標的型攻撃による情報漏えい、メール詐欺やランサムウェアによる被害は、企業の規模を問わず大きな問題となっている。人材や知見など対応リソースがない企業、大手セキュリティベンダーに依頼できるほど予算がない企業は、これらの被害にあったときどうすればいいのだろうか。 この問題に、サイバーセキュリティ教育カンパニーとして臨むのがグローバルセキュリティエキスパート株式会社( GSX )だ。GSX は、ホワイトハッカーによる脆弱性診断、セキュリティコンサルティング、メール訓練、インシデント緊急対応などの事業を展開し、近年サイバーセキュリティ教育カンパニーとして事業活動を行っている。 代表取締役社長 青柳史郎氏は、現在 GSX は創業以降 2 度目の変革期にあり、ホワイトハッカーやネットワークセキュリティエンジニアの教育を、中堅企業を含め日本に広く浸透させ、東南アジアにおける IT 利活用が始まった企業にも展開することを自社のゴールと見据えている。●JSOX、リーマンショックの次に来た変革 GSX の前身は 1997 年に設立されたコンサルティング会社。同社セキュリティ事業部門が 2000 年に分離独立する形で生まれた。当時から脆弱性診断を手掛けていた老舗だ。当時、米国で行われていた模擬攻撃を行い弱点を発見するというタイガーチームという概念を日本に始めて導入、登録商標も持っている。 2005 年頃の JSOX ブームで、内部統制関連のコンサル事業で同社は順調に成長した。この頃を GSX 1.0 とするなら、2009 年のリーマンショックで状況が変わったときが最初の変革期といえる( GSX 2.0 )という。 そして現在、同社は再び変革の時期を迎えている。それが GSX 3.0 ともいえるサイバーセキュリティ教育カンパニーへの生まれ変わりだ。3 度目の創業期として教育カンパニーとして掲げたのは「サイバーセキュリティにおいて、中堅企業の置かれている立場、現状の問題を認識した(青柳氏)」からだという。●高度化する攻撃に放置される中堅企業 サイバー攻撃は企業経営や活動に定常的にインパクトを与えているが、セキュリティ大手企業の多くは、やむを得ず中堅以下の企業のニーズに対応しきれていない現実がある。要は、急ぎだろうが差し迫っていようが、時期や企業規模あるいは業態によってはどこも引き受けてくれないのだ。とくにインシデントの緊急対応では、感染がパンデミック状態にあったり、業務が止まっているにもかかわらず、セキュリティベンダーに相談しても、手一杯で対応してもらえないことも多々あるという。 もちろん中堅企業にとっては予算的問題もある。高度なフォレンジックやマルウェア解析は高度な技術に加え、コストもかかる。「結果的に見捨てられる中堅企業。この問題は深刻です。弊社もソリューション導入を推進したり、コンサルティングをなるべくリーズナブルなコストで提供していますが、この状況をケアできる人材が内にも外にも足りていないのです」 青柳氏は、マルウェア感染から 1 か月以上にもわたって、セキュリティ企業を計 8 社も訪ねたにも関わらず、どこも手一杯と断られ、途方に暮れていた中堅企業に会ったことがあるという。そのとき青柳氏が感じた、怒りに似た気持ちと無力感、そして悲しさは GSX 3.0 の原点のひとつとなった。●自衛のためのスキルを身につけよ インシデント対応の技術やセキュリティノウハウは属人的でもある。追いつかない対応業務すべてを GSX 一社がまかなえるものでもない。そこで、同社が注目したのがセキュリティ教育だ。 昨今のサイバー攻撃に対抗すべく、UTM 製品や SIEM を導入したり、SOC サービスを依頼したりする企業は増えている。しかし、そうやって導入した製品のアラートを読めない、判断できないといった問題もある。そのため、侵入や被害の発見が遅れたり、発見しても対応を間違ってしまったりする。例えば、マルウェアや侵入を検知したとき、電源を抜いたり、LAN ケーブルを抜くといった緊急措置は、プロセスイメージやメモリの内容が壊れてしまうので、その後のフォレンジックや証拠保全、それに基づき終息宣言を出すことまでを考えると適切ではないケースもある。 このように知識やスキルを持つ「わかっている人材」の有無は後々に影響する。逆に知識やスキルがあれば、システムやソリューションの導入でも無駄を抑えることができるし、ベンダーに足元を見られることもないという。 つまり、必要なのはユーザー企業のセキュリティ知識レベルを高めることだ。「とにかく、十分な対応が受けられない、できない中堅企業が放置されている現状をなんとかしなければならない。事業者のサービスや人材が足りていないなら、自衛するのが一番です。社員が知識を身につけて、自分達で一次対応だけでも適切に行うことが重要です。そのための知見は、長年のコンサル事業、脆弱性診断から我々は豊富に持っています。これを社会に還元して、全体のセキュリティレベルを上げることが我々の使命だと思っています」 GSX は今後、引き合いが増えている西日本エリアへのサービス拡大や、さらに東南アジアの日系企業へと教育支援とコンサルティングを広げる予定だ。東南アジアもまたセキュリティコンサルやインシデント緊急対応が不足しており、相談する先がなく見捨てられるという点で、日本と同様なスキームが展開できると考えている。また、著名コンサルタントや技術者を CISO として時間契約できるバーチャル CISO サービスや、IoT アセスメントといった新しいサービスも準備している。●ホワイトハッカー教育で喜んで敵に塩を送る GSX の教育事業は、「 EC-Council 」と呼ばれる、ホワイトハッカーとネットワークセキュリティエンジニアの認定試験の講座を中心としている。EC-Council は、あの SANS に対抗する資格として国際的に認知されており、米国では国防総省の調達案件の選定条件のひとつにもなっている。 この EC-Council のトレーニングは、グローバル基準のサイバー攻撃対策をいち早く日本に投入している。他にも、フォレンジック、Java セキュアコーディング、CISO のトレーニングコースなども展開、トレーニングはどれも、現場一線で活躍する技術者やエンジニアのノウハウが投入されるハンズオンや演習が中心となり、日本国内では GSX と、そのパートナー以外では提供できないサービスだ。 GSX のトレーニングを受けるのは、ユーザー企業の CISO やシステム担当者、CSIRT 担当者も多いが、じつは 7 割が国内大手 IT ベンダーをはじめとした SIer だという。彼らの受託案件、開発システムは、提案、設計段階で高いセキュリティ要件が求められているからだ。シフトレフトという言葉もどんどん広まっている。 GSX はいわば商売の元になるノウハウや技術を SIer や企業に教えている。あえてライバルを作るようなものだが、これに対して青柳氏はあまり意を介していない。「それだけ現状が捨て置けない状況だと思っています。たとえそれで 10 年後会社がなくなったとしても、それはうちの実力不足だし、いま日本にはこの事業が必要だと思っています」と語った。 極端な言い方をすれば、セキュリティ事業の究極のゴールは平和が訪れてその事業が不要になることだ。理想論過ぎて語られることもないこんな正論を、真顔で熱っぽく語るセキュリティ企業経営者に筆者はひさしぶりに出会ったと思う。決して容易な目標ではないが、青柳氏と GSX が目指すゴールの社会的要請は高い。
