耳を疑う発言だった。取材の席上 28 歳の若者の言葉である。
「セキュリティ業界には閉塞感が漂っていて、それは昔からいる大手が蔓延って(はびこって)いるからで、Cloudbase はこの現状を壊しに行きたい」
表情にネガティブな感じはまったくなく、快晴の青空に浮かぶ白い雲のように爽やか&涼やかな笑顔を浮かべていた。
誰?
大峠 和基(おおたお かずき)は 1996 年生まれの 28 歳。徳島高専から筑波大学大学院に転じて、卒業後一度起業、IIT(インド工科大学)卒業生がゴロゴロいるメルカリでのエンジニアを経て、現在クラウドセキュリティプラットフォーム「Cloudbase」の PdM(プロダクトマネージャー)をつとめ、ソフトウェア開発を通じて世界を変えている。
セキュリティ業界には尖れば尖るほどいいという素晴らしい価値観があって、少年時代から脆弱性報告をしていた等々神話のようなエピソードを持つ若者がいるが、大峠もまたそうした「スーパー」がつく技術者の一人だ。本稿の趣旨とは異なるので省略するが、興味のある人は検索して、大峠が未踏プロジェクトで七桁(!)の研究助成金を受け取ったり、筑波で教官だった落合陽一が立ち上げた会社の初期メンだった等々、数々の実績を確認してほしい。
「Cloudbase」を開発提供する Cloudbase株式会社は 3 月に、東京・名古屋・大阪で開催される Security Days Spring 2025 で「新製品発表!『脆弱性管理・ASM』そしてCNAPPでクラウドとアプライアンスのセキュリティ対策」と題した講演を行う。
近年同社には、名古屋と大阪に所在する大手製造業の会社とサプライチェーン企業から問い合わせが顕著に増えており、同方面への出張も増えてきたため Security Days Spring 2025 出展を決めたという。
今春以降 Cloudbase には、オンプレミスを含む企業システムの脆弱性管理機能と、ASM(Attack Surface Management)機能が追加される予定であり、これが三都市の講演のメインテーマだ。
比較的新しい製品カテゴリだから、ここで改めて CNAPP(シーナップ)について説明しておくと、もちろん ISMAP(イスマップ:政府情報システムのためのセキュリティ評価制度)では無いし、CSPM(シーエスピーエム:Cloud Security Posture Management)とも少し違う。
「従来のセキュリティの考え方では守りたい領域に対して1個の製品を選べばよかったが、クラウドでは EC2 のような仮想マシンを守りたいのか S3 のようなマネージドサービスを守りたいのかで必要な技術が異なってくるため、複数存在するクラウドのセキュリティを守る方法を、ひとつにまとめるために CNAPP という考え方が生まれた(大峠)」
その CNAPP 製品「Cloudbase」が初期段階で追及したのはわかりやすさだった。つまり、大峠の言う業界に蔓延る(はびこる)大手は、検出できる領域の幅を重視しすぎるあまり、ユーザーのエクスペリエンスやわかりやすさをてんで重視しないから、そこに突破口のひとつを見出そうとした。
「社員がまだ 5 人 10 人の頃、Cloudbase の検出項目の幅は限られていた」と、今だから言えるなのか、こんな発言がインタビューでは出た。なぜなら検知性能の向上を遅らせてでも、わかりやすさの追求を優先すべきと考えたからだという。
海外製品のように検知の幅が超圧倒的に広くても、それを使いこなせなくては有用な道具ではない。反対に初期の Cloudbase のように検知の幅がその時点では少々か幾分かはわからないがいずれにせよ「足りていない」としても、使いこなせる道具ならば意味がある。創業直後の Cloudbase の戦略である。
そんな製品を最初に買った/使ったユーザー企業はいったいどこのどんな会社かと思うかもしれない。きっと、Cloudbase のその時点での検知の幅の狭さ、戦略とロードマップ、そして同製品が作り出していこうとする価値までコミコミで設立数年の学生ベンチャーと未来に賭けたのだろう。若い会社の製品を買うことは、その会社を育てるだけでなく、描く未来を共有することでもある。第 1 号ユーザーは、スズキ株式会社という日本を代表する製造業だった。
新たに Cloudbase に追加されるオンプレを含む脆弱性管理機能は SSVC(Stakeholder-Specific Vulnerability Categorization)を採用する。本当に危険なのか「文脈」で判断する考え方である。
日本の大企業のほとんどは CVSS(Common Vulnerability Scoring System)を採用して“スコアが 8 以上は対応”といったルールを定めているが、大峠によればこれはあまり意味がないという。CVSS のスコアが 7.9 以下であっても実際の攻撃グループが攻撃に使用している例があり、逆に 8.0 以上であっても実際の攻撃では使えないものがほとんどを占めているからだ。CVSS はあくまで参考値にしかならないのにも関わらず、CVSS を信仰して対応可否を決めててしまうのは本来ビジネスや開発を進めたい現場にとって、重荷である。
「この意味のないルールを壊したい(大峠)」
ASM(Attack Surface Management)についても大峠は言いたいことがあった。この青年はソフトウェアを作っているのではなく、技術を通じて社会に提言し会話をしようとしている。
ASM は単体でやっても意味がないという。なぜなら ASM とは外(External)から資産や脆弱性を見つけるものだが、外からの情報のみで意思決定をするのは限界があるからである。資産の発見は ASM のユニークな価値であるものの、資産を把握した後に脆弱性にどのような対応をしていくかという観点では、中から見る視点と外から見る視点、すなわち CNAPP・脆弱性管理のような中から視点と ASM を組み合わせることで初めて実(じつ)のある対策が実施できる。例えば、外から見て発見された脆弱性を中からも見ることによって本当に攻撃されうるのかを二重で判定し、それが問題ないものであれば対応度合いを下げることで対応が必要な脆弱性の数を大きく絞り込むことができる。
将来的に Cloudbase は、脆弱性管理と ASM を統合し、それをさらに CNAPP と連携させていくという。
同社が実施した調査によれば、調査実施時点 2024 年現在で ASM ユーザーの約 6 割が「解約したいと考えている/または既に解約した」ユーザー企業だったという。乗り換えユーザーは初回導入時よりはるかに製品鑑定眼が肥えているからハードルも当然上がるわけだが、経産省ガイドラインによって既に開墾された土地(予算がついた企業群)は広大に広がっているわけで、当たれば大きい賭けだ。
東京 大阪 名古屋のブースでは、主に CNAPP のデモが行われ、オンプレ包括の脆弱性管理と ASM のデモは間に合わないものの、脆弱性管理については動画で動作や管理画面のインターフェースを見ることができるよう準備するという。
また Cloudbase は、医薬・警備・エネルギー・金融・印刷・(大阪の)製造業大手・輸送機械・ネットサービス等々、多数の事例を公開しているので、自社のユースケースに近いものや、同じ業界の事例などを事前に予習してブースを訪問し、いろいろ質問してみるのもいいだろう。
ちなみに最後にびっくりなのだが、ここまで大峠大峠と書きまくったし、掲載写真すら大峠だったにも関わらず、講演に登壇するのは大峠ではなく同社マーケティング部の洋蘭育種家のような繊細さが漂う紳士、早坂 淳(はやさか じゅん)である。
早坂からは「名古屋や大阪の IT は東京の 5 年遅れなどと言われた時期もありましたが現在そんなことは全くありません。たくさんの大企業様で既にいろいろなお話をさせていただいているだけでなく、ご採用いただいているところもあります。ぜひ我々に会いに来てください」というコメントがあった。
最後に冒頭の大峠の言葉を再掲しておく。
「セキュリティ業界には閉塞感が漂っていて、それは昔からいる大手が蔓延って(はびこって)いるからで、Cloudbase はこの現状を壊しに行きたい」
聞きましたか奥さん。蔓延る(はびこる)ですってよ。記者が常に手元におく新明解国語辞典によれば「はびこる」とは、「草木などが伸びて広がる」という第一の定義のすぐ次に「好ましくないものの勢いが盛んになって広がる」と定義され、猛烈にネガティブな例文が載っていた。蔓延るを音読みすれば蔓延(まんえん)。ローマ字ならMANEN. M to the A to the N to the E to the N. M・A・N・E・N!
だけどこういう若者はきっと、意外や意外、現在「蔓延っている側」のえらい人にもちゃんと一目も二目も置かれそうであり、なおかつ応援もされそうではある。
Security Days Spring 2025
新製品発表!『脆弱性管理・ASM』そしてCNAPPでクラウドとアプライアンスのセキュリティ対策
名古屋講演 3.5(水) 11:05-11:45 | RoomC
東京講演 3.14(金) 11:20-12:00 | RoomA
大阪講演 3.19(水) 11:15-11:55 | RoomA
Cloudbase株式会社
マーケティング部
早坂 淳 氏
