2021年に注目すべきバグバウンティプログラムトップ5 / Top 5 Bug Bounty Programs to Watch in 2021(転載)

bug-bounty-program.jpg

Top 5 Bug Bounty Programs to Watch in 2021

ガートナー社は、バグバウンティやクラウドセキュリティテストのための専用のマジック・クアドラントをまだ持っていませんが、ガートナー社のピアインサイトでは、すでに「アプリケーションクラウドテストサービス」カテゴリで24社のベンダーをリストアップしています。

国際的なセキュリティ研究者の知識と専門知識を活用して、既存のソフトウェアテストを強化したいと考えている方のために、最も有望なバグバウンティプラットフォームのトップ5をまとめました。

1. HackerOne

数多くの評判の高いベンチャーキャピタリストに支えられたユニコーンである HackerOne は、おそらく世界で最もよく知られ、認知されている Bug Bounty ブランドです。

最新の年次報告書によると、1,700社以上の企業がHackerOneプラットフォームを信頼して、社内のアプリケーション・セキュリティ・テスト能力を強化しています。レポートによると、同社のセキュリティ研究者は、2019年だけで約4000万ドル、累積では8200万ドルのバウンティを獲得しています。

HackerOneは、米国防総省や米陸軍の脆弱性開示プログラムなど、米国政府のバグバウンティプログラムを主催していることでも有名です。バグバウンティや脆弱性開示プログラム (VDP) の他の商用プロバイダと同様に、HackerOne は現在、世界中から集められた、審査済みのセキュリティ研究者によるペネトレーションテストサービスも提供しています。HackerOneは、ISO 27001やFedRAMP認証などのセキュリティ認証の確固たるポートフォリオを持っています。

2. BugCrowd

サイバーセキュリティの専門家であるケイシー・エリスによって設立されたBugCrowdは、おそらく最も創造的で独創的なBug Bountyプラットフォームです。BugCrowdは、従来のクラウドセキュリティテストサービスだけでなく、攻撃面の管理やIoT、API、さらにはネットワークを対象とした幅広いペネトレーションテストサービスを積極的に推進しており、急速に成長するクラウド労働市場で競合他社の一歩先を行っている。

BugCrowdはまた、多数のソフトウェア開発ライフサイクル(SDLC)統合能力を適切に宣伝しており、裕福なクライアントにとってDevSecOpsのワークフローをより迅速かつ容易にしている。

BugCrowdは、Amazon、VISA、eBayなどの業界大手や、有名な(ISC)²サイバーセキュリティ教育協会のためのバグバウンティプログラムを主催していることで有名です。BugCrowd University、継続的なセキュリティウェビナー、BugCrowdが顧客や研究者のためにスマートに企画したトレーニングのおかげで、セキュリティ研究の初心者の多くがBugCrowdをよく知っています。

3. OpenBugBounty

急上昇中の OpenBugBounty プロジェクトは、我々のリストの中で唯一の非営利の脆弱性開示および Bug Bounty プラットフォームです。そのAlexaランクによると、OpenBugBountyは、ほとんどの商業的な競合他社を成功裏に凌駕しようとしています。

1,200以上のアクティブなBug Bountyプログラムで、OpenBugBountyはまた、問題が非侵入的な手段によって検出された場合、任意のウェブサイト上のセキュリティ問題の調整された開示を許可します。バグバウンティプログラムの作成は完全に無料で、ウェブサイトの所有者は研究者に金銭的な支払いをする必要はありませんが、少なくとも研究者に感謝し、彼らの努力に公的な推薦を提供することが奨励されています。

OpenBugBountyは、A1 Telekom AustriaやDrupalなどの企業向けにBug Bountyプログラムをホストしており、これまでに2万人以上のセキュリティ研究者と80万件近くのセキュリティ脆弱性を提出している。同プラットフォームによると、そのポリシーと開示プロセスはISO 29147規格に基づいているという。

また、OpenBugBountyは、研究者が発見した内容を公開しない限り、脆弱性の詳細を秘密にする一方で、プラットフォームへの無料APIを提供することで、国のCERTや法執行機関と協力している。

4. SynAck

Intel CapitalやKleiner Perkinsなど、多くの有名VCファンドから支援を受けているSynAckは、2015年から2019年まで4回連続で「CNBC Disruptor」企業に選ばれています。SynAckは商用のBug Bountyプラットフォームの頂点に立っており、Gartnerの「Top 25 Enterprise Software Startups」にも選出されています。

セキュリティの先見者であり、米国の国家安全保障機関の評判の高いベテランであるジェイ・カプランとマーク・カーによって設立されたSynAckは、「レッドチーム」(SRT)として知られる徹底的に吟味されたサイバーセキュリティ研究者の精鋭チームを提供しています。SynAck によると、SRT グループは、検証された経歴と信頼できる業界経験を持つセキュリティ専門家で構成されています。

SynAckは、レッドチームに対して包括的なデューデリジェンスを実施し、将来の分析やレビューのために彼らの活動をすべて記録することで、信頼できるクラウドセキュリティテストサービスのリーダーとしての地位を確立しています。最後に、SynAckは、Microsoft、AWS、HPEなどの業界リーダーとのパートナーシップや技術提携を成功させ、さらなる成長の可能性を示しています。

5. YesWeHack

YesWeHackは2021年の新星です。ヨーロッパのバグバウンティと脆弱性開示企業の一つであるYesWeHackは、厳格なプライバシーとデータ保護を主な関心事とするEUベースの企業を効率的に誘致しています。最近では、YesWeHackは2020年にアジアで250%の成長を記録したと発表しており、ヨーロッパのスタートアップ企業がグローバルなスケールアップが可能であることを証明しています。

BugCrowdと同様に、YesWeHackも人的資本に投資する準備が整っています。昨年、YesWeHack DOJOプラットフォームを利用して、バグバウンティハンターがハッキングスキルを磨くためのトレーニングプログラムを開始しました。これは、特定のセキュリティ脆弱性や遊び場に焦点を当てた入門コースとトレーニング課題を特徴としています。

DOJOを利用することで、世界中のセキュリティ研究者はソフトウェアのセキュリティテストのスキルを向上させることができます。最後に、YesWeHackは、フランスのOVHコングロマリットのようなヨーロッパの評判の高い顧客を引き付ける能力を説得力を持って示しています。

この記事では、5つのバグバウンティプラットフォームを紹介しましたが、ヨーロッパの倫理的なハッカーのネットワークをリードするIntigritiをはじめ、他にも優れたユニークなプラットフォームはたくさんあります。

バグバウンティは、純粋なクラウドセキュリティテストからオールインワンのサイバーセキュリティプラットフォームへの転換を始めており、古典的な侵入テストやその他無数のサービスを提供しています。今日では、彼らの提供するサービスが従来のMSSPやサイバーセキュリティベンダーに対してどの程度の成功を収めるかを予測することは難しいが、Bug Bountiesは強力な可能性を秘めた新しい市場のニッチを生み出したことは間違いない。

オープンでフリーなOpenBugBountyプロジェクトは、数十年前にオープンソースのLinuxがマイクロソフトに対して行ったように、ビジネスに成熟をもたらし、後に数十億ドル規模のレッドハットのビジネスを生み出しました。

これは、バグバウンティ市場が大きくなり、競争が激化している一方で、新規参入者がまだゲームに参加していることを示している。今後は、ベンチャーキャピタルや M&A によるクラウドセキュリティ市場のさらなる拡大が期待されます。

最先端のSOC(セキュリティオペレーションセンター)では何が行われているのか?(転載)~NTTセキュリティのケース~



ブログで「最先端のSOC(セキュリティオペレーションセンター)では何が行われているのか?」を公開しました。https://insight-jp.nttsecurity.com/post/102gm2e/soc:

 

はじめに


「SOC(セキュリティオペレーションセンター)」というワードからどのようなことを思い浮かべますでしょうか?


生体認証で厳重に管理された場所、サイバーチックな巨大モニター、24/365で稼働しているなど、外形的なイメージは沸いてくるかもしれません。しかし、具体的に「中」で何が行われているのかという点は想像がしにくいのではないでしょうか。SOC内の活動は大々的に発信されることが少なく、企業・組織によってもその特性が異なっていたりもしますので無理もありません。


今回の記事では、SOCの「中」にスポットライトを当てるべく、弊社のSOC(正確にはセキュリティオペレーション部)ではどのような業務が行われているかを解説していきます。


SOC業務の全体像


弊社の場合、お客様が導入したセキュリティ製品を保守・運用するビジネスが先にあり、その後に、SIEMなどを駆使してログ・データを詳細に見る分析ビジネスが加わったという経緯から、オペレーション業務分析業務の大きく二つが存在しています。もともとはチームとしても分離されていたのですが、近年では縦割になってしまっていたチームの在り方を変えるべく、共通的な業務は連携して行う体制に移行してきています。


MSS(マネージドセキュリティサービス)という観点で見ると、オペレーション業務はIPS/IDSやUTM、FWなどのセキュリティ製品あるいは同種の機能を持つクラウド型セキュリティサービスそのものを管理対象とした業務、一方で分析業務はそれらから出力されるログやパケットキャプチャなどのデータあるいは悪性ドメイン情報、マルウェア検体、攻撃手法などのインジケーターやインテリジェンスを管理対象とした業務と言えます。


それぞれの業務について


ここからは一つ一つの業務について説明していきます。各業務は数名~二十名程度のメンバーにより構成されています。


リアルタイム監視


お客様に提供しているセキュリティ製品やサービスの稼働状況を24/365で監視し、正常に動作していない場合、障害対応としてハンドリングし、セキュリティシステム環境の安定提供を実現する業務。


デバイスマネジメント


お客様に提供しているセキュリティ製品やサービスの設定変更依頼の対応や、シグネチャやパターンファイルのアップデートの対応を実施する業務。


サービスオーダー


グローバル含めた関連部署と同調しながら、各種の開通手続き、システム設定を実施し、お客様にスムーズにSOCサービス提供を開始するための業務。サービス提供中においても、追加オーダーや変更オーダーに柔軟に対応する。


グローバル連携


世界各国にあるSOCと協力し、分析や運用に関わる、グローバル全体でのナレッジ共有や、日本内製システムのグローバル展開、海外製システムの国内展開、相互トレーニングなどを実施する業務。


運用化・標準化


新たなサービス開発や、お客様からの要望に対し、突貫的な対応ではなく恒久的な対応が可能になるよう、属人化した手順の運用落し込みや、汎用的な適応が可能となるような標準化を実現していく業務。


レポーティング


お客様向け月次レポートの作成や、リアルタイム分析で用いるレポートのカイゼン、それらに関連する問合せ対応、サービス提供状態や応対履歴からセールス担当が戦略的なお客様提案ができるようなデータの取りまとめなどを実施する業務。


情報発信


ブログやホワイトペーパーの公開、外部カンファレンスでの講演、セキュリティコミュニティにおける勉強会・トレーニングなどを開催する業務。


DevOps


SOC内におけるあらゆる業務について、自動化システムの開発や、アナリストや運用者の支援をするようなツール開発、既存システムのクラウドへの移行などを内製で実現する業務。


製品リサーチ


新たなセキュリティ製品やサービスがマーケットに出てきた際に、それらの分析面や運用面での性能や品質の調査を実施する業務。


新サービス検討


分析や運用の能力をベースにした新たなインテリジェンスサービスの企画や、新たなセキュリティ領域に対するサービス付加価値の検討などを実施する業務。


リアルタイム分析


お客様の環境からログやデータを受け取り、SIEMや解析ツールを駆使しながら24/365で分析し、インシデントの発生をお客様にお伝えする業務。


解析


捕捉したマルウェアの解析や、脆弱性を突く攻撃の検証、お客様からの依頼に基づくインシデント関連の調査を実施する業務。


リサーチ


お客様にいただくログやデータに限らず、ネット上からマルウェアや悪性インジケーターを探索し収集する業務。


ハンティング


解析やリサーチで得られた情報をもとに、新たなSIEMロジックや特定のセキュリティデバイス(IPSやEDR)のカスタムシグネチャ、ブラックリストを作成し、それまで検知できなかった脅威を炙り出す業務。


業務はどのように割り当てられますか?


SOCの中には非常に多くの業務があることがご理解いただけたと思いますが、各メンバーにどのように業務が割り当てられるか説明していきます。


モチベーション駆動型チームビルディング


基本的なスタンスとして、SOCでは「やりたいことに集中できているときに一番成果が出る」という点を重視したチームの在り方を目指しています。この考えを前提にチームビルディング手法を開発し「Wants」と名付け、各メンバーの強烈なモチベーションをエンジンに組織を動かし続けています


各メンバーの個性は多様です。マルウェア解析やリサーチが好きな人、お客様と近い存在でありたい人、システム・ツール開発が好きな人、セキュリティ製品マニア、ルーチンワークの鬼、などなど、得意分野や志向分野は十人十色です。それらのモチベーションを活かしてもらうには、やはり「やりたいこと(=want)を選択」してもらうことが一番重要です。


というわけで、各メンバーには自主的に上述した業務の中からいくつか選択してもらうことにしています。概ね4つ程度の業務を選択する人が多いです。とは言え、もちろん仕事として「やらなければならないもの」もありますので100%やりたいことができるというわけではありませんが、この「Wants」施策により、メンタルヘルス調査の結果やToMo指数が良好であることが実証されています。


またキャリアプランを考えるうえでも、組織内で取りうる選択肢が多いことはとても良い影響があります。例えば、セキュリティ未経験でリアルタイム監視から参加したメンバーがスキルを広げるためにリアルタイム分析をはじめたり、リサーチからさらに踏み込んだバイナリ解析に興味が移っていったり、デバイスマネジメントからお客様と距離をより縮めたくなってレポート業務にも携わったりと、長期的な志向の変化に合わせ、視野を広げたり、視座を高めたり、深く極めたりと、入社後も自身の可能性を広げていくことが可能となります。


好き勝手やっていたら属人化しないでしょうか?


各メンバーが自分の好きなようにやって収拾がつかなくなる、という課題は、正直に申し上げると「あり」ます。しかしながら、延長線上だけでなく、自由な創作活動がなければ大きな成果が得ることは難しいものです。


尖るための良い属人化は認めクリエイティブな営みを促進しながらも、それを安定させるための開発や運用化をバランスよく実現する必要があります。尖った技術を運用に落とし込み自動化できれば、さらに次の創造のための時間が生み出され、新たな成果に繋げることができるというサイクルが重要です。


そのサイクルを組織として実現するために、給与・評価制度の中で、個のパワーで技術的に尖っていく部分技術領域:図中、濃色)とチームのパワーで運用品質を高めていく部分運用領域:図中、淡色)を2軸で評価することにしています。個のメンバーにおいて志向がどちらかに傾倒しても、組織全体として技術領域と運用領域のバランスを取れていれば良しとする考え方です。この考え方を実現するためには、メンバーを束ね導くリーダーやマネージャーの存在も不可欠です。


SOCのリーダーとマネージャー


2つのリーダータイプ


弊社SOCでのリーダー的なポジションとしては、各業務のリーダー(カテゴリマスター)と、日々の運用におけるリーダー(スーパーバイザー)の2つがあります。

前者は今まで挙げた各業務の取りまとめ役で、後者は24時間365日のオペレーション上の取りまとめ役です。カテゴリマスターは各業務領域の特化型リーダースーパーバイザーは各業務領域の横断型リーダーと言える存在です。


一見役割に重複がありそうなイメージを持たれるかもしれませんが、これは不確定要素への耐性を持つために必要なリーダー体制です。ここで言う不確定要素とは、「大規模なマルウェア感染が起きた」「緊急性の高い脆弱性情報が出た」「サービス障害が起きた」など、自分たちでコントロールできない運用上のトリガーの発生のことだと思ってください。これらがトリガーした場合、その解決にあたっては複数の業務領域にまたがって対応することが多く、ある領域に詳しいカテゴリマスターだけでなく、スーパーバイザーのような業務横断的に現場をリードできる存在も必要となります。


マネージャーの3つの役割


では、マネージャーの役割とは?ということになりますが、大きくは3つの役割を持ちます。


一つ目は、チームの技術面、運用面での成果を最大化すること。個性豊かなチームを率いるため、1on1などを通じて各メンバーの「やりたい」を傾聴し、ときには「やりたい」をうまく引き出しながら、会社の方針とメンバーのモチベーションのベクトルを合わせ、世に対し価値の高い成果を出すことでビジネス的な成功に繋げていく役割です。


二つ目は、SOC外の組織との調整です。社内にはセキュリティオペレーション部以外の組織ももちろんあり、サービス・インフラ統括、グローバル開発、マーケティング、情シス、総務、OT領域やアプリケーションセキュリティ領域に特化した組織などがあります。これらに加え、NTTグループ関連企業との連携なども含め、SOCの営みとしての受け入れ、SOCの営みをするにあたっての協力依頼など、各組織と協調し連動していくような調整・交渉を成功させる役割です。


三つ目は、メンバーがハッピーに働ける環境を整備することです。適正なルールや基準による、透明性が高く公正なメンバー評価、各業務に必要となるシステムリソースの確保、トレーニング・研修の受講促進など、大きくは働き方の見直し(シフトの自由化、リモート環境の整備など)も含め、メンバーが気持ちよく成長しながら働ける環境を整備していく役割です。


これらを各マネージャーが個々にやるのはなく、マネジャーでチームを組み(現在5名)SOC全体として実現していく形です。これら3つの観点はマネジャー陣にとっての「Wants」でもあります


おわりに


以上、弊社のSOCの「中」についてまとめました。これらはあくまで「今」の状況であり、これまでもそうであったように、クリエイティブなSOCであり続けられるよう、形を変えながら進化していきます。その進化を支えるのは、各メンバーが切磋琢磨しつつも、お互いの得意領域を活かし支え合いながら業務し、風通し良く、リスペクトし合う中でさらにスキルを身に着けていくという、一人一人のメンバーの成長です。


他にもこちらの記事で活動内容をまとめています。興味ある営みがあればブログホワイトペーパーも合わせてご覧ください。


取材いただいた下記の記事も合わせて読んでいただけるとより雰囲気が伝わるかもしれません。


「つまらないSOC業務」からの脱却、NTTセキュリティ“5つのSOC改革”を聞く


セキュリティ研究者は、バグバウンティの報酬としてGoogleから670万ドル以上を受け取った / Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards(転載)


Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards:

62カ国のセキュリティ専門家は昨年、Google製品の脆弱性を発見したことで、Googleから670万ドル以上の報酬を受け取っていた。グーグルは10年間、脆弱性報奨プログラム(VRP)の運営に成功しており、同社はグーグル製品の脆弱性を発見したセキュリティ専門家に2800万ドル近くを支払っている。

Googleは今週、「2020年の研究者の信じられないほどのハードワーク、献身、専門知識により、記録的な670万ドル以上の報酬の支払いが発生し、さらに28万ドルが慈善団体に寄付されました」と述べています。2019年11月のエクスプロイトペイアウトの増加に続き、2020年には13件のワーキングエクスプロイトの提出を受け、100万ドル以上のエクスプロイト報酬のペイアウトを記録しました。"

同社によると、Guang Gong氏(@oldfresher)と中国のサイバーセキュリティ企業Qihoo 360の「360 Alpha Lab」の専門家チームが、バグバウンティプログラムの一環として、Androidの脆弱性を全体の30%を発見したとのことです。このグループが発見した最新の脆弱性は、Androidの1クリックリモートルート悪用で、Googleは、このチームが2019年に脆弱性を発見した際の最高のAndroidペイアウト(161,337ドル)を受け取るための記録をまだ保持していると述べています。

昨年、テック大手はAndroidの開発者プレビューの欠陥を発見したセキュリティ専門家に5万ドルを支払い、Android Auto OSやAndroidチップセット、Androidコードのファザーを書いたことに対する報奨金プログラムを導入した。Google Playでは、Googleは認定されたAndroidアプリの基準を拡大し、露出通知APIを利用したアプリや、Covid-19と戦うためにコンタクトトレースを実行するアプリを組み込むようにしました。

懸賞金とは別に、180人以上のセキュリティ研究者が、Google製品やオープンソースのエコシステムで100件の脆弱性が確認された200件のバグレポートを提出したことに対して、Googleから40万ドル以上の助成金を受け取っています。同様のバグバウンティ報奨金プログラムを実施している他の注目すべきテック企業としては、Facebook、OnePlus、Qualcomm、Mozilla、Microsoft、Redditなどが挙げられる。

CISベンチマーク 2021年2月アップデート / Update | CIS Benchmarks - February 2021(転載)

CIS_Benchmarks_Community

Update | CIS Benchmarks - February 2021:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Google Workspace Foundations Benchmark v1.0.0

これは、Google Workspace の安全な設定姿勢を確立するための指針の最初のリリースです。

SecureSky の Wacey Lanier 氏、および Google の Iulia Ion 氏に特別な感謝の意を表します。

Download the CIS Google Workspace Foundations Benchmark PDF

CIS Microsoft Intune for Windows 10 Release 2004 Benchmark v1.0.0

これは、Microsoft Intune for Windows 用のセキュアな設定姿勢を確立するための処方的なガイダンスの最初のリリースです。

William Ferguson 氏、Jeff Hunt 氏、Kai Markl 氏、Sergio Sarinana 氏に感謝します。

Download the CIS Microsoft Intune for Windows 10 Release 2004 Benchmark PDF

CIS Microsoft Windows 10 Enterprise Release 20H2 Benchmark v1.10.0

このドキュメントでは、Microsoft Windows 10 の安全な構成姿勢を確立するための規定的なガイダンスを提供します。変更点の概要を説明します。

  • 新たに3つのセキュリティ設定を追加しました。
  • ADMXテンプレートの更新に伴い、いくつかのセクションを移動しました。
  • 2つの設定を更新しました。

完全な変更ログは、PDF の最後に含まれています。

また、CISベンチマークのExcel版には、MITRE ATT&CKのマッピングとCIS統制実装グループが含まれていることにもご注意ください。このマッピングの初期拡張により、攻撃に対処するための様々な手法を特定することができます。マッピングに関するご意見がありましたら、benchmarkinfo@cisecurity.org までご連絡ください。

このアップデートの作業を行ってくださった Haemish Edgerton 氏と Windows コミュニティの皆様に特別な感謝の意を表します。

Download the CIS Microsoft Windows 10 Enterprise Release 20H2 Benchmark PDF

CIS Microsoft Azure Foundations Benchmark v1.3.0

このCIS Benchmarkは、Microsoft Azureのセキュアなベースライン構成を確立するための指針を提供します。今回の更新での変更点は以下の通りです。

  • Advanced Data SecurityをAzure Defenderに変更するための複数の推奨事項を更新しました。
  • 追加のAzure Defenderバンドルのための新しい推奨事項
  • 複数のアクティビティログアラートコンソールの改善手順を更新しました。
  • 非推奨となった機能に対する複数の推奨の削除
  • CIS Azure Security Benchmarkへの複数の推奨事項で参照リンクを更新しました。

この更新を可能にするために時間と労力を割いてくれた Microsoft Azure チーム、編集者と貢献者に特別な感謝の意を表します。

変更点の完全なリストは、PDFの変更ログを参照してください。

Download the CIS Microsoft Azure Foundations Benchmark PDF

Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」(転載)~「食料自給率の向上」ならぬ、「セキュリティ自給率の向上」を目指せ!~

Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」~ユービーセキュア 観堂社長と GSX 青柳社長の狙い:

 2020年12月、経産省から『DXレポート2』として中間報告書が公開された。新型コロナウィルスのパンデミックにより、企業を取り巻く環境は大きく変化し、あらゆる業界においてDXは最優先の課題となっている。

 その中でセキュリティは重要な要素の一つだ。サイバーリスクが高まる中で、DevOpsといった言葉に代表されるように、ビジネスのスピードアップに対応した高速なサイクルでのシステム、サービスの開発やリリースが求められているからだ。

 DXを進めるうえで不可欠ともいえる脆弱性診断のニーズが高まる一方で、診断できる人材が少ない、診断サービスを提供するベンダーに問い合わせても数ヵ月待たされるといったように、脆弱性診断の需要と供給のバランスは逼迫している。

 これまでのように、開発会社に丸投げして納品時と年数回のアップデートのときだけ脆弱性診断を行うようなやり方は通用しない。セキュリティ診断を内製化することで、セキュリティのレベルを落とすことなく、高速なリリースサイクルに対応するDevSecOpsを実現していくことは有力な解決策のひとつである。

 こうした現在の慢性的診断逼迫の事態に、何年も前から備えをなしてきた男たちがいる。一人目は株式会社ユービーセキュア 代表取締役社長の観堂 剛太郎だ。同社は、シェアNo.1の国産脆弱性診断ツール「Vex」とその認定資格「Vex Certification」を提供し、企業の脆弱性診断の支援を積極的に行っている。

 そしてもう一人がセキュリティ技術者の資格「セキュリスト(SecuriST)」を2020年秋に発表し、トレーニングも開講したグローバルセキュリティエキスパート(GSX)を率いる同社代表取締役社長 青柳 史郎だ。

 これまで脆弱性診断サービスの付加価値と問われれば、診断に従事する技術者が未発見の脆弱性を発見してJVNに報告したり、国内外のCTF(Capture The Flag)で優秀な成績を収めたりすることでエンジニアにホワイトハッカーとしての付加価値をつけ、ブランドを上げ、サービスの単価を上げ、人気企業となることと同義のようにすら見えていた。

 しかし、観堂と青柳のアプローチはこれとは全く異なる。戦い方や流儀の違いはあれ、診断に関わる「資格」を市場に提案するという点で共通点のあるこの二人に話を聞いた。

●「セキュリティ自給率」を高めたい、観堂の思い

 観堂が代表を務めるユービーセキュアは2007年に設立されたセキュリティ診断サービスの会社で、約10人の脆弱性診断のエキスパートによって立ち上げられた。

 診断サービスを提供する企業の多くは、診断の効率化を目的にツールを内部で開発して利用している。ユービーセキュアのユニークな点は、この診断ツールを外部向けに商品化しようと考えたことだ。そのツールの名はVex(Vulnerability Explorer)だ。脆弱性診断のためのプロツールで、定期的な自社サイトの検査、開発工程でのテストなど様々なシーンで、「いつでも」「何度でも」セキュリティ診断を行うことを可能にする。

 診断サービスを提供するセキュリティベンダー向けの「オーディターライセンス」はもちろん、開発者自身が診断を行うための「デベロッパーライセンス」を提供している。

 Vexは、ユービーセキュアにとって、職人の手に馴染んだオリジナルツールでもあり、診断士が戦うための武器のようなものだ。これを外販するということは、ライバルに塩を送る行為ではないかとの意見も社内に存在した。上杉謙信も、武田信玄に塩は送っても武器を送ってはいないはず。

 その際にVexを外部に提供するという事業を支えたのは「海外のセキュリティ企業から搾取される状況を変えたい」という観堂の強い思いだった。

 「セキュリティ自給率」という耳慣れない言葉を観堂は口にする。国立研究開発法人情報通信研究機構の井上大介氏が提唱するのを目にし、共感した考え方だという。日本のセキュリティの空洞化に警鐘を発する言葉だ。

 たとえば、GAFAは巨大プラットフォームを通じ、膨大なユーザーの情報を収集、分析して、適切な広告を配信し商品を買わせたり、新たな付加価値のサービスを提供して次のビジネスにつなげる。しかし、そのビジネスモデルの源泉となる「データ」は、元々はユーザー企業自身のモノだったはずだ。

 同じことが海外資本ばかりが市場を席巻するセキュリティサービスでも当てはまると観堂は述べる。しかし観堂はそれを変えることができると信じる。

 観堂によれば、国内企業が国産ツールであるVexを使って新しい脅威を検知すれば、それがフィードバックされ新しい検知ルールがVexに追加される。それによってVexはさらに洗練され日本企業のサービスの安全性が向上していく。一歩一歩だが搾取サイクルから脱却することができるという。

 「歯車を逆回転させたい(観堂)」

 ユーザー企業の情報を海外のベンダーから取り戻し、国内企業をよりセキュアにしていくことが、観堂のいう「自給率が向上」した状態だ。

 観堂の考えるVexを軸にしたエコシステムは、シリコンバレーもニューヨークもボストンもイスラエルも経由することなく日本市場内で完結する。Vexを軸にした脅威とその検知のエコシステムを構築することで日本のセキュリティをリブートし、自分たちの手に取り戻していく。

●診断ツールVexの認定資格、本当の狙い

 このビジョンをさらに一歩進めたのが認定資格「Vex Certification」だ。これは、サイバーセキュリティの実践的なスキル認定制度「UBsecure Certification」の一体系で、脆弱性診断に必要とされるスキルを分野・レベル別に証明するものだ。

 観堂によれば、脆弱性診断を行うエンジニアからは「Vexを使ったことがあり、異動や転職後の環境でもまた使いたい」との声がよく寄せられているという。Vex Certificationでは、Vexを使った脆弱性診断のスキルを3段階のレベルで証明する。

 1つめは「エントリー」で、Vexの機能と基本動作に関する知識を有していることを証明するもの。2つめは「アソシエイト」で、Vexの機能を活用した脆弱性スキャンおよび結果判別を行う能力を有していることを証明するものだ。これは、ハンズオンベースの実技試験をベースとし、Vexを用いた脆弱性診断業務に従事している人や、ツールオペレーターからペンテスターへのステップアップを目指す人を対象としている。

 そして、3つめが2021年に開始予定の「プロフェッショナル」だ。診断要件に合わせてVexをチューニングし、診断実施による業務影響を最小限に留めるためのノウハウを有していることを証明するものだ。

 資格者を増やし囲い込みとロックインをするのが通常のベンダー資格の目的だが、それと「Vex Certification」が本質的に異なるのは、将来的には脆弱性診断のニーズを持つユーザー企業と、有資格者の脆弱性診断士をマッチングするためのプラットフォームとして、「Vexを使えるエンジニアと脆弱性診断を受けられない会社をつなげる」ことを観堂が最終的な目的として見据えている点だ。日本企業と日本市場のセキュリティを向上させ市場全体に貢献していくという観堂の考えはここにも一貫している。

●セキュリティの自衛力を高めたい、青柳の思い

 そんな観堂にとって、どうしても足りない一つのピースがあった。それをもたらしたのが青柳率いるGSXが2020年に立ち上げた、セキュリスト(SecuriST)の「認定脆弱性診断士」資格だった。

 ユービーセキュアとGSXの縁は、GSXが脆弱性診断サービスを提供するために必要不可欠なツールと認め、約10年前からVexを利用してきたことに遡る。

 高度な脆弱性診断を行うためには、最新のサイバー脅威に精通し、エンジニア自身が判断したり手動でリクエストを送るなどのプロセスが不可欠だが、そうしたスキルを有する人材やベンダーは限られ、多くのユーザー企業は、長い待ち行列に加わらざるをえない現状があった。「セキュリスト(SecuriST)は、Vexだけでは足りないピースを埋めるものだ」と観堂は考えた。

 セキュリスト(SecuriST)を開始した青柳史郎は2018年に代表取締役に就任すると、GSXを「セキュリティ教育カンパニー」と再定義した。

 CEH(Certified Ethical Hacker:認定ホワイトハッカー)やvCISO(virtual CISO:バーチャル シーアイエスオー)などのサービスを展開した青柳の視線の先にあったのは、大手セキュリティベンダーに「相手にもされない」地方企業や中小企業だった。

 青柳が考えたのは、米FBIやNSA職員の必須資格であるCEH取得などで、地方や中小企業自身の自衛力を高め、自分たちを顧みないセキュリティベンダーの手を借りずとも自社を守る力を育てること。いわば中小企業のセキュリティ独立宣言を支援することだった。

 しかしCEHのサービス開始当初、受講者は中小企業などまばらで、SIerやセキュリティ製品の商社ばかり。「競合や同業他社にノウハウを提供することと同じだ」との声が社内にあった。敵に塩を送る行為と言われた点は観堂と全く同じだ。しかし、2019年には、ユーザー企業の受講者数が半数を超えた。観堂の言葉を借りるなら「歯車が逆回転」しはじめた。

 セキュリスト(SecuriST)認定資格制度は、セキュリティに携わる人材に向け、トレーニングと認定試験で構成される。セキュリストの第一弾となる「認定脆弱性診断士」は、Webアプリケーション診断を行う「認定Webアプリケーション脆弱性診断士」と、プラットフォーム診断を行う「認定ネットワーク脆弱性診断士」の2つの資格、および公式トレーニングコースで構成されている。

 2020年12月18日、第一回目となる「認定Webアプリケーション脆弱性診断士公式トレーニング」と「認定ネットワーク脆弱性診断士公式トレーニング」が行われ、初回から約60名が受講する盛況となった。来春には第一号となる資格合格者が多数生まれることになる。

 「初速はCEHのときの倍以上の手応え(青柳)」

 GSXによれば、受講企業には東芝デジタルソリューションズ株式会社、パナソニック株式会社、株式会社日立ソリューションズ・クリエイト、リコーITソリューションズ株式会社、TIS株式会社(50音・アルファベット順)が並ぶ。DX推進や、独学で培ったが改めて学びたいなど、その目的は企業や人によってさまざまだ。

●DX推進に欠かせないDevSecOps実現のために

 近年、中小企業にとってこそDXは切実な問題となっている。デジタル技術で付加価値を生み出すにあたっては、技術の安全な活用が不可欠だ。企業が脆弱性診断を適切に行っていくための現実解の一つが、観堂が提案するVexとVex Certificationであり、そして青柳が提案するセキュリスト(SecuriST)認定脆弱性診断士である。

 立ち位置は少し違うが兄弟のように似た志を持つ観堂と青柳。取材時に感じたのは、少々芝居がかった表現かもしれないが「生まれた日は違えども死ぬ日は同じ」と互いに考えている節すらあることだ。

 実際に株式会社ユービーセキュアとグローバルセキュリティエキスパート株式会社は、兄弟ではないものの、2020年秋に正式に「従兄弟」同士になった。ユービーセキュアはNRIセキュアテクノロジーズ株式会社の資本参加を受けていたが、2020年末、GSXに株式会社野村総合研究所(NRI)の第三者割当による資本提携が行われたからだ。

 日本を代表するITコンサルテーション企業と、日本を代表するITセキュリティ企業の2社の力強い支援のもと、観堂率いるユービーセキュアと青柳率いるGSXは、ともに日本のセキュリティを変えるという志を実現する。