「診断会社ソムリエ」濱本常義、これからのセキュリティ診断会社選びの基準 3ページ目 | ScanNetSecurity
2020.06.07(日)

「診断会社ソムリエ」濱本常義、これからのセキュリティ診断会社選びの基準

昨今、代表的画面だけ診断をやればいい時代ではなくなっている。ほとんどの画面を各企業が診断する傾向が強まっており、 SHIFT SECURITY が提供する「すべてにおいて必ず80点」というニーズが高まっていると濱本は考えている。

製品・サービス・業界動向 新製品・新サービス
  AppScan などによるツール診断が主流だった 2005 年当時に、卓越した技能を持つ技術者による手動診断こそがこれからのセキュリティ診断であると声高に主張、まさに濱本がいうアーティスト型診断サービスの日本の先駆けとなった。

 技術の卓越性を証明する手段として松野らが選んだのが、毎夏ラスベガスで開催されるハッカーの祭典 DEF CON の技術コンテストである CTF での成績だ。チーム「 dumbtech 」を社内で組織、企業として取り組み、毎年松野自らが参加、レッドブルをがぶ飲みし善戦、さかんにその経過の情報発信を行い、日本人初の DEF CON CTF本選出場に文字通り命をかけた。やがて「セキュリティ診断サービスにおけるアーティスト至上主義」の価値観は日本のセキュリティ市場に徐々に蔓延していく。 2019 年現在も、いまの日本で主流となっている価値観だ。

  CDI の NEC への売却後、松野は都合 2 社の取締役を務めた。 1 社では再びアーティスト型診断事業の経営に参画、事業を成長させたが、ずっと松野はアーティスト型サービスに問題点を感じていた。

 問題点とは、人数を増やさない限り事業がスケールしない経営的制約であり、それに不随した人材不足。なかでも、顧客に対して均質なサービスを提供できていないことには、とりわけ忸怩たる思いを持っていた。

 「お客様に対して、自分が当たり外れのあるサービスを提供していることに、ずっと引け目を感じ続けていた(松野)」

 松野は、均質なサービスを提供できない最大の理由が、まずノウハウの可視化がされていないこと、そして可視化されたノウハウをすべての診断士が共有するための標準化の仕組がないことだと気づく。

 その後、ソフトウェアテストの標準化で急成長した株式会社SHIFT と出会った松野は、同社が保有する標準化ノウハウとプラットフォームが宝の山に見えた。これをまるまる使えばいいのだと考えた。そして株式会社SHIFT SECURITY 設立。博士課程卒の秀才を相棒に、約半年間をかけて、日本の診断サービス史上初めてレベルの、徹底的標準化を網羅的に行ったことは、本誌が過去紹介した通りだ。

 現在では、一定水準の情報処理・事務処理・コミュニケーションの能力があれば、セキュリティ業務の経験も IT リテラシーすらない診断員でも、診断作業者として一定水準の業務を行えるレベルまで標準化を達成した。それがたとえ文系出身でコンビニ店長出身のおじさんでさえも。

 セキュリティ人材不足の状況にも関わらず、 3 年で 100 名規模の診断員を抱えるまでに SHIFT SECURITY は成長する。 100 名全員が、それまで診断業務の経験がなかった者ばかりである。


 濱本と松野は、松野が CDI に在籍していた頃からのつきあい。もう 10 年を超える。

 「以前はいろいろとお叱りをいただいたこともありました(松野)」

 松野は、 CDI の次に経営に参画した会社でも、同様に優秀な診断サービスを作りあげた。しかし、エネルギア・コミュニケーションズとの取引が発生することは一度もなかった。「まだ濱本さんには見せられない」当時の松野は考えた。

 だからこそ濱本の目には、これまで診断業界の誰一人解けなかった難問に、 SHIFT SECURITY を立ち上げた松野が新しいやり方で答を出そうともがいた跡がハッキリと目に見えた。いつか自分とした約束を、松野が果たそうとしてくれたことも。

 「松野さんが、 CDI とその後の 2 社で苦労した痕跡が、 SHIFT SECURITY の新しい手順書の中に詰まっているのが見えたような気がしました。手順書を見せてもらったことなんてないんですけどね。透けて見えたというか(濱本)」

 仕事においては、手強い人物こそ、自らの理解者である。

 「アーティスト型の脆弱性発見の突破力が 100 点だとしたら、 SHIFT SECURITY は、 2 年前に使い始めたころは 70 点くらい、いまは 80 点には上がっている。これからも上がっていくだろう。しかし、突破力が 100 点に到達するのは難しいだろうとは思う。(濱本)」

 そう考える濱本だが、それを必ずしも否定的には考えない。

  100 点 120 点、あるいはそれを飛び越えた 5 億点を目指すアーティスト型診断に全幅の信頼を寄せる濱本だが、同時に業界全体の平均点を上げることも価値と感じるからだ。

 昨今、事業インパクトの大きいインシデントが多数発生したことで、代表的画面だけ診断をやればいい時代ではなくなっている。ほとんどの画面を各企業が診断する傾向が強まっており、 SHIFT SECURITY が提供する「すべてにおいて必ず80点」というニーズが高まっていると濱本は考えている。

 濱本が SHIFT SECURITY を評価するのは、診断業務の標準化によって、業界全体を底上げしようとする松野の志だ。濱本はどんなときも企業ではなくその中にいる人を見るという。どんな企業も診断作業のマニュアル化は精緻に進めている。また、PCIDSS 特化型の脆弱性診断など、標準化を目指す診断サービスも存在する。しかし、Web アプリの脆弱性診断全部をまるごと標準化するなどという規格外の夢を追うのは SHIFT SECURITY の松野だけだ。

 こんなエピソードがある。

 あるときエネルギア・コミュニケーションズに特急で診断依頼が来た。極端な言い方をすれば、今日頼んで明日納品できないかといった不可能ミッションに近い依頼である。しかもエネルギア・コミュニケーションズの内製診断員が未経験の技術で、内製で対応できないものだった。過去実績のある複数の診断企業に打診、そのうちの一社がなんとか引き受けてくれた。

 無事にそのサービスはローンチできたが、プロジェクトを完了した濱本はこう考えたという。

 「こんな関係は長続きしない。クライアントも、診断会社も、自分たちエネコムも」

 今回はクライアントの相当の無茶を飲んだ案件だったが、診断会社が負ったコストの最適解ではない。どちらも Win Win で長続きできる関係を維持できるように調整しなければならない。

 こんな特急依頼が今後も来つづけるような事態を回避したいというのも理由のひとつだったが、なにより無理をして対応した診断会社の技術に対して報いていなければならないと思われた。また、今日頼んで明日納品のようなギリギリの進行で開発を行う顧客のつらい未来にも思いをいたした。

 濱本は両方の立場を考え、最適解と信じる調整を行った。

 インタビューを通じて、エネコムのセキュリティサービスは、事業会社が行う営利事業であると同時に、濱本がこれまで関わってきた、コミュニティ運営に似ていると感じた。

 そこに関わる全員の得を考える。誰かが一方的に損をするようなこともその逆もあってはならない。みんなが対等で発注者も受注者も変わらない。たまたまそのとき立場が異なっただけだ。

 そしてそこにいるみんなが未来に責任を負い、関わる全員が成長を目指す。そもそも人間の社会というのはそういう場所ではなかったか。

 エネルギア・コミュニケーションズのセキュリティサービスを利用すること、または取引先になることは、エネコムのコミュニティの一員になることだ。貢献しそして成長することが務めだ。

 こんな会社、あまりないだろう。

 「セキュリティ診断会社ソムリエ」と書いたが、これがしっくり来ている訳では必ずしもない。取材後に「セキュリティ診断会社評論家」「セキュリティ診断会社の診断士」「セキュリティ診断会社研究者」いろいろ考えたが、なかでも「診断(ワイン)」に対する愛情の存在、という点で「ソムリエ」が次善に思えた。もっと良い言葉があればそれに変更しても構わない。(文中敬称略)
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

編集長就任10周年記念「宣ベロキャンペーン」中!
編集長就任10周年記念「宣ベロキャンペーン」中!

Scan PREMIUM が半額! こんな時期だからこそセキュリティの未来を考えるオンライン飲み会を開催

×