サイバー攻撃への備えとして、“防御”だけではなく、侵害を前提とした“レジリエンス”を構築することが重要だと、Rubrik Japanの高山勇喜社長は説く。日本法人設立10年を迎えた同社は攻撃トレンドの変化を捉え、単なるバックアップではなく、アイデンティティーにも保護の領域を広げ、セキュリティー対策の無効化を試みる攻撃者の動きを制する。高山社長は、「迅速かつ的確に復旧するための『サイバーリカバリーソリューション』を提供している」と強調する。
（取材・文／南雲亮平　　撮影／大星直輝）

データに加えアイデンティティー環境を保護

――日本法人の設立から10年が経過しました。現在のビジネス状況について教えてください。

　この10年間、特にここ数年でサイバー攻撃のトレンドは大きく変化しています。以前は、本番データを暗号化して身代金を要求する手法が主流でしたが、現在はバックアップデータに加え、仮想基盤やSaaSにまで攻撃対象が広がっています。中でもクラウドは攻撃者にとってデータの暗号化が難しいため、データ自体を削除する「削除型ランサム」が国内でも増加しています。

　こうした変化に対応し、当社は単なるバックアップソリューションではなく、サイバーリカバリーソリューションを提供してきました。オンプレミス、クラウド、SaaS、さらにID基盤までを単一のコンソールで統合管理し、リスクが発生した際には即座に管理者のスマートフォンへ通知する仕組みを整えています。国内ではマルチクラウドを利用する企業が多く、コスト意識の高さや、他国より短期間での復旧を求める傾向などがあります。こうしたニーズを満たせるソリューションとして、当社は支持を得ていると考えています。

――ルーブリックの製品というとデータバックアップのイメージが強いですが、現在は保護の対象にID基盤も含まれているのですね。

　はい。攻撃のトレンドに、アイデンティティーも含まれるようになっていることが理由です。フィッシングメールなどで個人のIDとパスワードを盗み、そこから特権ユーザーのIDを奪取し、その権限を利用してファイアウォールなどの防御製品を無効化する手法が取られています。

　深刻なのは、攻撃者がディレクトリーやID・アクセス管理サービスなど、認証の部分を標的にしている点です。例えば、グローバル企業が保有する30の認証フローのうち、二つだけを破壊するような攻撃が行われた場合、一つは前日の状態、もう一つは前々日の状態が安全だったとしても、現状の仕組みではそれぞれを個別に復旧するのは難しいのが実情です。というのも、日本企業の多くがディレクトリー単位ではなく、OSなどのシステム全体を丸ごとバックアップしているためです。復旧が不可能というわけではありませんが、数カ月かかることもあり、現在求められているスピード感には合いません。

　そこで当社は2025年に、二つの取り組みを行いました。一つは、既存のバックアップ・リストア機能を拡張し、複数ある認証フローのうち一部だけを復旧できる機能の実装です。もう一つは、アイデンティティー環境全体を保護する「Identity Resilience」のリリースです。ディレクトリーやID・アクセス管理サービスのバックアップ時に、AIが自動スキャンを行い、予定外の特権ユーザーIDの作成や変更などが検知された場合は管理者へ通知する仕組みです。データバックアップは他社製品を利用されている企業が、アイデンティティー部分のみ当社製品を採用されるケースも増えています。

――ID管理も手がけているということは、レジリエンスからセキュリティー分野へと事業領域が広がりつつあるということでしょうか。

　「イエス」と「ノー」の両方です。まず、当社ソリューションの主軸はあくまで復旧であり、防御自体を目的とはしておりません。ただ、近年攻撃を受けた大企業は防御体制を整えていましたが、それでも事業に影響が出てしまいました。攻撃者の手法が高度化する中、防御だけでは事業を継続するには十分ではなくなってきています。そのため、企業は防御と復旧の双方を充実させようと取り組んでおり、その流れの中で防御製品と当社が連携するケースもあります。また、バックアップ時のAIスキャンにより、防御をすり抜けたアクセスやなりすましログインも検知できるので、そういった意味ではセキュリティー分野にも寄与できていると考えています。

復旧を長引かせる作業を短縮

――サイバー攻撃を受けたほぼ全ての大企業がバックアップ体制を整えていましたが、復旧には時間を要しています。どのような理由が考えられますか。

　攻撃からの復旧には、バックアップシステムが被害を受けていない場合でも、通常2～3カ月程度かかります。例えば、仮想環境に100台の仮想マシンがあり、そのうち2台が被害を受けたケースを想定します。この場合に最も手間がかかるのは、残りの98台が本当に無事であるかどうかを確認する作業です。まず前日分からリストアし、異常が見つかればさらに前の日からやり直す、という作業を繰り返すことになり、これだけで1カ月ほどかかります。その後、被害を受けた2台の復旧にさらに1～2カ月を要します。

　当社のソリューションであれば、これらの作業はおよそ1日半で完了します。コンソール上で100台の仮想マシンが一覧でき、スキャンを行うと即座に被害を受けた2台が赤く表示されます。その後、影響を受ける前の状態のファイルを特定し、脅威を駆除して問題が解決すると、緑色のランプが点灯します。当社の実績では、フォレンジック調査を含めても最短5日で身代金を支払わずに復旧しました。長くても約2週間で対処しています。

――多くのユーザーは既に他のデータ保護製品を導入していますが、どのようなきっかけでルーブリック製品の利用を始めるのでしょうか。

　主に、自社グループや同業他社が実際に被害を受けた場合や、業界団体からのガイドライン、取引先からの要請などです。26年度からはセキュリティー評価制度も始まりますし、サイバー攻撃の脅威も増しています。当社のソリューションは日本市場に適合しており、今後も成長を見込んでいます。

――国内ユーザーの傾向などはありますか。

　業種や業態、規模による大きな偏りや利用の向き・不向きはありません。これは、バックアップ元のデータ容量に応じた従量制の料金体系を採用しているため、小規模からでもご利用いただけるからです。用途としては、ミッションクリティカルなシステムの稼働を担保する目的が多い傾向にあります。システム全体ではなく事業継続に最低限必要な部分の継続性を確保するところから活用を広げていただいています。

国内でもMSP向けのプログラムを準備

――社長就任から2年間、どのような部分に注力されてきましたか。

　国内市場での認知度向上に力を入れてきました。グローバル本社もその方針を理解し、日本市場への投資を進めてくれています。その結果、確実に認知度が高まってきました。この流れにより、パートナー企業からの期待も急速に高まり、当社のソリューションを扱うパートナーの数も増加しています。

　当社のビジネスにおいて、パートナーの皆様は非常に重要な存在です。日本企業の多くが、システム管理業務をSIerにアウトソーシングしています。そのため、ランサムウェア被害から復旧する際、バックアップソフトウェアの運用や、どのシステムをどのような優先順位で復旧していくのか決定する上で、パートナーとの連携が不可欠です。今後もユーザー企業向けに共同で提案やマーケティング活動に取り組むなど、連携をさらに強化し、関係性をより深めていきたいと考えています。

──MSP（Managed Service Provider）パートナー向けの施策を強化されていると聞きました。

　MSPパートナーは、ユーザー企業にとってレジリエンス製品導入の障壁を下げる重要な存在であり、グローバルでも重視しています。認定制度や専用トレーニングプログラム、デモ環境など、従来のパートナープログラムに加え、特別な提供モデルや価格モデル、サポート体制を用意しています。

　特に、ユーザー企業が被災した際に24時間365日体制で復旧を支援する専門チーム「RRT（ランサムウェア・レスポンス・チーム）」の無料利用パッケージは大きな特徴です。これまでは、マルチテナント型のMSP環境において当社からは個別のユーザー企業を特定しにくいため、迅速かつ的確なサポートが難しいという課題がありました。しかし新プログラムでは、MSPのユーザー企業に対し、RRTが直接サポートを提供できるようになりました。こうしたMSPパートナー向けプログラムはグローバルで先行展開しており、今後は日本市場でも導入を予定しています。

眼光紙背 ～取材を終えて～