Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」(転載)~「食料自給率の向上」ならぬ、「セキュリティ自給率の向上」を目指せ!~

Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」~ユービーセキュア 観堂社長と GSX 青柳社長の狙い:

 2020年12月、経産省から『DXレポート2』として中間報告書が公開された。新型コロナウィルスのパンデミックにより、企業を取り巻く環境は大きく変化し、あらゆる業界においてDXは最優先の課題となっている。

 その中でセキュリティは重要な要素の一つだ。サイバーリスクが高まる中で、DevOpsといった言葉に代表されるように、ビジネスのスピードアップに対応した高速なサイクルでのシステム、サービスの開発やリリースが求められているからだ。

 DXを進めるうえで不可欠ともいえる脆弱性診断のニーズが高まる一方で、診断できる人材が少ない、診断サービスを提供するベンダーに問い合わせても数ヵ月待たされるといったように、脆弱性診断の需要と供給のバランスは逼迫している。

 これまでのように、開発会社に丸投げして納品時と年数回のアップデートのときだけ脆弱性診断を行うようなやり方は通用しない。セキュリティ診断を内製化することで、セキュリティのレベルを落とすことなく、高速なリリースサイクルに対応するDevSecOpsを実現していくことは有力な解決策のひとつである。

 こうした現在の慢性的診断逼迫の事態に、何年も前から備えをなしてきた男たちがいる。一人目は株式会社ユービーセキュア 代表取締役社長の観堂 剛太郎だ。同社は、シェアNo.1の国産脆弱性診断ツール「Vex」とその認定資格「Vex Certification」を提供し、企業の脆弱性診断の支援を積極的に行っている。

 そしてもう一人がセキュリティ技術者の資格「セキュリスト(SecuriST)」を2020年秋に発表し、トレーニングも開講したグローバルセキュリティエキスパート(GSX)を率いる同社代表取締役社長 青柳 史郎だ。

 これまで脆弱性診断サービスの付加価値と問われれば、診断に従事する技術者が未発見の脆弱性を発見してJVNに報告したり、国内外のCTF(Capture The Flag)で優秀な成績を収めたりすることでエンジニアにホワイトハッカーとしての付加価値をつけ、ブランドを上げ、サービスの単価を上げ、人気企業となることと同義のようにすら見えていた。

 しかし、観堂と青柳のアプローチはこれとは全く異なる。戦い方や流儀の違いはあれ、診断に関わる「資格」を市場に提案するという点で共通点のあるこの二人に話を聞いた。

●「セキュリティ自給率」を高めたい、観堂の思い

 観堂が代表を務めるユービーセキュアは2007年に設立されたセキュリティ診断サービスの会社で、約10人の脆弱性診断のエキスパートによって立ち上げられた。

 診断サービスを提供する企業の多くは、診断の効率化を目的にツールを内部で開発して利用している。ユービーセキュアのユニークな点は、この診断ツールを外部向けに商品化しようと考えたことだ。そのツールの名はVex(Vulnerability Explorer)だ。脆弱性診断のためのプロツールで、定期的な自社サイトの検査、開発工程でのテストなど様々なシーンで、「いつでも」「何度でも」セキュリティ診断を行うことを可能にする。

 診断サービスを提供するセキュリティベンダー向けの「オーディターライセンス」はもちろん、開発者自身が診断を行うための「デベロッパーライセンス」を提供している。

 Vexは、ユービーセキュアにとって、職人の手に馴染んだオリジナルツールでもあり、診断士が戦うための武器のようなものだ。これを外販するということは、ライバルに塩を送る行為ではないかとの意見も社内に存在した。上杉謙信も、武田信玄に塩は送っても武器を送ってはいないはず。

 その際にVexを外部に提供するという事業を支えたのは「海外のセキュリティ企業から搾取される状況を変えたい」という観堂の強い思いだった。

 「セキュリティ自給率」という耳慣れない言葉を観堂は口にする。国立研究開発法人情報通信研究機構の井上大介氏が提唱するのを目にし、共感した考え方だという。日本のセキュリティの空洞化に警鐘を発する言葉だ。

 たとえば、GAFAは巨大プラットフォームを通じ、膨大なユーザーの情報を収集、分析して、適切な広告を配信し商品を買わせたり、新たな付加価値のサービスを提供して次のビジネスにつなげる。しかし、そのビジネスモデルの源泉となる「データ」は、元々はユーザー企業自身のモノだったはずだ。

 同じことが海外資本ばかりが市場を席巻するセキュリティサービスでも当てはまると観堂は述べる。しかし観堂はそれを変えることができると信じる。

 観堂によれば、国内企業が国産ツールであるVexを使って新しい脅威を検知すれば、それがフィードバックされ新しい検知ルールがVexに追加される。それによってVexはさらに洗練され日本企業のサービスの安全性が向上していく。一歩一歩だが搾取サイクルから脱却することができるという。

 「歯車を逆回転させたい(観堂)」

 ユーザー企業の情報を海外のベンダーから取り戻し、国内企業をよりセキュアにしていくことが、観堂のいう「自給率が向上」した状態だ。

 観堂の考えるVexを軸にしたエコシステムは、シリコンバレーもニューヨークもボストンもイスラエルも経由することなく日本市場内で完結する。Vexを軸にした脅威とその検知のエコシステムを構築することで日本のセキュリティをリブートし、自分たちの手に取り戻していく。

●診断ツールVexの認定資格、本当の狙い

 このビジョンをさらに一歩進めたのが認定資格「Vex Certification」だ。これは、サイバーセキュリティの実践的なスキル認定制度「UBsecure Certification」の一体系で、脆弱性診断に必要とされるスキルを分野・レベル別に証明するものだ。

 観堂によれば、脆弱性診断を行うエンジニアからは「Vexを使ったことがあり、異動や転職後の環境でもまた使いたい」との声がよく寄せられているという。Vex Certificationでは、Vexを使った脆弱性診断のスキルを3段階のレベルで証明する。

 1つめは「エントリー」で、Vexの機能と基本動作に関する知識を有していることを証明するもの。2つめは「アソシエイト」で、Vexの機能を活用した脆弱性スキャンおよび結果判別を行う能力を有していることを証明するものだ。これは、ハンズオンベースの実技試験をベースとし、Vexを用いた脆弱性診断業務に従事している人や、ツールオペレーターからペンテスターへのステップアップを目指す人を対象としている。

 そして、3つめが2021年に開始予定の「プロフェッショナル」だ。診断要件に合わせてVexをチューニングし、診断実施による業務影響を最小限に留めるためのノウハウを有していることを証明するものだ。

 資格者を増やし囲い込みとロックインをするのが通常のベンダー資格の目的だが、それと「Vex Certification」が本質的に異なるのは、将来的には脆弱性診断のニーズを持つユーザー企業と、有資格者の脆弱性診断士をマッチングするためのプラットフォームとして、「Vexを使えるエンジニアと脆弱性診断を受けられない会社をつなげる」ことを観堂が最終的な目的として見据えている点だ。日本企業と日本市場のセキュリティを向上させ市場全体に貢献していくという観堂の考えはここにも一貫している。

●セキュリティの自衛力を高めたい、青柳の思い

 そんな観堂にとって、どうしても足りない一つのピースがあった。それをもたらしたのが青柳率いるGSXが2020年に立ち上げた、セキュリスト(SecuriST)の「認定脆弱性診断士」資格だった。

 ユービーセキュアとGSXの縁は、GSXが脆弱性診断サービスを提供するために必要不可欠なツールと認め、約10年前からVexを利用してきたことに遡る。

 高度な脆弱性診断を行うためには、最新のサイバー脅威に精通し、エンジニア自身が判断したり手動でリクエストを送るなどのプロセスが不可欠だが、そうしたスキルを有する人材やベンダーは限られ、多くのユーザー企業は、長い待ち行列に加わらざるをえない現状があった。「セキュリスト(SecuriST)は、Vexだけでは足りないピースを埋めるものだ」と観堂は考えた。

 セキュリスト(SecuriST)を開始した青柳史郎は2018年に代表取締役に就任すると、GSXを「セキュリティ教育カンパニー」と再定義した。

 CEH(Certified Ethical Hacker:認定ホワイトハッカー)やvCISO(virtual CISO:バーチャル シーアイエスオー)などのサービスを展開した青柳の視線の先にあったのは、大手セキュリティベンダーに「相手にもされない」地方企業や中小企業だった。

 青柳が考えたのは、米FBIやNSA職員の必須資格であるCEH取得などで、地方や中小企業自身の自衛力を高め、自分たちを顧みないセキュリティベンダーの手を借りずとも自社を守る力を育てること。いわば中小企業のセキュリティ独立宣言を支援することだった。

 しかしCEHのサービス開始当初、受講者は中小企業などまばらで、SIerやセキュリティ製品の商社ばかり。「競合や同業他社にノウハウを提供することと同じだ」との声が社内にあった。敵に塩を送る行為と言われた点は観堂と全く同じだ。しかし、2019年には、ユーザー企業の受講者数が半数を超えた。観堂の言葉を借りるなら「歯車が逆回転」しはじめた。

 セキュリスト(SecuriST)認定資格制度は、セキュリティに携わる人材に向け、トレーニングと認定試験で構成される。セキュリストの第一弾となる「認定脆弱性診断士」は、Webアプリケーション診断を行う「認定Webアプリケーション脆弱性診断士」と、プラットフォーム診断を行う「認定ネットワーク脆弱性診断士」の2つの資格、および公式トレーニングコースで構成されている。

 2020年12月18日、第一回目となる「認定Webアプリケーション脆弱性診断士公式トレーニング」と「認定ネットワーク脆弱性診断士公式トレーニング」が行われ、初回から約60名が受講する盛況となった。来春には第一号となる資格合格者が多数生まれることになる。

 「初速はCEHのときの倍以上の手応え(青柳)」

 GSXによれば、受講企業には東芝デジタルソリューションズ株式会社、パナソニック株式会社、株式会社日立ソリューションズ・クリエイト、リコーITソリューションズ株式会社、TIS株式会社(50音・アルファベット順)が並ぶ。DX推進や、独学で培ったが改めて学びたいなど、その目的は企業や人によってさまざまだ。

●DX推進に欠かせないDevSecOps実現のために

 近年、中小企業にとってこそDXは切実な問題となっている。デジタル技術で付加価値を生み出すにあたっては、技術の安全な活用が不可欠だ。企業が脆弱性診断を適切に行っていくための現実解の一つが、観堂が提案するVexとVex Certificationであり、そして青柳が提案するセキュリスト(SecuriST)認定脆弱性診断士である。

 立ち位置は少し違うが兄弟のように似た志を持つ観堂と青柳。取材時に感じたのは、少々芝居がかった表現かもしれないが「生まれた日は違えども死ぬ日は同じ」と互いに考えている節すらあることだ。

 実際に株式会社ユービーセキュアとグローバルセキュリティエキスパート株式会社は、兄弟ではないものの、2020年秋に正式に「従兄弟」同士になった。ユービーセキュアはNRIセキュアテクノロジーズ株式会社の資本参加を受けていたが、2020年末、GSXに株式会社野村総合研究所(NRI)の第三者割当による資本提携が行われたからだ。

 日本を代表するITコンサルテーション企業と、日本を代表するITセキュリティ企業の2社の力強い支援のもと、観堂率いるユービーセキュアと青柳率いるGSXは、ともに日本のセキュリティを変えるという志を実現する。