以前、某研究機関でセキュリティ製品を含む IT やデジタル機器・サービス全般の導入に深く関わる人物が「セキュリティ製品の採用基準なんて宗教みたいなものだから(笑)」と語るのを聞いたことがある。
いわく、Cisco も Juniper も、Trend Micro も McAfee も、細かい優劣はさておきどれも優秀でどれも何某か(なにがしか)の欠点は持っている。だからそこから何かを選びとるのは結局最後はその人がそれを「信じる」ことができるかどうかにかかってくる、そういう趣旨の発言だった。
近年セキュリティベンダーや製品を選ぶ際に、価格や性能だけでなく、そのセキュリティ企業の持つ価値観や目指す理想も注目されはじめている。ここ 4 ~ 5 年、取材で特にそう感じるようになった。
いくつか理由があるだろう。一つは多かれ少なかれ近年のセキュリティ製品は多様な機能を集約しプラットフォーム化してきたのでどれも似通っていること。二番目は DX の進展で攻撃対象が増えサイバー犯罪も産業化し、結果、被害に遭遇する確率が上がったこと。そして三番目の理由は、サイバー攻撃の被害が従来のように「滅多に起こらない稀な出来事ではなくなった」ことで、セキュリティの運用プロセスこそが重要であるという事実を、少なくないユーザー企業が苦い経験を経て実感したからだと思う。
本誌 ScanNetSecurity は、3 月下旬に行われた、ラピッドセブン・ジャパン株式会社 日本法人設立 10 周年記念イベントにメディアとして招かれ登壇し、「公開インタビュー」と題して、同社の二人のキーパーソン、ラピッドセブン・ジャパン株式会社 代表執行役社長 森下 恭介(もりした きょうすけ)と、同社 最高技術責任者 古川 勝也(ふるかわ かつや)に来場者の衆人環視のもと取材を行うという不思議な機会を得た。
過去 10 年をふり返りながら Rapid7 の特徴や強みを聞き出すという本来の趣旨を超えて、ユーザーにとってこの会社はどれだけ「信じる」ことができるのかを問うような取材になっていった。
--
── 最初に、本日のこの「公開インタビュー」と銘打った趣旨を会場にお集まりいただいた皆様に、簡単にご説明させていただければと思います。「どうせインタビューの体(てい)をしたトークショーや対談でしょ」とお考えいただく方もいるかもしれませんが、これは本当にインタビューなんです。
その証拠に今この(机の上のレコーダーを指さしながら)IC レコーダーで一部始終を録音していますし、取材内容は後日記事として配信します。ですからたとえば「インタビューでは出たが記事には書かれなかった」内容がもしあれば、そのあたりを聞き比べ読み比べしていただくと味わい深いものになるのではと思います。
【Rapid7 古川】
ScanNetSecurity の発行コードに引っかかるレベルの発言をするというのはかなりリスクがありますが、ぜひ頑張っていきたいと思います。
── 本誌は人物取材の際、必ずお聞きするポイントがあります。まず一番最初に、お二人がセキュリティの仕事に携わることになった経緯やその後の略歴について、森下さんからお聞きしていいですか?
【Rapid7 森下】
はい。私は大学の法学部法律学科の卒業です。英語ができますが、その理由は帰国子女だったからで、自分の努力の結果でも何でもありません。卒業後は、とある総合商社に入りました。法務部に配属されて 5 年間、いわゆる知的財産法務を中心に仕事をしました。いろいろな契約の仕事をやらせていただくなかで、ちょうど西暦 2000 年頃、2000 年問題などで急に世の中がコンピュータに目が向いた時代、仕事で情報産業の方々の契約に関わる機会が増えまして、情報産業の仕事に興味を持つようになりました。
当時、Internet Security Systems、ISS さんという会社が SOC 事業を派手に日本で開始しました。彼らの真似をしたのでは決してありませんが、モノをあちらからこちらに流すという総合商社の中で、サービスだけで情報産業の事業ができないかと考えました。SOC やコンサルティングを行う「セキュリティサービス」事業です。そして社内プロジェクトを作っていつの間にかハマってしまって現在に至ります。Rapid7 は 4 社目ですが、基本的にはスタートからずっとマネージドセキュリティ分野で仕事をしてきました。
── ありがとうございます。総合商社とは三井物産株式会社で、立ち上げた SOC 事業は現在の MBSD SOC の前身ですね。
では、古川さんがセキュリティの仕事に関わることになったきっかけを教えてください。
【Rapid7 古川】
私が今から話すのは、ある男が世界平和のために戦ったけれど闇落ちして、自分の愛するお客さんだけを守ればいいという、そういう世界線(編集部註:並行的に存在する可能性のひとつ、といった意味)の話になります。
基本的に僕は、性格的にネオフィリアというか新しいもの好きで、興味があるものに対して衝動が抑えられない。社会的にはすごく不適合な人間だと思います。でも新しいものにはとにかく興味があって、コンピュータも Windows が出る前から使っていて、Windows にはすぐ飽きて Linux にハマりました。Linux のコードを書いたりコミュニティに参加したりしているうちに、それが高じて 1996 年頃に会社が立ち上げた Linux の新規事業に関わることになりました。楽しかったですね。とにかく新しいし、何より手垢のついた OS じゃない。とても面白いと思ってやっていました(編集部註:リーナス・トーバルズから日本地域の Linux エヴァンジェリストにこの頃古川は指名される)。
しかし当時はドットコムバブルで、「Linux ディストリビューター」という会社がいろいろ出てきました。それがもう本当に金のことしか考えてないんですよ。企業から金を取ってディストリビューションビジネスを潰して逃げることを事業にしている。そういう輩供(やからども)の間でイヤになってしまって、オープンソースとは本当はもっと崇高であるべきなのになぜこんなに駄目なんだと思って、そこでクローズドソースに闇落ちして Microsoft に行くわけです。ここが一回目の挫折です。
てっきり僕は自分を「Linux をぶっ飛ばす要員」として Microsoft に呼ばれたのかと思っていたんですが「なんかおまえ精神的にタフそうだからセキュリティやってみない?」と言われて、「セキュリティか」「今ホットだし面白いかも」「じゃあいっちょセキュリティでもやりますか」という感じで軽いノリで入ったら、なんとそこは前任者が失踪して空いたポジションだったんですね。
── 「失踪」?
【Rapid7 古川】
これは多分記事にできないと思うんですが、その後南の島で無事生きて発見されたらしいです。
── 「生きて」??
【Rapid7 古川】
当時 Code Red とか Nimda の蔓延で Microsoft が混乱していた時期で、それが原因で前任者がいなくなったのではないかと言われていて。そんなポジションだったんです。ですが私にはものすごい強運があったんですよ。
Microsoft に入って 2 週間後にビル・ゲイツから世界中の社員にメールが送られたんです。ビル・ゲイツから直接メールが社員に来ることは年に一、二回ぐらいしかないめちゃくちゃ重要なことなんですが、そのときのメールは「トラストワーシー・コンピューティング」についてでした。
内容は「Microsoft ではセキュリティは最優先事項だけど、おまえらそれちゃんとそれわかってるよね」で、突然私の仕事にビル・ゲイツという後ろ盾ができたことになります。
当時は脆弱性は公開しないのが当たり前でした。2000 年から 2002 年頃だと思います。脆弱性は隠しておかないと製品の品質問題に関わるから隠して誰にも言わない方がいい。そういう時代であり世界観だった。そういう状況だから当然事故が起きますよね。
僕が入った直後、素晴らしいことに Microsoft は「脆弱性というのは公開してちゃんとパッチを当ててもらうものであってこれを秘密にすることはまかりならん」と変わりました。
その頃の僕は Microsoft プラットフォームのセキュリティを守るということは、ほぼ全人類を守ることと一緒じゃないかと考えていました。当時 Apple の株価が 1 ドルとかそういう時代です。だから「地球防衛軍」みたいに、世の中を守るためにいろいろ頑張りました。製品を売るだけじゃなく、業界のアライアンスや業界団体の設立に関わったり、脆弱性公開の手続を国内に浸透させたりしました。
発見した脆弱性の件で僕に噛みついてきたセキュリティ企業のいろいろな方たちとと出会ったのもこの頃です。僕らは別に喧嘩していたわけではなくて、脆弱性公開の手順がまだ明確化されていなかっただけです。こうして一時期険悪だった日本のファインダー(編集部註:脆弱性報告者)の皆さんと Microsoft の関係も変化しました。
ところがやがて世界を救うのは無理に思えてきました。これが二度目の闇落ちです。
なぜなら絶対パッチを当てない人はいるし、この人たちの中に「救っていい人」「救っちゃいけない人」がいるんじゃないのかなと変な考えが出てきて、精神的に参って疲れてしまった。これは違うなと。世の中全てを守るんじゃなくて、個別の「守りたい人だけを守るという世界線っていいよね」とあるとき思っちゃったんですよ。
なぜそれが合理的かというと、弱肉強食ではないですが、同じヘラジカが歩いていたらオオカミさんはやっぱり無防備なものを狙いますよね、大きなツノがあってたくましいヘラジカをオオカミさんはやっぱり避けますよね、そういう話です。必ず世の中には悪さをするオオカミはいるわけで、必ず餌食となる人が出ます。その中で襲われないようにしていくのは合理的で、自然の摂理において相対的にセキュリティのレベルが上がるはずだと。
でもこれは闇落ちです。完全に。こんなことは考えちゃいけないんです。本当は世の中のためにやらなきゃいけないんだけど、個人とその繋がりだけを守ることが合理的だと考えてしまった。
そして紆余曲折あって Microsoft を退職してデルコンピュータに入ったら、ちょうどその日が SecureWorks を買収した日だったという、まるで示し合わせたような偶然がまた起こりました。「そういえば古川、おまえセキュリティわかってるよな」と、SecureWorks の日本法人設立の準備を、いま隣に座っている森下恭介と始めました。そこには、お客さんの運用に寄り添ってサービスを提供するという「そこだけ守ればそれでいい」という、すごく効率的で精神的に落ち着ける世界線が待っていました。
── 全員でなく一部の人を守るのが「闇落ち」ということですが、むしろ当然のことというか「お金を払った人にセキュリティサービスを提供。以上」という考え方が主流だと思うんですが、そこに古川さんは何か葛藤があるというわけですね。
【Rapid7 古川】
僕は闇落ちを何度も繰り返している挫折の人生と思っているんですが、最初はオープンソースで世の中を救おうとして闇落ちし、二つ目が全世界をサイバー攻撃のない世界にしようとして挫折、三つ目はクラウドサービスのような「無限に増えるもの」があれば何とかなる世界があるんじゃないかなと思って某 CrowdStrike というところに入りましたが結局はそこでもちょっと違うなと。なぜならお客さんの環境が全て同一ではないから。ふたつとして同じものがない。だから無限に増えるクラウドサービスでスケールを求めてもどうにもならないという限界を目の当たりにしました。
── じゃあ今の Rapid7 はどういう位置にあるんですか。まだ闇落ちはしていない?
【Rapid7 古川】
Rapid7 がいいなと思っているのは、たとえば Project Sonar(編集部註:Metasploit 創設者 H・D・ムーアが 2013 年に開始したインターネット全域にまたがる脆弱性調査プロジェクト、データを API で無償公開)や Project Lorelei(編集部註:世界中に配置したハニーポットによる攻撃手法研究プロジェクト、2014 年開始)などの、誰もがフリーで使えるようなデータソースや、脅威インテリジェンスなどを公開していて、有名な Metasploit もそうですが、要は売り上げを伸ばすだけ、世界征服を目指すだけというセキュリティベンダーとちょっと一線を画すところにいる。これが僕にとっては精神的に納得ができるところ、自分自身を説得できるところです。
【Rapid7 森下】
会社では僕の方がむしろ古川よりユートピア指向、理想論的とメンバーから思われているかもしれませんが、企業人・社会人である以上は、やはり全員を救おうとするべきだと僕は思います。しかし全員を救う中で、やっぱりどこか妥協をしなきゃいけないとも思います。全員が好き勝手やっていたらうまくいかない。可能な限り最大公約数的なところを考えていかないと闇雲にお金がかかってしまったり、必要な人が増えたり、手間も増えると思います。
よく使うたとえですが、店の入口に「M」と書いてあるハンバーガー屋さんは日本のメニューとアメリカのメニューが少し違います。日本人が消費しやすくするために、たとえばテリヤキソースを使うなどの調整をしています。Rapid7 という会社が提供する元々のハンバーガーを、日本人が食べやすく = 使いやすくすることが現地法人の仕事だと僕は思っています。右から左に「このセキュリティ製品がアメリカで流行っていますから皆さん使ってください」ではつまらない。その結果僕が着任してからラピッドセブン・ジャパン株式会社は、本社とは全く違った戦略を打ち出すことになりました。
── 具体的にどう全く違った戦略だったのですか。
【Rapid7 森下】
私が入った 2020 年当時、Rapid7 はまだプロダクトの会社で、私個人の美的感覚からすると魅力がない会社でした。単なる「モノ売り屋」だったからです。セキュリティは運用なのにそういうフィロソフィーがまったく無い。ただし持っているツールはすごく良くて、その使い方次第でそれはそれは面白いことができるかもと思いました。
日本企業は人事制度の問題などで、ツールだけ渡して「あとは御社自身で使い方を考えてください」というのはうまくいきません。単にツールだけ売っても誰も幸せにできない。それよりも「このツールを私たちと一緒に使いましょう」「私たちが運用のアイデアを出します」というやり方が合っています。日本法人は世界で唯一 Rapid7 の製品群を活用したマネージドセキュリティサービスを先駆けて展開し事業を成長させました。そして結果として現在、US 本社もマネージドサービスに力を入れるようになりました。
【Rapid7 古川】
ちょっと補足すると、森下は早すぎるんですよ。
十数年間、横から仕事を見ていますが、正論ばかり言うから外人の上司からとにかく嫌われるんです。普通日本法人のカンマネはイエスマンが多いですが、森下恭介のすごいところは外人から「議論ではこいつには勝てねえ」と皆口を揃えて言われていること。だから嫌われるんだけど、半年後に顔を合わせたら、議論していた外人が森下が言っていたプランをまるまるパクって「おれが考えた」と言い張っている、そんなケースをこれまで何回も僕は見ています。嫌われるけど後で考えてみたら正しい。第一印象は最悪だが後で友達になる。森下はそんなパターンが多い。
【Rapid7 森下】
決して上司を褒めるわけではありませんが、それ(日本国内での Rapid7 のマネージドセキュリティサービス展開)を自由にやらせてくれたアンドリューを中心として、経営層に対しては感謝しています。
── 森下さんが MBSD、SecureWorks Japan というその後国内トップクラスの SOC になっていった組織の立ち上げや、その後の運用で培ったノウハウがなければ、老舗ツール屋だった Rapid7 はいまもツール屋のままだったかもしれない、ひょっとするとそういう「世界線」もあったと言うことですね。
今回は日本法人設立 10 周年での取材でもあるので、ここでちょっと 10 年のセキュリティの出来事をふり返る資料を投影します。JNSA が毎年出している「セキュリティ十大ニュース」というのがあって、大木先生という学者の方が JNSA から少し独立した立ち位置で毎年まとめているもので、IPA の 10 大脅威と違って、事件事故や社会的インパクトがあった事象に強いランキングです。
その十大ニュースによれば、Rapid7 日本法人設立の前の年 2013 年の 1 位に挙げられているのが、JR東日本の Suica履歴利活用に伴う議論、2 位が韓国へのサイバーテロ攻撃、4 位に高度な標的型攻撃、となっています。8 位にはスノーデン事件が入っていて、サイバーセキュリティが諜報や地政学の文脈に入りはじめた時期でもあります。9 位には流行語大賞候補に「バカッター」ノミネート、とあって SNS ユーザー急増の時代でもありました。
そして 2014 年、御社設立の年ですが、1 位がベネッセの個人情報漏洩、2 位がサイバーセキュリティ基本法成立、3 位が Heartbleed の脆弱性です。翌 2015 年も見てみると、1 位が年金機構、2 位がサイバーセキュリティ基本法施行とあります。
【Rapid7 森下】
ばっと見て懐かしいなと思います。ふたつ思うことがあって、一つはテクノロジーの進化はやっぱりすごいなと。テクノロジー的にどんどん進化してきたと思いながら、一方で「バカッター」というのがあった。要は「人間はどれぐらい進化したんだろう」と個人的には思います。やはり最後は人間なんですよね。
セキュリティ課題はすべてテクノロジーで最終解決できるということで「ゼロトラスト」という言葉が最近流行りましたが、ゼロトラストをしっかり実行すると、完全にロボットの世界になっちゃうんですよ。人間の常識と裁量に任せるグレーな部分がないと、本当に使いづらいものになる場合がある。
【Rapid7 古川】
ネーションステート系の「守る手段がない攻撃」が出てきたのがこの時期で、それまでのセキュリティ対策はひたすら「どう防御するか」だけを考えていましたが、防御できないものが 2013 年 2014 年頃から出始めたことで、みんながワタワタしていた時期だったと思います。
【Rapid7 森下】
お客様に営業でお邪魔すると、以前は会社の偉い方が「これ入れりゃいいのか」「それで大丈夫なのか」と必ず言われたわけですよ。「はい 多分 大丈夫です」と答えていたわけですが、この頃からワンポイントで何かをやっても守れるわけじゃなく、総合的な考え方、いろいろな角度からものごとを見ないとダメだよねという前提が広がってきたと思います。
── 時間がだいぶ押しているのでここでまとめになりますが、過去の変化/将来の変化に対して Rapid7 は、どう対応してきた/していくのか最後にお聞きします。
【Rapid7 古川】
セキュリティ投資というのはずっと「いかに守るか」でしたが、2014 年 2015 年以降は「守れないんならその後の運用でいかないと」というコンセプトが出てきました。しかし、たとえばデジタルフォレンジックを社内でできるようなリソースはほとんどの企業は抱えられないし、そもそも潤沢なお金もない。だから(運用を重視したセキュリティ対策は)本当に限られた大企業だけにしかリソース的にできなかったと思います。
それが今はかなりできるようになってきた。ダサい言い方になりますがセキュリティが「民主化」されてきた。Rapid7 社長のアンドリュー・バートンは「民主化(Democratize)」という言葉を使って Rapid7 の特徴をよく表現するので、それをダサいと言ったら怒られるかもしれませんけど。
絵に描いた餅ではなく、現実的にセキュリティ対策をできるパーツがいまようやく揃ってきています。「面で止める」「運用で止める」という二重の止め方が、テクノロジーの進化でできるようになってきた。ようやくこれで、いままで圧倒的に「攻撃者有利」だったセキュリティ対策の現場に「何とかできる」という光明が差してきたんじゃないか。これが僕の考えです。
【Rapid7 森下】
Rapid7 は元々 2000 年からある会社ですが、Metasploit とかいろいろ素晴らしいものもありながら、決して最先端の尖った企業だったことはこれまで一度もなかったと思います。そして今後も、Rapid7 が世界征服を目指すような未来も絶対ない。我々ラピッドセブン・ジャパン株式会社は、ちゃんと日本の実状を考えた形で「お客様と一緒に考えて運用」する、そんなスタンスでサービスを提供しています。そしてそこに信用をいただけるお客様に恵まれてきた、恵まれている会社だと思っています。
── ありがとうございました。会場の皆様もどうもありがとうございました。私一人ではこの両名からここまで話してはもらえなかったと思います。
--
記事の冒頭に挙げた一文は、ある推理小説の古典作品(註)からの引用である。今回のインタビューをまとめる過程でくり返し頭に浮かんできた一節なので引用した。文中の「銃」を「セキュリティ製品」「セキュリティ企業」にしてもある程度意味が通る気がする。
「わたしはもう、まともに聞いていなかった。セキュリティについての考えをとくに知りたかったわけではない ── 考えを持っていることを知りたかっただけだ。自分の選んだセキュリティ製品に命を託す男にとってセキュリティについての〝正しい信念〟は自分の信念しかない(中略)。当然めいめいが異なる信念を持っているわけで、だからこそいまだにこれほどたくさんのセキュリティベンダが存在する」「自分の信念しかない」というところは相当ヤバい奴感はあるものの、何というか、ニュアンスは理解いただけるのではと思う。
公開インタビュー実施後の来場者アンケートの結果を間接的に聞いた話によれば、「ユーザー事例のようなプラクティカルな内容の方が良かった」という意見もあった一方で、森下 古川 両氏の来歴や抱負を聞けて面白かったというコメントが複数あったという。
どこから来てどこへ行くのか、彼らはなぜ今 Rapid7 にいて今後どこを目指しているのか、少なくともその点については二人自身の言葉で赤裸々にされた瞬間があった。何よりも森下 古川 両氏自身もまた Rapid7 を「信じられる」と考えていたことが明らかになったとも思う。
なお本取材は、主にユーザー企業とパートナーに向けたエクスクルーシブイベントで行われたため、具体的な製品やサービス等についてはほぼ何も触れなかった。関心のある読者は各種リソースにあたって欲しい。
(註)「深夜プラス1」ギャビン・ライアル 著、鈴木恵 訳 早川書房 刊
