GMOサイバーセキュリティ byイエラエ株式会社の市川 遼(いちかわ りょう)は情報工学を学んでいた学生時代に特段のこだわりもなく参加した CTF 競技にどハマりしその後の人生が完全に変わった。
市川がリーダーとなった CTF チーム「TokyoWesterns」は、結成してほどなく国内外の CTF 競技大会の常連となり上位入賞を果たすようになっていく。予選を通過して本選に出場する日本チームがほとんどいない世界最高峰の CTF 大会である「DEF CON CTF」に何度も日本チームとして本選出場を果たし、その後も TokyoWesterns は国内トップクラスのチームとして活躍する。
だからそんな市川が GMOイエラエに加わり、そこでペネトレーションテストでもレッドチーム演習でもなく、よりによって脆弱性診断を自動で行うサービス「ネットde診断」の開発業務に着任したと聞いたときは少々意外な感じがした。
磨かれたセンスと集中力そして天賦の才能で 100 点どころか 1 億点を叩き出すような「技術的アスリート」のイメージと、企業が保有する大量のデジタル資産を地道に網羅的に抜け漏れなく精査し、リスクや脆弱性をあぶり出していくサービス「ネットde診断」との間には、何かオリンピックとラジオ体操のような、全く別物の印象すらあったからだ。
だが市川にとって「ネットde診断」は、CTF の最前線で活躍していたときからずっと持っていた構想であり、いつか「作りたい」「欲しい」と思っていたプロダクトだったという。
CTF では、サーバに何らかのリクエストを投げてその反応を見るといった、同じことを何度もくり返すシーンが多い。初期からそこに着目した市川は、それらの定型ルーティン作業をスクリプトに落とし込み、自動化を試みるようになった。
「自動化できる仕事ってなるべく自動化したいっていう思いがずっとあって、自動化できそうな仕事ランキングでいうとセキュリティはその最たる例だと思っていた(市川)」
自動化によって単純作業の量が減ったことで、TokyoWesterns のメンバーはクリエイティブな思考にあてる時間が増えた。アイディアを出したり、新しいことに取り組むことで CTF の成績は向上していく。市川は自動化のメリットを体感した。
やがて市川は CTF 競技の問題を作成し、CTF 用のサーバやシステムを構築する過程でソフトウェア開発の経験を積むようになる。また、自ら CTF 大会を運営するなど、いち CTF アスリートを超えた視点を獲得していった。
ある日 GMOイエラエの「ネットde診断」を目にした市川は、まるで別の世界線に住む自分自身、もう一人の市川 遼が作ったプロダクトのように感じた。
自分が 10 年間ずっと解決したいと思ってきた課題の解決を目指すプロダクトだと直観した。これまでフラストレーションとなってきたことを解消する試みであり、市川の願いが込められていると思った。これは俺のプロダクトだ。俺が完成させる。それが一番うまくできるのは俺だ。
あたかもその人物の姿形と全く同一の空洞がプロジェクトの中にぽっかりと空いており、その空洞に寸分の違いもなくピタリと収まるかのような人材のアサインが行われることがあって、単にこれを「適材適所」などという雑な労働史観的言葉で片付けたら、それは仕事というものの尊厳を損なう行為ですらあるように思う。
本記事での詳述は省くが、NTTグループの SOC サービスのアップデートを行った阿部 慎司が GMOイエラエへの SOC 事業のリーダーにアサインされたのはそういうタイプの人選だったと思うし、阿部の来歴や志、もっと言って業のようなものも含めてこれほどぴったりの人選はないと思った。
今回の取材を通じて、CTF チーム TokyoWesterns のリーダー市川 遼が GMOイエラエに加わり(というか押しかけて)、そこでペンテストでも TLPT でもなく自動脆弱性診断ツール「ネットde診断」の開発を行っていることにも、同じような納得感を感じた。
「ネットde診断」は、インターネットに公開されたドメイン、IP アドレスをスキャンして、脆弱性などの課題を可視化するサービスである。精査する内容は、ソフトウェアのバージョンや、本来公開してはいけないファイルや VPN 機器等の管理画面、SSL証明書のバージョンチェック、DNS から余計な情報が漏れていないか等々。ネットde診断は外部に公開された攻撃面となりうる資産を把握し脆弱性管理を行う Attack Surface Management(ASM)のカテゴリに属するサービスである。
同時に「ネットde診断」は個別のシステムに対して脆弱性を深堀する脆弱性診断ツールの性質も持つ(ただし診断対象は Web アプリではなくプラットフォーム診断に大きく寄っている)。診断ツールとしてみれば「ネットde診断」は、スキャン実施の事前準備や社内調整が不要なことや、100 ~ 200 サイト単位の同時診断実施が可能である等のメリットがある。グループやサプライチェーン全体を横断するような全社的診断を、初心者がすぐに行うことができて、とりあえずヤバいものの一覧をほぼ即時に受け取ることができる。
取材を実施した 2024 年春時点で「ネットde診断」は 18 のスキャンモジュールを持ち、指摘事項の数は最大 127 件。事項数は必ずしも多いものではないかもしれないが、カタログスペックで優位に立つために項目数を増やしてスキャン速度を落とすよりも、チェック対象を厳選する方法をこの製品は選んだ。厳選の視点の置き所はもちろん GMOイエラエの「攻撃者視点」である。
ネットde診断のスキャンモジュールや指摘事項は、イエラエが創業以来実施してきた診断やペネトレーションテストの報告書を網羅的に目を通し統計処理を行い、指摘件数の多い項目を優先的に選定した。より正確に言うなら「指摘が多い項目のうち自動で検出できるもの」が選ばれた。
「言い換えるなら GMOイエラエの脆弱性診断をする人たちがやってきた診断手順の自動化に近い。GMOイエラエの人たちが過去やってきた/現在やっている診断作業のうち、自動でできることを全部盛り込んでるってことです(市川)」
指摘事項の評価は A B C D E の 5 段階。2014 年の Shellshock のようにペイロードが出ており緊急対応が必要なものは「E」、まだ PoC が出ていなかったり限定的な条件でのみ攻撃が成立するものは「D」など、リスクの顕在可能性等によって重み付けがなされている。
「ネットde診断」は、エントリーサービスにあたる 1 サイトの診断を無償で実施できる「ネットde診断 フリー」と、数百規模の診断対象への同時スキャンにも対応できる「ネットde診断forASM」のふたつがある。forASM版では、棚卸し結果や洗い出された脆弱性を、どうトリアージして改善につなげていけばよいか、GMOイエラエのコンサルタントが提言を行うアドバイザリーサービスも存在する。For ASMは定期診断を行う登録対象数によって料金が異なり、100FQDN の定期診断を行う場合、30 万円で利用可能である。
取材で市川は、いずれ「ネットde診断」を CLI を叩いて使えるような、GMOイエラエの通常の診断業務で活用されるレベルまで高めて行きたいと抱負を語った。逆に言えば 2024 年春時点では残念ながらそのレベルにはまだ至っていないということでもある。いずれにせよこの考えは、人気のまかない飯がメニューになるというか、社内で使っている便利ツールをユーザーにも提供していくという、マーケティングや競合調査からスタートする製品開発とは大きく異なる姿勢である。
GMOイエラエの代表 牧田 誠は 2023 年のインタビューで「安全でセキュアな Web サイトとは何ですか?」という本誌の質問に対して、「安全な Web サイトとは GMOイエラエの技術者が侵入しようとしてもできないサイトのこと」という、一見自家撞着のような、あるいは傲慢とも取られかねない言葉を残している。
取材から約 1 年を経てこの言葉をふりかえると、傲慢寸前の自信というよりはむしろ、彼らが自らに課しているハードルの高さと責任の重さが読み取れると思う。だってそうでしょう。少なくとも 2023 年 4 月 5 日 にインタビュー記事が公開されて以降に GMOイエラエに診断を発注して、その後に指摘事項に含まれていなかったサイバー攻撃が発生して被害に遭った場合その発注者は、左手に 2023 年 4 月 5 日 のインタビュー記事のプリントアウトを高く掲げて、右手の人差し指で GMOイエラエを指さして、頭に黄色い帽子をかぶってピョンピョン跳ねながら大声で「ウソつき」「ウソつき」と言うことが(論理的には)できるのだから。
ここまでのことを言える/あえて言うセキュリティベンダーは滅多にない以前に過去聞いたことがないし、まるで無限の責任を引き受けるような、要はひとつもトクが無い自らを追い込む言葉にも聞こえる。
それもそのはず、イエラエは「顧客を守る」という一般的な株式会社の定款的責任を超えて、「日本経済全体」及び「日本国民の生活全体」のサイバーセキュリティを向上させ「日本を守る」という、一企業としては野放図ともいえるようなミッションを、社名に「GMO」を冠するようになったタイミングから公言するようになっている。
GMOイエラエに所属するような技術者が日本に 50 万人いたら、たとえ手作業で仕事を進めても日本の安全は向上するかもしれない。しかしそうできない以上、自動化できるツールとサービスの開発は必須となる。
2024 年 1 月に市川が「ネットde診断」の開発に着任して、まだ半年にも満たないが、これ以上ない人選であり、尖った人材をさらに尖らせることで本人も社会も双方笑顔にさせる牧田らしい采配でもある。
GMOイエラエの果たそうとしている目的、市川の夢見るビジョン、そして「ネットde診断」「ネットde診断forASM」の各種機能と今後期待できる伸び代、これらのうちどれか一つでも何か刺さるところがある本誌読者は、この国産セキュリティ製品を記憶しておいて損はないだろう。
