なにをやっているのか
当社は単純なツール販売だけを実施している会社ではありません。企業のサイバーセキュリティの本質的な課題を解決するために専門家による上流からの業務支援、アプリケーションの脆弱性診断、教育、セキュリティアドバイザリなど人的対応からプロダクト開発・販売まで一環してトータルで実施しています。
なぜやるのか
取締役CTO徳丸 浩のコメントより
「私は京セラコミュニケーションシステム(KCCS)にて、プログラマ、SE、自社パッケージ企画・事業化、アーキテクトなど多様な経験を積むことができました。個人としても、PascalコンパイラCabezonの開発、公開を通じて、オープンソース運動の先駆的活動をする機会に恵まれ、そのご縁で多くの貴重な仲間と知り合うことが出来ました。
2000年以降は、企業向けや携帯電話向けのWebアプリケーションを企画・開発する立場から、アプリケーションの安全性についてお客様に責任を持たざるを得ない立場におかれました。このため、Webアプリケーションのセキュリティについて独自の取り組みをしてきました。2005年以降、Webアプリケーションに対する脅威は増加する一方です。私が2000年以降に置かれた立場は、現在世界中のWebサイトの構築責任者が置かれた状況と同じです。私は今までの経験を世の中にもっと役立てたいと考えました。
KCCS時代は、居心地のよい職場でしたが、立場はあくまでも管理職でありました。もっと現場に出てセキュリティの仕事をしたい、もっと自分で手を動かして調査・研究をしたい、ブログや寄稿などを通じて自分の考え方を世の中に広めたい・・・そう思った私は、大企業の管理職という立場では限界があると考え、独立することを決意いたしました。
絵空事ではない、実績に裏打ちされた経験こそが弊社のバリューであると確信いたしております。弊社の使命は、これでの経験を活かし、インターネットを安全に活用できる社会づくりに少しでも貢献することであります。どうぞ、よろしくお願いいたします。」
どうやっているのか
脆弱性診断、コンサルティング・教育、プロダクト開発(SiteGuard)の3つが事業の中核となりますが、一人一人がプロフェッショナルとしてどうすればクライアントに価値が提供できるのかを大事にしながら、主体的に、裁量をもって業務を遂行しています。
エンジニアであっても技術と<だけ>向き合っていては、クライアントに価値を提供することはできません。技術力の向上に努めることは当然として、その技術力をクライアントの価値につなげるためにクライアントの声を直接聞き、課題を解決するためのよりよい方法を考え、実行していきます。
チームとしてクライアントに価値を提供していくため、脆弱性診断の報告レポートは、診断エンジニアやコンサルタント全員参加のレビュー会を実施し、CTOの徳丸自らがレビューするとともに検出した脆弱性の検証方法の妥当性や危険度判定、対策方法等メンバー間でディスカッションを行っています。
また、当社ではプライム案件が多く、直接クライアントの課題をヒアリングしたり、診断結果や改善方法を直接クライアントに報告するなど、診断エンジニアも直接クライアントの課題解決に携わります。診断エンジニアは、決まったレギュレーションで決まったことを決まった期間に実施するだけの単なる診断オペレータではなく、クライアントの課題を解決するための手段として最適な「脆弱性診断サービス」を提案し、提供する脆弱性診断のプロフェッショナルです。
