取締役CTO 徳丸 浩
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。2015年イー・ガーディアングループに参画。2019年よりイー・ガーディアン子会社のグレスアベイル株式会社取締役、2020年より同子会社株式会社ジェイピー・セキュア取締役を兼任。2021年より取締役CTO就任。
バグと脆弱性の解決に知的好奇心を見出した
徳丸は1999年よりWebセキュリティの分野に関わり始めました。
携帯電話のコンテンツを課金するシステムの構築を担当していましたが、当時はサーバーのプラットフォームにはセキュリティが存在していても、アプリケーションには存在していない時代で、独自で開発をしなければなりませんでした。
2000年代に入ってマスコミが徐々に問題意識を持ち始めたため、著書の執筆やテレビ出演、講演などが徐々に増え始めましたが、私自身は技術にフォーカスし、実務に携わりたいという思いが常にありました。2008年4月に独立し、HASHコンサルティング(現:EGセキュアソリューションズ)を創業したのは、そういったことが理由の1つにありました。
Webにおいて「バグ」と「脆弱性」は、似て非なるものです。バグは本来できるべきものができないという問題点。この意図しない不注意に対し、知的な好奇心をくすぐられました。
パズルをひも解くことで、世界全体を守る
脆弱性の発見には「なぜこんなことができるのだろう?という、ある種のパズルを解くような新鮮な驚きがあります。同時に、自分も見つけてやろう!という挑戦心も沸いてきます。
セキュリティの分野はモノを新たに生み出すことはありませんが、Webの内部、つまりは世界全体を守ることに貢献できるという喜びも感じられます。
イー・ガーディアンのグループに入ったことで労務などの面は任せることができ、また、グループ内の組織再編により2021年からはCTOに就任することで、技術開発やエンジニア育成、会社を超えたセキュリティ啓蒙活動に専念することができるようになりました。
セキュリティ分野は現在拡大傾向にあり、今後も需要が伸びることが予想されます。当社にも数多くの案件が寄せられますし、同業他社から相談を受けることも少なくありません。
セキュリティの使い手は、いわば「医者」
Webセキュリティは、作業のパターンがある程度決まっています。そのためツールを使用して診断を行うケースも多いのですが、当社では手検査を中心に行っています。
セキュリティの診断は、お医者さんが行う病気の診断と似ていると思うのです。
まずは症状を見て、どのような状況であるか微妙な違いを読み取る。原因は複雑なもの、複合的なもの、変わったものとさまざまです。機械=ツールで容易に判定できるものも少なくありませんが、手検査で詳細に調べなければならないものも存在します。
私の前職にバグを簡単に見つけることのできる才能を持つ、医者で言えば「神の腕」のようなものを持った人がいました。その人に脆弱性の診断をしてもらうと、こちらもあっという間に見つけることができる。机と端末に向かう機械的な作業ですが、そういったカンやセンスが重要な時もあります。
当社の業務はずっと端末に向かい続け、定型的でありながら高度なスキルが必要というものです。
しかし、私のようにバグや脆弱性を発見することに面白さや楽しさを感じる方が、一定層いらっしゃるのではないかと思います。
セキュリティのプロフェッショナルであれば、スキルが偏っていてもいい
脆弱性診断業務は、要件の定義(プレセールス・セールス)、診断(テスト)、報告(レポート)といった流れが主体です。プレセールスではオーダーする側との必要要件のすり合わせが主業務となるため、コミュニケーションスキルが重要となります。
一方でテストの段階では、端末に向かって淡々と作業に取り組むスキルが必要です。
レポートでは文章力や図表を作る力が備わっていなければなりませんし、報告会など喋るスキルも一定の力が要る。しかし、全ての能力が全員に備わっていけないということではありません。
Webセキュリティの分野には慎ましやかで遠慮深い方が多いようで、徳丸の会社で実務を担当するとなると腰が引けてしまう方も多いようですが、必ず業務のどこかに得意なことを生かせる領域があるはずです。
Webセキュリティの正しい知識を日本中の現場で役立てるように
大変ありがたいことに、拙著『体系的に学ぶ 安全なWebアプリケーションの作り方』(SB Creative)は、多くの現場で学んでいただいています。開発現場はもちろん、プロジェクトマネージャや事業部門の発注担当者などにもお読みいただき、2020年7月からは『ウェブ・セキュリティ基礎試験』として、本書を教材とする試験も開始されました。
しかしながら、正しいWebセキュリティの知識やノウハウが十分に理解されているとはいいがたい現状に、著者としてまだまだ力及ばないことにもどかしい思いです。
当社メンバーには、Webセキュリティの正しい知識やノウハウを身に着け、日本中の現場で役立てることが出来るよう、多くのクライアントの力になってほしいと考えています。
ウェブの世界を護ることはつまり、実世界全体を護るということ
当社が関わるWebセキュリティの分野では、モノを新たに生み出すことはない一方で、技術革新を常にキャッチアップし、 最先端のWebセキュリティに関する技術とノウハウを活用し続け、クライアントに価値を提供する姿勢が求められています。
サイバーテロや、情報漏洩・流出など、企業や政府は今、様々なリスクと隣り合わせにいます。 そして、それらのリスクは今や経営課題となり、情報システム部門やIT部門だけの課題ではなくなりました。 クラウド化や仮想化等の技術の進化に伴い、 組織の事業発展を支えるものとして、さらなる安全なITインフラの構築とWebセキュリティの強化が急がれているのです。
インターネット社会といわれる現代、さらに今後のデジタル社会において、ウェブの世界を護ることはつまり、 実世界全体を護ることと同義であると、当社は考えています。
この想いに共感し、力を貸してくれる仲間にぜひお会いしたいと思います。