今回の編集長対談実施にあたって、編集部はひとつ不安を持っていた。
対談の相手となるのは、株式会社スリーシェイクの Incubation事業部 事業部長 手塚 卓也(てづか たくや)氏。取材のテーマは同社が提供する脆弱性診断ツール「Securify(セキュリファイ)」。
9 月下旬の対談実施に先立つ約 1 ヶ月前に日程は確定していたが、本対談にはひとつ事前準備が必要な条件があった。それは、当誌編集長上野が脆弱性診断ツール Securify を約半日程度、実際に自分の手で走らせて診断を行い、主要な機能を一通り試してみた上で対談に臨むというものだった。
「Web から必要事項を入力して申請すれば、すぐにテストアカウントを発行するのでそれを使ってください」というスリーシェイクの担当者からの連絡をすぐ上野に伝えてはいたものの、どうも上野が業務でだいぶ忙殺されてでもいるらしく、1 日経ち、2 日経ち、1 週間、そして 2 週間と日が経過しても「テストアカウントが取れた」という連絡がちっとも上野から来やがらないのであった。
ようやくアカウントが取れたという連絡が入ったのは、取材実施の前の週、しかもウィークデーを過ぎた土曜夜のことだった。不安がなかったといえば嘘になるが、いまも脆弱性診断とペネトレーションテストの現役技術者の上野である。あらゆるツールを使いこなし場数を踏んでいる。必ず問題なくやってくれる。そんな思いで取材当日を迎えた。
● SRE 内製支援で急成長
株式会社スリーシェイクは DeNA グループの決済ベンダーで活躍していたインフラエンジニアによって 2015 年に設立された。SRE(Site Reliability Engineering)内製化支援を行う事業で急成長し、大手決済プラットフォームや自動車メーカーを顧客に持つ。
決済などミッションクリティカルな領域で SRE 支援を行っている同社はやがて、支援先の顧客から脆弱性診断の相談を受けるようになっていく。どういう目的でどこのクラウドを使って構築して運用しているかなどについて、顧客の次に(場合によって顧客以上に)よく知っているのがスリーシェイクなのだから、文脈も何も知らない診断会社とゼロからコミュニケーションを始めるよりずっと良いという顧客側の判断だった。ちょうどこの頃、スリーシェイクに優れたセキュリティエンジニアが入社したタイミングでもあった。スリーシェイクおよび手塚のチームはこのようにして脆弱性診断業務に足を踏み入れた。
●はじまりは脆弱性診断ツールの使用体験の「貧しさ」
そこで手塚らが発見したのは、診断に用いる様々な脆弱性診断ツールは、馴染みのないエンジニアにとっては使いづらく使用体験が貧しいこと(と手塚は感じた)だった。
SRE(Site Reliability Engineering)についての詳しい解説は省くが、スリーシェイクの提供する SRE 支援サービスとは、決済のような高い信頼性と安全性が必要とされるサービスを、必ずしも技術に精通していない企業顧客でも外部委託業者という補助輪なしでも主体的に自走できるようになる手助けをすることでもある。「IT はすべて SIer にまるごと外部委託」といった世界観とは正反対とも言えるベクトルを持つ。
きっと、診断ツールが使いづらいならそれをラッキーな商機と考え、その使い方に通暁し、面倒な診断業務を顧客から永遠に丸投げられることで、診断を自社のもうひとつの事業の柱にしよう、などという「技術に対する顧客の主体性喪失を維持促進することにこそビジネスチャンスがある」といった考えは、おそらくスリーシェイクにとって(お世辞ではなくほんとうの意味で)想像もつかないことだったのかもしれない。この製品 Securify が持つオリジナリティや唯一無二性の源泉はここだ。
そして同社の顧客もまた、運用の延長線上にあるセキュリティに関して、自らグリップを持つことが必須であることを十分にわかっている人たちでもあった。
●史上どこにもなかった脆弱性診断ツール
かくして「当事者として DX を積極的に進めるクライアント」「SRE 支援を行うスリーシェイク」「日々発見され続ける脆弱性」そして「使いづらい(とセキュリティ技術者以外の運用者は感じるに違いないと手塚が確信した)脆弱性診断ツール」この 4 つの条件がそろったとき、史上どこにもなかった脆弱性診断ツール Securify が誕生した。
前職で高性能な海外製の脆弱性管理製品を使い倒していた経験を持つという手塚は、確かに望むべくあらゆる機能が盛り込まれた高級車のような素晴らしい製品ではあったが、その使用経験はそうではないと感じていたという。そしてまったく逆の体験をもたらす製品を自分で作ってやろうと考えた。しかもハイブランド製品と同レベルの性能で。
正気か。できるかそんないいとこ取り。言葉を選ばずに言うとこの男はちょっとおかしい。しかしそれは、思わず応援したくなるようなおかしさでもある。
Securify は 2021 年夏にわずか 2 ~ 3 名の社内プロジェクトとして開発をスタート。2021 年 12 月にはβ版をリリースし、すぐに約 200 社が無償版に登録するという上々の反応を得た。2022 年 1 月から既存顧客をαカスタマーとして Securify を展開し、さらにブラッシュアップを図った。そして 2022 年 9 月、正式リリースされた。
正式なローンチから 2 年が経った 2024 年 9 月現在、有料サービスの契約社数は既に 3 桁に達した。その内訳は公式サイトから見ることができる。
「第○世代」などという言葉はあまり使いたくないが、間違いなく Securify というプロダクトは、診断ツールの歴史に新しいページを開き、既存の考え方をフレッシュに更新するものである。
手塚と上野の対談のコアとなる部分を以下の通り抜粋する。
--
Scan編集部
そろそろ、Securify を実際にさわってみた感想を上野編集長からお願いします。
上野
まず「簡単」ですね。「さわってみた感想」といっても、そもそもさわるところがないんですよ。本当にボタンがない。ドメイン登録してボタンを押すだけ。本当にそれだけ。誰でも使えるっていうのは、すごいところだと思います。
やっぱり大体のツールってボタンを押すだけじゃ済まなくて、とかく複雑にしがちなんですよ。なぜならツールを作っている人の「思い」が入り込んでいるからです。Securify はその思いを入れ込むところを努力して踏みとどまっていることが伝わってくる気がして、そこが一番インパクトがありました。
ですから、たとえば HTML や WordPress などでホームページを作ったことがあるぐらいの人でも、Securify を充分使えるんじゃないかと思います。とにかく本当に設定項目がないので。
手塚氏
たとえばクローリング動作のために何か複雑な操作を入れれればもっと先まで行けるみたいなこともあったりするんですが、でも結局それってユーザーの負担にならないだろうか、そう思って踏みとどまっています。Securify を開発する現場では、「喧嘩」といったら言い過ぎですが、内部のセキュリティエンジニアから「もうちょっとこういう機能を」みたいな提案もあったりするんですが「いや それは Securify じゃない」みたいな葛藤を常に持って進めています。
SCAN 上野
要は Securify ユーザーには一切の設定をさせないということですね。
手塚氏
はい。「設定させない」っていうところが重要視してるところで、ですので普通の診断ツールを使っている方からすると、きっとすごいモヤモヤがあると思います。
SCAN 上野
そうなんですよ。ぼくも「ここ押せないの?」と何度も思いました。取材前に Securify を試用するということだったんですが、今回の試用はドメイン登録してあとはボタンを押すだけで文字通り「一瞬」で終わったんです。
手塚さんがおっしゃったように「簡単」には葛藤がありますね。簡単さを残したままでいろいろ見つけてあげたいけれど、でも簡単なままがいい。
手塚氏
理想は、我々が勝手に裏でどんどんどんどん精度を上げていって、今のインターフェースのまま仕上げていくのがお客さんにとっては一番嬉しいことですから、このインターフェースを残したままでいかに手動診断のクオリティまで持っていけるかっていうのがすごい重要なテーマだと捉えています。その意味ではまだ全然道半ばなところがいっぱいあるんですけど、簡単であることに挑戦していくというか、複雑に行く誘惑に抗っていくからこそ Securify の存在意義があると思っています。
SCAN 上野
逆に簡単ゆえに捨てているものがあると思います。たとえばアクセス制御やビジネスロジック系の問題であるとか、手動診断でなければ発見が難しい脆弱性です。これはどんなツールでもそうなんですが。ちょっと意地悪な言い方であえて言うと、たとえばあるお客さんが「Securify で診断しました」「脆弱性がゼロでした」「だから安全です」と思われる心配についてはどう考えますか?
手塚氏
そこは我々も気をつけて伝えていることで、実際に note の記事に私が書いたことでもあります。営業担当者には「この Securify があれば確実に安全です、っていう世界ではないですよ」というのを絶対にお伝えしてという話をしています。
セキュリティ対策ってやっぱり向き合い続けるものだと思っていて、その過程で補助をしてくれる、簡単にしてくれるものが Securify だと思っています。これは提供する側のある意味弱みにもなってしまうし、できれば言いたくないんですが、そこはちゃんと伝える責務があると思っているので、すごい気をつけているところです。
我々の思いは、セキュリティで 100 点は取れないとしても、仮に Securify でできるところは 70 点であるとすれば、そもそもその 70 点ができているかすらチェックできていない人たちがいっぱいいます。また、企業が持っている Web サイトやサービスは、エンタープライズになればなるほど横に広がっていきますから、当然そこではいくつか管理から抜ける可能性がある。そういうときに Securify がお助けできると考えています。
SCAN 上野
診断が終了した後で出てくるレポートも、とてもシンプルで読みやすかったです。見やすさが大事だと改めて思いました。だって読みたくないですもんね。脆弱性診断のレポートなんて。
手塚氏
そうですね。ぼくも毎年脆弱性診断を発注して、レポートを受け取っていた側なので。
SCAN 上野
脆弱性が 2 ~ 3 個ならともかく、「深刻度低」がいっぱいあった日には、これどうしようと考えて、結局「もういいや」とそのまま捨てちゃうみたいな。そこで思ったのですが、逆に Securify の簡単さに魅力を感じて利用しているようなユーザー企業の担当者が、あのレポートを読んで果たして脆弱性に対処できるのかという疑問を持ったのですが、そこは何かサポートされたりはしていますか?
手塚氏
ケースに応じてではありますが、対応しています。ブラックボックス診断サービスとしては一歩踏み越えてるみたいなところがありますが、そこはお客さんにも評価いただいてるところなのかと思います。
SCAN 上野
そういう対応が信頼につながっていくと思います。
Scan編集部
ここで反対に手塚さんから上野に聞いてみたい質問があればお願いします。
手塚氏
何か上野さんから「こういう機能があったら面白いな」「こういう要素があればさらにいいな」みたいな要望があればお聞きしたいです。
SCAN 上野
いまの Securify の「簡単」を「高機能な複雑なもの」にしてもしょうがないと思います。やっぱり Securify には簡単さを追求してほしいっすね。
Securify には Slack 連携機能がすでにありますから、たとえば「ここはどうやってログインしたらいいのかな?」と Securify が Slack を通じてユーザーに平易で優しい言葉遣いで聞いてきて、そのメッセージを見たユーザーが自身でログイン操作をするような、そんな Securify から出される易しい質問に答えていったら、どんどん先に進めるようなインターフェースなどができたらいいと思います。
ぼくも別に複雑な脆弱性診断ツールを使いたいわけではありません。ボタンを押すだけで、易しい質問に答えるだけで、それで診断が終わるんだったらそれにこしたことはありません。
手塚氏
UI/UXには徹底的にこだわる一方、「Securify の診断は、管理画面すら見なくていい」というのがもうひとつのテーマで、Slack だけ毎日チェックすればいいようなツールにしたいと思っています。管理画面にログインして何か操作をし続けなければいけないサービス設計にはしたくないと思っています。
SCAN 上野
Securify はほんとに設定が無くて簡単。ビビるぐらい簡単。それはとてもいいこと。とにかく Securify には簡単さの道を突き進んでほしいですね。他のツールでここまで簡単なものはなかったと思います。いろいろなサービスを持ってる会社さんや、重要なサービス以外にはあまりお金をかけられない場合、最初は Securify で診断して次は手動診断という流れで使われればいいと思います。Securify はこれからもずっと簡単さを捨てないで欲しい。
手塚氏
そこを死守しながら頑張って、裏では性能を上げ続けていきたいと思います。
SCAN 上野
今日は貴重なお時間をいただいてありがとうございました。
手塚氏
こちらこそ。ありがとうございました。
--
本稿執筆中の 10 月 7 日、Securify は 9 月 6 日のアクティビティログ機能(Google Drive や OneDrive などのクラウドストレージ可視化機能)の追加に続き、新たに ASM 機能の追加を発表した。手塚によれば Securify の ASM 機能は、外側から被攻撃面をなめるだけのものではなく、利用しているクラウドサービスを Securify と連携させることで、企業が持つアタックサーフェスをより網羅的に、そして深くチェックするものであり、OSINT 中心の他社サービスでは実現できなかった異なるアプローチをとった ASM 機能を提供する。
話はガラリと変わるが、刊行から数十年にもわたって日本の幼児を魅了してきたこども向けの本『いやいやえん』という名著が存在する。内容はネタバレになるので省略するが、「えん」とは保育園のことで、「いやいや」とは要は「やりたくない」の意。保育園の法執行当局が黙っていないようなこんなタイトルのコンテンツに、当の保育園で接触した幼児たちは、ひとかたならぬ心の高揚を感じたに違いない。「アナーキー・イン・ザ・ホイクエン」の誕生である。
いみじくも手塚は、録音データを確認したところ取材開始から 12 分 30 秒ほど経過したところで、スリーシェイクのメンバーは運用者であり、日々運用に向き合って苦しんでいるため、言い方は良くないかもしれないが「いやいやセキュリティをやっている」という言葉を残している。
なんと。セキュリティ担当者がセキュリティを「いやいや」やっている。
これは、こんなことを不用意に口にしようものなら徳丸さん的なセキュリティ業界の良心にして重鎮に、優しくたしなめられたり、あるいは叱られやしないか、そんな忖度(そんたく)が働き、これまで容易にはできなかった発言である。しかし、これを忖度せず「言っちゃった」からこそ生まれたプロダクトがきっと Securify なのだろう。
「いやいややるセキュリティ」まるでセキュリティの仕事に伴うこだわりや努力を否定し破壊するかのような言葉でありながら、なぜかセキュリティという仕事が本当に良くなる、皆のものになるのはこれからかもしれない、そんな予感を取材で感じた。創造は破壊から。きっとまだまだ面白くなる。
