると、サイバー攻撃の数は過去15年間で約105倍に増加したと発表しています。
急激な増加の理由として１つは、サイバー攻撃の自動化が挙げられます。サイバー攻撃も以前は、人海戦術でしたので、攻撃しようとする側の国のビジネスタイムに攻撃が集中していました。それが今はロボットが24時間365日、様々なWebサーバを巡回して侵入できる穴を探し回れるようになってしまっています。

―自動化されて約105倍にも膨れ上がったサイバー攻撃の数を、なぜ「イージス」は遮断できるのでしょうか？

攻撃には、いわゆるボットと呼ばれる自動化された攻撃等、サイバー攻撃特有の通信パターンがあるからです。「イージス」を使えば、サイバー攻撃手法をまとめた膨大な辞書のようなものをもとに、AIが攻撃の兆候を分析し、想定される攻撃を未然に防ぐことができます。
これにより、未知の攻撃手法が業界で話題になってから対処が見つかるまで数カ月かかる「ゼロデイ攻撃」にも対処していくことが可能になります。

また通信の「振る舞い」の検知も可能です。「イージス」は、不正ログインを試みようとするなどあやしい不正通信元の動きを見て、遮断するという判断も可能です。昨今のサイバー攻撃は「2回以上来る」のが一般的な手法です。1回目の来訪を例えるなら、ロボットが住宅街であらゆる家のドアをガチャガチャと動かしたり、鍵穴の形を見たりして「どうすればこの家に侵入できるのか」と情報を収集する活動です。そしてこの時に得た情報をもとに鍵を複製して、再び数カ月後にその家へ侵入し攻撃を仕掛け、大切なものを盗んだり、情報を漏洩させて大問題を引き起こすのです。

「イージス」は、AIが24時間365日体制で、一般的なサイバー攻撃だけでなく、ボットによる情報収集のためのあやしい通信の挙動も検知し遮断できるシステムとなっているので、企業の大切な情報を守ることができるのです。

ベンチャー企業のサイバーセキュリティ導入のハードルを下げるために「イージス」を開発

―「イージス」を、毎月定額で利用できるクラウド型WAFとして開発しようと考えたのは、どのような理由からですか。

高度なサイバーセキュリティを、より多くのベンチャー企業に気軽に導入してほしいという想いからです。

従来のWAFは、専用の機器を設置し、その設定も自社で実施しなければなりませんでした。機器の導入だけで数百～数千万かかることもありました。しかも導入後の運用も、24時間体制で攻撃を監視しなければなりません。つまり運用のための人員が必要になるのです。これではすべての企業は、サイバーセキュリティを気軽には導入できませんよね。

クラウド型のWAFであれば専用機器の購入が不要な上、運用も外部の専門のセキュリティ会社に任せられますので、サイバーセキュリティのコストを大幅に削減できるのです。

―「イージス」の月額料金はどれくらいで利用できるのでしょうか？

サーバ台数によって変動はありますが、月額50,000円からご利用いただけます。また現在開発中の第3世代の「イージス」は、ドメインの数とトラフィック（通信）量による従量制の料金設定を予定しています。こちらは月額58,000円からご案内が可能です。

―第3世代の「イージス」とはどのようなものなのでしょうか。

約5年前に販売開始し、現在も好評の第2世代の「イージス」も、「Webサイトの表示速度が低下しない」「たとえ攻撃を受けてもサーバがダウンしない」といった高性能なWAFです。

ただお客さまが導入する際に、ご利用のレンタルサーバ側の環境により導入できないなどの影響が出始めたため、より多くのお客様へ提供する目的で開発しているのが第３世代「イージス」です。開発も佳境を迎えていますので、まもなくリリースできる予定です。

―未知のサイバー攻撃にも対応できるほどの技術が集結したプロダクトを、ROCKETWORKSさんが開発できるのは、どのようなバックボーンがあるのでしょうか？

弊社エンジニアの個々人の技術力の高さはもちろんですが、「一般社団法人 量子ICTフォーラム（以下、量子ICTフォーラム）」という次世代の通信技術の社会実装を産官学でサポートしていく団体で事務局を仰せつかっているという環境も、弊社の開発力の大きな力になっていると思います。

ROCKETWORKSは、量子ICTフォーラムに参加されている企業各社や国立研究所と一緒に、研究開発や概念実証（PoC）の一部に取り組ませてもらうこともあります。エンジニアの技術力でも情報収集の観点でも、常に最先端の研究・開発領域に触れられる環境があることは、非常にありがたいですね。

―最先端のサイバーセキュリティの研究・開発領域の産官学連携プロジェクトに参画しながら、敷居の高いサイバーセキュリティ対策をすべての企業でも導入しやすくなるように現場感覚を大切に取り組んでおられるのですね。

改正個人情報保護法のもとでは、個人データ漏洩時の報告がほぼすべての事業者を対象に義務化されます。にもかかわらず多くのベンチャー企業におけるWebアプリケーションのセキュリティ対策は、まだまだ十分とは言えません。

弊社はサイバーセキュリティを、「シートベルトをつける感覚」であたりまえのように導入できる社会をつくりたい。「イージス」は、その願いを実現するための、第一歩なのです。

ROCKETWORKSの大切なステークホルダー

「イージス」の開発にはパートナーさんたちの存在が欠かせなかったと語る岩村社長。もっとイージスを成長させてパートナーさんにも今以上に貢献していきたい、ビジネスだけでなくこれからも新たな取り組みをご一緒したいという、ステークホルダーの皆さんへメッセージを伺いました。

※内容については、ページ上部の「サステナブルな取り組み」よりご覧ください。