サプライチェーンリスク対策として一億円を超える「赤字」投資を行わんとする宮崎県の一民間企業 | ScanNetSecurity
2023.02.03(金)

サプライチェーンリスク対策として一億円を超える「赤字」投資を行わんとする宮崎県の一民間企業

こんな「トンデモ仮説」が浮かんでしまったのは、2022 年 12 月に公開されたとあるプレスリリースに目を通して、それをもとにいろいろ考えたことがきっかけだった。無料セキュリティプラットフォーム「S4(エスフォー)」の運営費用の公開である。

製品・サービス・業界動向 新製品・新サービス
PR

 「赤字を垂れ流す」という言葉があるが、「グレートリセット」などという言葉が語られ、グレタ・トゥーンベリさんの「永遠に経済発展するというおとぎ話を大人が真に受けたせいで、我々子供世代は生涯にわたって苦しむ」などという趣旨の発言が報道される昨今を考えると、「黒字を垂れ流す」という言葉があってもいいのかもしれない。

 そもそも「垂れ流す」という言葉を Web で調べてみたところ、

・工場廃水や汚水などを処理しないまま河川・海・下水道などへ放流する。
・(比喩的に)人の迷惑になるものを際限なく放出する。
(出典:デジタル大辞泉:www.weblio.jp

と、新年早々あまり見たくない定義が並んでいた。全て、社会や環境そして人に迷惑をかけるものばかりだ。

 SDGs の文脈で「黒字を垂れ流す」と言ったらどんな意味になるだろうか。たとえば原発再稼働である。欲しくもない原子炉を国の方針で買わされ、目玉が飛び出す巨額の設備投資をさせられた以上、その設備をできるだけ稼働させて財務諸表を少しでも良くしたいというのは、まともな経営者にとってほんっとうに極めて合理的な判断である。利益を出すという目的に関してだけ考えるなら。

 他に細かい例をここでは挙げないが、環境やコンプライアンス、人権等々への配慮を欠いて、利益追求を専らとした事業をすることで、その事業単体としての収支はともかく、従業員にブルシットジョブを強いる結果となり、最終的には社会全体のコスト、社会的費用を上昇させてしまうような企業・事業活動全般を「黒字を垂れ流している」と呼んでもいいかもしれない。黒字だから今後も拡大して継続されることが予想されるし、それによって生活している人もいるから事態は簡単ではない。あるいは日本という国自体がもはや世界から見れば黒字垂れ流し国家なのかもしれない。

 こんな「トンデモ仮説」が浮かんでしまったのは、2022 年 12 月に公開されたとあるプレスリリースに目を通して、それをもとにいろいろ考えたことがきっかけだった。無料セキュリティプラットフォーム「S4(エスフォー)」の運営費用の公開である。

 IT 資産の棚卸を行い、各資産の脆弱性を通知する無料サービス提供のために、いったい毎月いくらお金がかかっているのか、具体的にどれだけキャッシュアウトしているのかが、明細付きでつまびらかにされた。

 S4 プロジェクトの最初期メンバーの 1 人である小林 寛生(こばやし ひろお)に話を聞いた。

 ここで改めておさらいしておくが S4(エスフォー)とは、宮崎のベンチャー企業 株式会社クラフと、そのグループ会社 株式会社SHIFT SECURITY によって企画・開発・運用されているセキュリティプラットフォームで、2021 年 10 月に構想が発表されクラウドファンディングを同年 12 月まで実施(結果は失敗)2022 年 2 月にβ版を公開しクローズド・ベータ・テストを開始、2022 年 9 月にパブリックリリースし、ほぼ同時にソフトウェアのオープンソース化を発表11 月には 2 ヶ月間で集まったユーザーの内訳やアクティブ率などを公表していた。そして 2022 年の年の瀬に満を持して公開されたのが、S4 プロジェクト全体の「運営費用」「月次のキャッシュアウト明細」だった。

 S4 のサービスとしてのコアは資産管理ソフトである。企業内の IT 資産を半自動で棚卸して、それぞれのバージョンを把握し、公表された脆弱性情報と突き合わせを行い、該当するものがあれば通知し、管理者は粛々とパッチを当てる。

 同じ IT 資産管理や脆弱性管理プラットフォーム、すなわち SKYSEA Client View や Tenable などを革張りシートの高級車やスーパーカーとするならば S4 はさしずめ「軽ワゴン」あるいは「電動アシスト機能付自転車」といったところか。そもそも S4 は、日本企業の 99.9 %を占める中小企業を対象にしているサービスであり、軽ワゴンや自転車で必要充分である。

 S4 のポイントは、ユーザーが中小企業である限りにおいて「全機能 FREE FOREVER」で使えることだ。通常こういうセキュリティプロダクトにおける無料というのは、期間限定であったり、使いものにならないレベルのえげつない機能限定がなされていることが当たり前だが、S4 はログイン可能な ID 数以外の制限が無償/有償間に設けられていない(無料版では 1 ID のみ、有料版は無制限)。

 しかし、これはやる前からわかっていたことではあるが、たとえ半自動とはいえ、資産棚卸をして脆弱性が出たらパッチをあてるような面倒な作業をやってくれるのは、ごく一部のこのプロダクトの真価がわかる人や、目端の利く管理者だけに(少なくともサービス開始直後は)限られる。

 賭けてもいいが、毎月 10 万円金をくれてやると言われたとしても、資産棚卸とパッチ当て(適用前の事前検証等々を含む)を業務として新規にやろうとする企業は 99.9% の中小企業の中に多くはないだろう。運用管理できる人がいないしそもそも理解できない。会計ソフトの弥生を無料にしたら日本中の企業が使うかというと当然そんなこともない。SAP などなおさらである。おそらく Microsoft Excel ですらそうではないかと思う。習得や理解と、運用や管理が必要なタイプのビジネスソフトに、無料であることの普及促進効果は実はあまりない。その反対に Netflix を無料にしたら人が群がるだろうし、オンラインゲームのガチャを無料にしても同じだろう。要は頭を使うことや、習慣を変えること、新たな業務フローの構築が必要なものの普及は容易ではない。教育や制度や法律を抜きにしては。

 とはいえそんなことは S4 事務局も承知していたことだと思う。にもかかわらずあえてグローバルで見ても稀なこんな挑戦を行っているのは、S4 がサプライチェーンリスクという、日本に限らずグローバルでも現在「解決不能課題」とされているセキュリティ上の難問に対して、有効な対策となり得るからに他ならない。ここでいうサプライチェーンリスクとは、ホールディングスの守りが堅いから子会社を狙ったり、子会社の守りも堅かったらその取引先を襲撃するなど、サイバー攻撃が弱者へ弱者へと向かいそれを止めることができない状態を指す。

 サイバー攻撃の 9 割は公知となっている脆弱性が突かれるとも言われる。だから全ての企業が、終業時にオフィスの照明を消して施錠するがごとく、IT 資産の棚卸を定期的に行い、いざ脆弱性が報告されたら検証しパッチをあてることができれば、現在起こっている攻撃の 9 割は防げることになる。そのためのツールを無償で提供している試みが S4 である。弱者を救済するなら利用料無料以上の説得力がある仕様はまたとあるまい。

 さて、2022 年 9 月度の S4 プロジェクトのキャッシュアウトは次の通り。

■ S4 運営費(2022 年 9 月実績)
開発費     321万6千円
デザイン費   100万円
管理費     126万9千円
ーーーーーーーーーーーーーー
インフラ費   3万4千円
ーーーーーーーーーーーーーー
販管費     81万1千円
ーーーーーーーーーーーーーー
合計      632万9千円

 内訳の「開発」「デザイン」「管理」はほぼ人件費で、毎月固定的に発生する費用。この費用項目はそもそも S4 プロジェクトが肥大化した組織などではないので今後減る可能性は低い。インフラ費はイコール「AWS への支払」でありこれも今後増えることはあっても減ることはない。販管費だが、株式会社クラフは 2022年 9月にベトナムで S4 の説明会を実施しており、その出張費が大半を占めており、この費用の一部は固定費でなく変動費である。

 632万9千円。

 これが毎月の費用であることがポイントである。つまり 2022 年 10 月も 11 月も 12 月も 2023 年 1 月も同規模のキャッシュアウトが発生したし、これからもするということだ。

 今回取材に応じた小林は、S4 プロジェクトの最初期からのメンバー。かつて取材した小田と小林の二人だけのチームで S4 プロジェクトはキックオフした。

 SHIFT SECURITY の松野がゲヒルン社在籍時代に開発した、脆弱性情報を収集しそれを API で配信するソフトウェア「VAMS(Vulnerability Assessment Management System)」が S4 のプロトタイプであり、当初 Go で書かれていた VAMS を、将来的なメンテナンス性を考えて PHP でまる一年かけていちから書き直したのが小林である。

 現在小林は、S4 の開発メンバー 7 名(バックエンド 4 名、フロント 3 名)のうちのひとりとして業務にあたっている。2 人でスタートした S4 も現在は、エンジニア 7 名、デザイナー 1 名、ディレクター 3 名、広報 1 名の約 12 名体制だという。

 12 名で月 600 万円。つまりひとりあたり 40 ~ 50 万円程度の人件費、そう考えると、人権費には雇用保険等の社会保障費も含まれるとして、内製開発プロジェクトとして妥当な額と言えるだろう。

 とはいえもし S4 に「サクッと開発したフリーソフトをネットを通じて配付しているだけ」のようなイメージを持っていたとしたら、毎月 600 万円固定でキャッシュアウトが発生するのは、驚きの額であることは間違いない。小林にとっても月 600 万円という数字は驚きだったという。

 小林は「絶対値」という言葉で、公開された運営費内訳に目を通したときの気持ちを語ってくれた。果たして自分たちが作ったサービスが 1 カ月 600 万円に見合うインパクトを社会に起こせているか「身が引きしまる思い(小林)」を感じたという。

 一社でも深刻なサイバー攻撃から救われたなら 600 万円という絶対値に充分釣り合うようにも思えるがそういう話ではない。ここで言うのはサービスの継続性という話である。

 見合ったユーザー数が具体的にどのぐらいかについて小林は語らなかったが、より S4 のユーザーを増やすため、S4 と株式会社クラフ、株式会社SHIFT SECURITY が提供する脆弱性診断サービスを融合させるような機能開発を今後積極的に行っていきたいという。これは考えてみればあたりまえである。リアリスト、かつときにペシミストでさえあるセキュリティ管理者に「SDGs」だ「グレートリセット」だのと言ってもチンプンカンプンだろう。だから、すでに取引があって信頼関係のある既存顧客に S4 を広めていくのは正しい。

 たとえば S4 を使って棚卸とパッチマネジメントを定常的に行っている企業に限り診断料金を割引するなど「融合」のパターンはいろいろ案があることだろう。そして小林は、将来的には S4 を窓口として、脆弱性診断を無料で提供するというイメージまで語ってくれた。

 実は SHIFT SECURITY は、2019 年ごろから、同社が提供する OWASP TOP 10 レベルの網羅的脆弱性診断をいつの日か無償で日本市場に向けて提供することを将来的ゴールにしたいと何度か取材で口にしていた。そのプランを語るのが SHIFT SECURITY の松野のような同僚からサイコパスと呼ばれる破天荒な人物ではなく、小林のようなまっとうな常識人によっても今回の取材で語られたので、こうして初めて書いた。

 「身が引きしまる思い」を感じたのは小林だけではないだろう。これまで取材した広報の西本や、デザイナーのかめもとディレクターの山田開発者の小田ディレクターの小杉など、いずれのメンバーにとっても、自分が取り組むプロジェクトでどの程度のお金が毎月出てくのか、その具体額や全容を知るチャンスなどこれまでなかったに違いない。そしてそれは S4 のメンバー以外の人間、我々にとっても同様である。

 2023 年 1 月現在、S4 プロジェクトはすでにローンチから 15 ヶ月が経過している。2023 年内に総キャッシュアウトの額が 1 億円を超えることはほぼ間違いない。これだけの金額がサプライチェーンセキュリティ対策として、一民間企業から、日本社会全体のために、サイバー攻撃被害の減少以外にはほぼ何の見返りも求めず支出されようとしている。

 今回公開された毎月 600 万円の運用費と、昨年公開された S4 ユーザーの無償/有償版内訳をあわせて考えると、身も蓋もない言い方をすれば「毎月出ていく支出ばかりで収入はさっぱりの状況」である。しかし、この支出ばかりの状況には黒字垂れ流しとは正反対の、社会的費用を減少させるベクトルが存在する。こういう企業が日本に 100 社くらい存在して積極的に情報発信と何より雇用を行い、ユーザーもそれを支持すれば、日本も再度先進国・経済大国の一角に復帰できる目があるのではないかと本気で思う。

 そもそも毎月 600 万円の大赤字の月次運営費をよく公開したなという気持ちが今回の取材では大きかった。株式会社クラフ及び株式会社SHIFT SECURITY は双方、東証プライム上場企業である株式会社SHIFT のグループ企業である。東証プライム市場とは黒字垂れ流し国家ニッポンの中で特に優等生とされる黒字垂れ流し企業が集まる素敵な場所である。そもそも(主に大企業における)SDGs だダイバーシティ&インクルージョンだのは「税金対策CSR」におけるママゴト及びアリバイ作りで掲げる目標に過ぎず、やってる奴らからして実現できるなどとは露ほども思っておらず、せっかく大手に入ったのに閑職に追いやられたくらいに感じている。S4 のように事業会社が事業活動でそれに真っ正面から取り組む例など NPO を除くと日本では皆無絶無どこにもない。投資家が理解できない。だから経営者は理解しようとさえしない。記者はこの記事が公開後になんらかの削除圧力がかかる可能性があると本気で思っている。

株式会社クラフ 小林 寛生 氏

《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×