脆弱性管理プラットフォーム「 S4(エスフォー)」が 9 月 1 日パブリックリリース ~ 寝耳に水のオープンソース化の真相 | ScanNetSecurity
2022.10.05(水)

脆弱性管理プラットフォーム「 S4(エスフォー)」が 9 月 1 日パブリックリリース ~ 寝耳に水のオープンソース化の真相

「以前からサイコパスだと思っていたが、今回はその想定をはるかに超えてきた」

製品・サービス・業界動向 新製品・新サービス

 本誌が、「サイバーセキュリティ産業で発生したマジックリアリズム的事件」と呼んでいる、宮崎県のセキュリティベンチャー企業 株式会社クラフが中心となって進めているプロジェクト「 S4(エスフォー)」がひとつの節目を迎えた。

 9 月 1 日木曜、法人向けの IT資産管理 兼 脆弱性管理プラットフォーム S4 は、満を持して正式にパブリックリリースされた。

 節目であると同時に転機と呼ぶこともできそうだ。昨日 9 月 8 日に配信されたプレスリリースによれば、S4 がオープンソース化されることが決定したからだ。これまでのプロジェクトの経緯をふり返りながら、株式会社クラフで、S4 の企画発案段階から開発主要メンバーとして関わってきた小田 真司(おだ しんじ)に話を聞いた。

●フルサービス Free Forever

 S4 の開発が発表されたのは 2021 年 10 月。IT 資産管理と脆弱性管理を行うソフトウェアを、株式会社クラフと、そのグループ会社 SHIFT SECURITY の資金によって開発し、2022 年に提供開始する構想が掲げられた

 「ありえない事態」という意味で「マジックリアリズム的事件」と呼んだ理由は大きく二つあった。

 一つは S4 が、中小企業に対して完全無償で提供されることである。通常こういう場合、そうは言っても無償とは名ばかりで、無償版の機能は限定的かつ、ものの役に立たないガッカリも少なくないのだが、S4 は無償版と有償版の間に機能の差が一切存在せず、中小企業に対しては「フルサービス Free Forever 」という異色の料金プランを打ち出した。

 一方で大企業に対しては有償版のみの提供となり、たとえばサプライチェーンをすべる大企業が有償で導入し、下請け孫請け被孫請け玄孫請けに S4 の使用を義務付けるような電通におけるプライバシーマーク的なユースケースを想定してもいた。なお、にも関わらず企業価値数千億円の、頭のてっぺんからつま先までの堂々たる大企業から「金は払うが実質無料に近いディスカウントをしろ。我々が欲しい機能開発も行え。うちのようなエスタブリッシュメント企業を顧客に持てること自体貴様らのような木っ端(こっぱ)ベンチャーにとって身に余る光栄と思え」という SDGs が裸足で日本から逃げ出すような利己的かつ厚顔の極地の趣旨の(しかし言葉使いは慇懃かつ紳士的な)問い合わせが S4 事務局に舞い込み、あえなく袖にされたというエピソードは、以前の取材記事で紹介した。

 マジックリアリズム的事件である理由が大きく二つあると書いたが、もう一つの理由こそが S4 の最もコアな価値提案だろう。それは、各種セキュリティ対策サービスとその実装とは、企業規模やその財務状態に関わらずどんな企業でも平等にアクセスされるべきであるという、S4 プロジェクトにこめられたメッセージである。

 国内に存在する企業の 99 %は中小企業であり、その多くが起業から数年以内に倒産又は廃業する。多くは赤字で運転資金すらままならない。そんな 99 %の企業は、セキュリティ対策にあてる資金など逆さにしても出てこない。

 インターネットが普及して以降、セキュリティとは常に金で解決する問題であり続けた。ここに S4 は、脆弱性管理という領域に限定してではあるものの静かに異議を唱えた。同時にそれは、セキュリティ業界全体を形式的にではあるが敵に回す一手を打ったともいえる。

 方法は他にもあるのだろうと思う。誰でもすぐ思いつく夢物語は、薬事法や道路交通法、建築基準法のように、セキュリティの様々な仕組の実装を社会的に義務とする法整備だろう。DXだデジタルだとワッショイワッショイと国を上げて盛り上がっている現在は、いわば建築基準法のない世界で高層ビルを建てて、場所によって規格の違う道路を、白タクと改造車が爆音をあげて大挙して疾走するような状況である。モヒカンヒャッハーとそう大差ないがそこにはマックスもケンシロウもいない。事故が起こった後から知ってギョッとするような、見かけだけ立派な安普請の摩天楼がネットには存在している。

●解決不能な社会課題 サプライチェーンリスク

 セキュリティの特徴は自分 1 人だけ助かることが難しい、事実上不可能、という点にある。巨大企業ほど長大なサプライチェーンという鎖を繋いで事業を営んでおり、弱い鎖から狙われる。「ウィークエスト・リンク( Weakest Link )」などと呼ばれる。

 要は弱い鎖を無くす、つまり社会からセキュリティ弱者の法人を相対的に減らせばいいのだが、個人には生活保護があっても法人にそんなものはない。これは社会が持つ脆弱性ということもでき、これにはパッチのあてようがない。国自体をグレートファイアウォールで囲みでもしない限り。

 自治体強靱化プランのように、政府や自治体は「区画化」することである程度セキュリティを向上させることができたかもしれない。しかし民間企業がサプライチェーンへの攻撃のようなリスクに対して打てる決定的な手は存在しない。そんな解決不能の社会課題に対して出された奇手・奇策が S4 だった。

 「ひ、貧富の格差でセキュリティに差が出るなんて、そんなのぜったいに許さないんだからねっ!」 そんなロマン主義的な感情論も S4 の PR サイトの記述には若干は存在するが、これはジョブズにおける「Think different」的な修辞技巧に過ぎず、要はエモいメッセージの方が人に広く刺さる可能性が高いからであろう。

 S4 がいろいろな案をシミュレートして怜悧(れいり)にロジカルに考え出されたアイデアであることは間違いない。案外まともなシンクタンク(そういうものがあればだが)にサプライチェーンリスク解決案策定の依頼でもしたら S4 とそっくりの案が出てきたりするかもしれない。しかしそんな案は必ず却下されるだろう。「誰が出すんだそんな金」と言われること必定(ひつじょう)。誰が出すんだと思っていたら、なんと設立から 5 年に満たない宮崎県のベンチャー企業が金を出した。

●開発しているのはソフトウェアではない

 このように S4 とは、試みがそもそも先進的なのでほとんどの人に理解されていない。プロジェクト発表から数ヶ月にわたって行われたクラウドファンディングは見事に失敗した。目標金額 200 万円に対して「 104 万円も集まった」と取ることもできるが。

 なお、セキュリティ業界以前に S4 は、あまた存在する IT資産管理ソフトを敵に回しはしないかと思われるかもしれないが、ここで書いておくとたとえば SKYSEA Client View のような「名作 IT資産管理ソフト」と S4 が競合関係になど全くならないことは疑いの余地がない。

 それは S4 が、情シスを感涙随喜させるような、いわば「ソリトンシステムズ的な」かゆいところに手が届く、使いやすいソフトウェアにする努力を(あえて意識的に)行わないという開発方針があるからだ。

 開発ディレクターの山田蕗代に今春取材したところによれば S4 は 0 点を 60 点にするサービスであり、90 点を 95 点や 97 点にするようなサービスではない。たとえば名作 IT資産管理ソフトが「はがねの盾」とすれば、S4 は「木の盾」というところだろう。しかしそれでも、いままで完全に丸腰、なんなら全裸で旅をしていた冒険者にとっては計り知れない意義がある。S4 が「はがねのよろい」でないのはもちろんのこと「革のよろい」ですらなくても、せいぜい「布の服」だとしても、いままで魔物が闊歩するサイバー空間を裸で旅していたなら、その意義は甚大である。ファストファッションならぬファストセキュリティだ。しかも Free Forever。

 「 Web アプリを作っているつもりはない」 S4 のチーフデザイナーの かめもと きえ への取材ではこんな印象的な趣旨の発言もあった。アプリの機能ではなく、社会に対してどうインパクトを与えるかに焦点をあててデザインや開発が進められてきた。

 9 月 1 日パブリックリリースされた S4 は、Webアプリの形式で提供される。最初のリリースでは複数拠点や子会社、サプライチェーンの管理機能は提供されず、一企業内の IT 資産の管理のみが対象となる。サイトのフォームからメールアドレスで登録する。

 OAuth で認証を行い、ユーザー個人に ID とパスワードは発行しない仕組をとる。動作保証ブラウザは Google Chrome、Microsoft Edge、Safari などのモダンブラウザのみで、それぞれ最新の 2 バージョンだけに対応する。

●まさかの S4 オープンソース化

 ここまででも充分パンチのある企業活動だと思うのだが、その翌週 9 月 8 日に発表されたもう一つのプレスリリースは、予想の斜め上をゆく計画だった。

 斜め上とは、大手町に本社を持つメガバンクの全国の支店に S4 の導入が既に決定した…などといったイケてない話ではなく、詳細は未定であるものの今後オープンソースとして S4 を公開していくという計画である。企業が億単位の予算で開発したソフトウェアが、プロプライエタリではなくオープンソース化される。

 アンチウイルスや各種スキャンツールには多くのオープンソース製品があるが、資産管理やパッチマネージメントを主要機能とするようなソフトウェアをオープンソース化するのはあまり例がない。

 このオープンソース化のアイディアに対して、当初猛烈に反対したのが今回取材した小田だったという。S4 開発に情熱を注いできた小田にとってオープンソース化のアイディアは、寝耳にオリンピックサイズプールの水を注ぎ込まれるような衝撃的事態だった。弾かれるように席を立った小田は、右の拳(こぶし)を握りしめて、ある男に詰め寄った。

●オープンソース化で問題まみれになった過去の事例

 たとえばオープンソース化することで WordPress は世界中に普及したが(プラグインに関しては)セキュリティの問題だらけとなっている。また、ここまで少なくない費用をかけているがそれをオープンソース化してビジネスとして大丈夫なのか? 小田の脳裏にさまざまな懸念が爆発した。記者は取材過程で、我が目を疑う小田の発言を Slack で目の当たりにした。

「以前からサイコパスだと思っていたが、今回はその想定をはるかに超えてきた(小田)」

 ここで小田の言うサイコパスとは、S4 の企画発案者の一人、株式会社SHIFT SECURITY の松野 真一のことである。オープンソース化の発案もまた松野であった。会議の席上、立ち上がった小田が右の拳を固めて詰め寄った先にいたのがこの男である。

 松野はかねてより、仕事ができるビジネスパーソンとしてのバランス感覚・嗅覚と、それと同時にときに常識を欠いた言動を行う両面を併せ持っており、本誌で今春掲載した別件の取材記事の中でいちエピソードとして言及したが、とある封建的企業風土を持つエスタブリッシュメント系企業のグループ会社に在籍していた際に松野は、いわばグループの「徳川家」にあたる親会社から社長として派遣された取締役を、多数の社員が同席する会議の席上で面罵(めんば:面と向かってディスること)するなど、その常識の逸脱さ加減は社内外で高い評価を得ていた。

 ITセキュリティジャンルの記事の中で「サイコパス」などという言葉が使われること自体が前代未聞、歴史初である。なお、この言葉を記事に使っていいかどうかは、株式会社クラフ及び株式会社SHIFT SECURITY に正式に照会を行っており「構わぬ」という粋な回答を得ている。

 つまり、

(1)サイコパスが関わっていて、取材して「サイコパス」と記事に書いては、ダメ

(2)サイコパスが関わっていて、取材して「サイコパス」と記事に書いて、いいとも!

 以上ふたつあるとしたら、後者の方が幾分か風通しが良いことは間違いないだろう。だからこそ、こういうマジックリアリズム的奇手が考え出され、現実に移されているのであり、そこには整合性がある。

 小田と松野はそれぞれ、前の職場から苦楽を共にしてきた古い仕事仲間。よく、相互の信頼や仲の良さを表現する言葉として「俺お前の間柄」などというが、小田と松野の信頼関係はその上を行く。まさに「俺とお前とサイコパス」。その小田をも驚かせたオープンソース化だったが、松野との数時間に及ぶ怒号飛び交う打ち合わせを経て、現在、小田はオープンソース化を積極的に推進する考えに至ったという。

●国境なきセキュリティサービス

「世界全体のセキュリティの格差をなくすことが S4 というプロジェクトのゴール(小田)」

 S4 が日本だけでなくグローバルをも意識したプロジェクトである以上、国や民族によって文化や習慣が異なれば、たとえゴールは一緒でもやり方は違ってくる。そこには仕様が定まった Webアプリではなく、オンプレミスで運用したり、自由なカスタマイズを行うニーズも間違いなく存在するだろうと小田は語った。

 今回の小田への取材で感じたのは、S4 というプロジェクトが当初から持っていた、事業会社による営利追求ではなく「社会課題解決」という姿勢が明確になり、「社会実験的」性格が、さらに先鋭化されたということだ。そもそも S4 という目論見自体が最初から NPO の色彩が強いものだった。国境なき医師団は世界の紛争地に出向いて無償の医療を提供するが、S4 は金も人も技術もない資本主義社会から「見捨てられた」企業に無償でセキュリティを提供する。オープンソース化することで日本という矮小な枠組みや国境を超えるポテンシャル(あくまでポテンシャルだが)を獲得することは間違いない。

●バグハンター最高のターゲット「脆弱性診断会社が作ったソフトウェア」

 最後に小田に、S4 がパブリックリリースされることで、善意の第三者によって S4 の脆弱性が発見・報告される可能性について質問してみた。

 「金持ちだけ助ける」というセキュリティ業界自体が不可避的に持つ(資本主義社会の事業会社が等しく持たざるを得ない)前提へのアンチテーゼを含む S4 は、(セキュリティ業界に所属する)名だたるバグハンターたちにとって脆弱性探しの格好のターゲットとなる可能性が高い。なにより「脆弱性診断会社が作ったソフトウェアに脆弱性が見つかる」というのは最高に気が利いている。そもそも診断会社は( NRIセキュアのようなよっぽど自信のあるところを除いて)ソフトウェア開発をビタイチあるいはほとんど行わない。技術者の才能のベクトルが異なることが主な理由だが、一方で毎日仕事で朝から晩までソフトウェアの脆弱性を見つけていたら、開発意欲など湧いてこないというのもうなずける話だ。

 「決して積極的に攻撃してほしいわけではないが」と苦笑いしながら小田は、S4 はユーザーインターフェースやユーザーエクスペリエンスなど、デザイン先行で進んでいるプロジェクトであるため、ユーザーがどう感じるか、たとえば、配色された色ひとつにしても、それをどう感じたか。とにかく意見を聞かせてほしいこと、そして当然、欠点や批判など「良くないという意見をこそ聞きたい」と語ってくれた。

 記念すべき S4 の脆弱性の JVN への報告第一号には一体誰の名が「謝辞」欄に記載されるのか。本誌としては実はその点も気がかりである。

 S4 概要 https://s-4.jp/news/20220901
 S4 利用申込 https://info.s-4.jp/signup/

株式会社クラフ 小田 真司 氏


《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×