2006 年ならともかく 2016 年に脆弱性診断サービス会社を起業するなんてバカのやることである。MBSD、NRIS、LAC、SecureWorks そして CDI など四天王 五天王ともいうべき圧倒的勝者が既に存在する市場でゼロから始めて何の得があるのか。
ははーん。そうか。あれか。要は診断会社に勤めて仕事をしているより起業して自分の懐に入ってくる札束の量を増やそうという浅はかな意図か(右手で宙をつかみ左手でジャケットの襟を開いて右手をジャケットのふところに動かす動作をしながらお読み下さい。二度三度とくりかえしてください)。日本経済の失われた 30 年を 40 年にも 50 年にも変えようとする戦犯は恐らくこいつに違いない。
2016 年に株式会社SHIFT SECURITY を起業した創業者は当時、ベンチャーキャピタルや銀行、企業経営者など、株式会社SHIFT 以外にも、創業のスポンサーの選択肢が存在したという。その中で突出して条件が悪かったのが SHIFT だったと取材で聞いた。条件が悪いとは要は 2016 年に脆弱性診断会社を立ち上げるという酔狂な試みが万が一に成功したとしても、起業した創業者にとってのウマ味(要するに金)が圧倒的に少ないという意味だ。それでも起業したのは業界を変えるため社会を良くするためだったいう。どうやら斜め上方向のバカだった。
なぜ SHIFT だったのか。SHIFT には、日本どころか世界に唯一無二の良い条件が存在したからだ。それは日本の製造業の歴史に燦然とそびえ立つ伝説の巨大ロボットのような偉業とその最新アップデート版のプラットフォームである。時は西暦 2016 年の 20 年前 1996 年にさかのぼる。
三次元 CAD を活用した携帯電話の金型等の製造技術で株式会社インクス(現SOLIZE株式会社)というベンチャー企業は「革命児」とも「風雲児」とも呼ばれた。英語表記の社名は「INCS Inc.,」。
インクスはそれまで熟練職人の「暗黙知」とされてきた金型製造のプロセスを徹底的に分析し、従来 45 日かかっていた試作用金型製造の期間を 45 時間に短縮し市場のケータイ普及ブームに乗って大々大躍進した。
インクス創業者 山田 愼二郎の著作には、かつて「神業」と呼ばれたその道 45 年の経験を持つ金型職人 石井 二郎 氏の手作業と判断を分析しその完全再現を図る試みが描かれている。
たとえば溝に部品を入れる際に石井氏が「しっくり」溝に入るよう紙ヤスリを部品にかけた場合、部品と溝の隙間が 3 ミクロンであることを計測し、石井氏の言う「しっくり」という言語表現を「3 ミクロン」という数字に置き換えていく。
すでに引退し 66 歳を迎えていた石井氏の協力を得て「神業」の技術を、見て・聞いて・触って・測り・書き取るなどをくりかえして徹底的分析を行った。行動の観察だけでなく、石井氏が行う意思決定プロセスも秒単位で可視化された。石井氏の目が何を見ているのか、そのとき指は何を感じ取っているのか、その結果脳がどう判断を行うのか。
分析が行われ続けることで、石井氏本人にしかわからない暗黙知がやがて、第三者がアクセス可能な形式知へと姿を変え、神業はマニュアル化され、再現可能な作業に少しずつ変わっていった。
気の遠くなるような緻密な研究を続けていたある日、金型製造経験ゼロの 19 歳の若者が、作成されたマニュアルを見ながら、45 年の経験を持つ職人しか作れないとされていた金型と、全く同じものを製造することに成功した。石井氏に学び研究を始めてから、まる 2 年と半年が経過していたという。この職人技の標準化と、後に行った高速化が、インクスの競争力のコアのひとつとなった。
そして西暦 2000 年。京都大学大学院を卒業したばかりの若者がインクスに入社する。野心あふれるその若者は 5 年後に独立起業し、インクスへの敬意を込め会社のドメインを「shiftinc.jp」と定める。
だが創業直後は、仕事の獲得もままならない日々が続く。そんな試行錯誤の時期 2006 年に同社に舞い込んだのが、IT プラットフォーマーからのソフトウェアテスト業務だった。
仕様書通りにアプリケーションが機能するかどうかを調べるソフトウェアテストは、長い経験を持つ熟練の職人がサービス品質を左右し、優れた職人の人数がイコール会社の規模となるような産業であった。このとき株式会社SHIFT 社長の 丹下 大は、金型職人の神業を標準化したインクスのあの方法論、知の成果を思い出した。「あれはソフトウェアテストにもきっと応用できる」丹下は確信を持った。「こいつ、動くぞ」の瞬間である。
熟練テスターの作業手順や判断基準、思考プロセスを、あたかもデジタルツインのようにソフトウェアとして徹底的に再現する試みが行われた。やがて同社は「 CAT(Computer Aided Test)」という名称の統合ソフトウェアテスト管理ツールを完成させる。SHIFT 社のテスト領域での快々快進撃のはじまりである。
2016 年、ある青年が SHIFT 社の出資を受け、脆弱性診断サービスを提供する会社、株式会社SHIFT SECURITY を起業した。青年が掲げた奇策ともいえる目標の一つが、脆弱性診断の経験のある技術者を一人も雇用せずに年商 10 億円の診断会社に育て上げ、その後に、業界の雄にして極北の LAC を抜くことだった。もうバカが止まらない。
もうおわかりと思う。金型製造もソフトウェアテストも匠の職人が持つ暗黙知的な技術が支えている点で、ペネトレーションテストや脆弱性診断とよく似ている。インクスが創造し SHIFT が再発見してデジタル化した職人技標準化の仕組みは、必ずセキュリティ診断にも応用できるはずだという確信があった。「こいつ、動くぞ」の 2 回目である。
こうして株式会社SHIFT SECURITY を創業した松野 真一 は、CDI 時代に診断やペンテスト業務、あるいは国際 CTF 大会で仲間とともに培った、脆弱性を発見するあらゆる手順と思考プロセスの可視化・棚卸を行い、脆弱性診断版の「CAT」プラットフォームに惜しげもなく投じていった。
ここで、直感的にわかりやすいパスワード(認証)を例にして、2016 年春から実施された可視化・棚卸のアウトラインのごく一部をトレースしてみよう。まずセキュリティ脆弱性診断業務の工程は大きく「セッション」「データ」「設定」「バリデーション」等々の項目に分けられる。
(1)セッション
(2)データ
(3)設定
(4)バリデーション
(5)ファイル
(6)API
(7)アクセス制御
(8)エラー
(9)通信
(10)暗号化
(11)アプリ汚染
(12)認証
(13)ビジネスロジック
(14)アーキテクチャ
(15)その他
上記(12)「認証」について以下の 5 項目の「検査観点」がある。
(12.1)認証情報の一般要件
(12.2)認証情報のライフサイクル要件
(12.3)クレデンシャル回復の要件
(12.4)パスワードのセキュリティ要件
(12.5)アウトオブバンド検証機構の要件
さらに(12.4)「パスワードのセキュリティ要件」には以下の 11 項目がある。
(12.4.1)タイプしたパスワードがマスクされること
(12.4.2)パスワードに利用できる文字種が制限されないこと
(12.4.3)64文字以上のパスワードが許可されること
(12.4.4)入力パスワードが侵害リストと照合されること
(12.4.5)パスワード強度メーターが提供されていること
(12.4.6)ユーザが自身のパスワードを変更できること
(12.4.7)パスワードの履歴に関する要件が無いこと
(12.4.8)パスワードの入力補助が阻害されないこと
(12.4.9)パスワード全体もしくは最後のタイプ文字をユーザが一時的に閲覧できること
(12.4.10)パスワード変更には現在のパスワードと新しいパスワードが要求されること
(12.4.11)侵害されたパスワードを受理しないこと
こうして洗い出された項目は総数 3,000 項目超に及んだ。完了時点ですでに 2016 年の秋を迎えていた。
そして、脆弱性診断標準化における「金型製造未経験の 19 歳の若者」に該当する人物として選ばれたのは、人の良さそうな競馬好きのただのおじさんだった。齢(よわい)すでに 41 歳。「41歳の19歳の若者」である。彼は新卒で家電量販店に就職して接客に従事するも量販店が倒産、飲食店などで接客業をしていたが、人の良さを利用され郷里に著しくいづらくなる修羅場に遭遇、東京に転居し、雇われコンビニ店長として死にそうな顔をしながら日々淡々とシフトをこなしていた。
この人物 大井 正輝 は、SHIFT SECURITY 創業者と、コンビニ店長時代に競馬が縁でたまたま知り合ったという。大井は理系教育を受けたこともなく、コードは一行も読めない。もちろん「脆弱性」は「きじゃくせい」と初期読んでいた。PC は EC サイトを利用したり、趣味の競馬の情報収集に少し使うだけ。タッチタイプも「まあできる」程度。しかも(ここが大事なのだが)診断業務の仕事に本人がからっきし乗り気ではなかった。というよりも「やりたくなかった」とハッキリ取材で聞いた。「誰でもできる」ところまで脆弱性診断の標準化を行おうとするなら、これほどお誂え向けの人材はいるまい。こんなおじさんでも脆弱性診断をできる水準の標準化を行い、それをプラットフォーム化する。どんなにやる気のない奴でもいつの間にか立派な仕事ができてしまう。それが大英帝国等々が目指した標準化の本質である。
そしてその目論見は成功した。診断の世界でも巨大ロボットは大地に立ったのである。SHIFT SECURITY の急々急成長がはじまる。
2023 年 6 月、創業 7 周年に公表された情報によれば、株式会社SHIFT SECURITY は宮崎県にあるグループ会社 株式会社クラフと合わせて合計 267 名のセキュリティ診断等を行う技術者が在籍し、うち 250 名強が大井と同様、理系教育・技術者教育・IT 業界未経験の者たちで構成されているという。
株式会社SHIFT は上場企業であるためディスクローズされていないから、もうひとつの目標 10 億円を達成したかどうか知る方法はないが、診断員の規模から考えて二つ目の目標も果たされたと考えて非合理ではないと思われる。
さて、SHIFT SECURITY が行った、優秀な診断技術者の思考や技術の標準化を行うアプローチは、JVN 報告件数や CTF での戦績が診断サービスのクオリティを担保するという 2016 年当時、そして現在も主流の考え方とは、正反対とも言える方向性を持っていた。
決して下げる目的で言うのではないが、SHIFT SECURITY とクラフの 267 名の診断技術者全員が束になってかかったとしても、MBSD 国分さんのような未来のセキュリティ史に残るような天才的技術者一名の足元にも及ばないだろうし、名だたる CTF アスリートやバグバウンティハンターにかすり傷ひとつも負わせることはできまい。SHIFT SECURITY の標準化のアプローチが、それにも関わらず国内でユーザー企業に支持された理由について最後に考察してみたい。
最大の勝因はやはり、ユーザー企業の待ち行列が半年や 1 年になることも珍しくないセキュリティ診断の業界で、必要なときに必要な量の診断サービスを提供できることに尽きるだろう。一定の訓練を経れば特別な才能やセンスがなくても脆弱性診断が行えるレベルまで業務を標準化し、診断実行や管理をソフトウェアによって仕組み化したことで、人材関連のロジスティクス的課題を解決した。
勝因その 2 は標準化のもう一つの果実、再現性の高さ、言いかえればサービスのバラツキの少なさである。SHIFT SECURITY の顧客のひとつ、株式会社マネーフォワードの木村 直樹はかつて本誌の取材で、優秀な技術者であればあるほど、すなわち尖った天才であるほど、尖っていない部分の領域までちゃんとカバー、網羅されているかについて不安がある、という趣旨の発言を残している。これと関係するかもしれないエピソードをここに紹介しよう。
SHIFT SECURITY とクラフではセキュリティ診断を行う場合、3 から 5 名程度のチームを編成することが多いが、診断スピード等の点で平均よりも突出して優れた成果が特定のチームに出ることをまったく歓迎しないという。
なぜなら特定のチームが優れた業務を遂行したということは、人員のアサインに何かミスがあって、他のチームが平均よりも低いパフォーマンスになったかもしれず、あるいはそのハイパフォーマンスチームの特定の誰かあるいは全員に、想定以上の負荷や心理的プレッシャー等がかかっていた結果である可能性があるため、前者はサービス品質管理上、そして後者は労務管理上の視点で何らかの問題がある可能性を否定しきれないからだという。
ルパン 次元 五右衛門、あるいはアベンジャーズのような「突出した天才たち」によるドリームチームが地球を救う的な世界観は最も彼らの事業と相容れないものである。この世界観こそが、DX やコンプライアンス、ガバナンス時代の「規模感のある均質なサービス」の提供を求めるユーザー企業の需要にマッチした。「ヒーローのいない診断会社」の誕生である。
一部のユーザー企業はセキュリティ診断を発注する際、今年は A 社、来年は B 社、その次は C 社といった具合に、別の会社に発注することで診断の網羅性の担保を模索するという。A 社で発見できなかったが B 社あるいは C 社があぶり出してくれる、そういう期待あるいは実際そういうことがあった実体験から行われているという。
無限にタイムループが続くような再現性でサービスが提供される SHIFT SECURITY の標準化された網羅的な診断サービスは、そうした需要にも応えるだろう。
ふと 267 名の脆弱性診断技術者からたとえば 4 名を選抜して診断チームを構成するとしたら、その組み合わせは果たして単純計算で何通りになるのか、高校数学を思い出して計算したところ、2 億 702 万 9,130 通り存在した(手で計算しました 間違っていたら直します)。
2 億 702 万 9,130 回の脆弱性診断を実施して(許容誤差範囲内で)全く同一の診断サービスを提供する、し続ける。そういう目がくらむような、少々の恐怖感を起こさせるようなことに彼らは挑戦し、ある程度の精度でそれをやり遂げているように見える。硬直した世界を変えるのはバカの仕事である。
参考文献
「インクス流 ! : 驚異のプロセス・テクノロジーのすべて」株式会社インクス 代表取締役社長 山田眞次郎 著 2003年 ダイヤモンド社刊
「できないとは言わない。できると言った後にどうやるかを考える」丹下大 株式会社SHIFT 社長 著 2014年 ダイヤモンド社刊
