EGセキュアソリューションズの創業時からの事業である脆弱性診断。その脆弱性診断チームを率いるマネージャから、現CTOであり創業者でもある徳丸に、会社の創業から社員への期待、これからの事業展望等、聞いてみました。前編、後編に分けてお届けします。
今回はその後編です。前編はこちら。
徳丸 浩
EGセキュアソリューションズ株式会社
創業者 兼 取締役CTO
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。
2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。
木本 悠介
EGセキュアソリューションズ株式会社
ソリューション推進部 セキュリティ診断チーム マネージャ
2019年入社後、主にウェブアプリケーション脆弱性診断業務を担当。
2021年より、脆弱性診断チームのマネージャとして奮闘中。
脆弱性診断を行なって指摘した項目を、きちんと修正してくださり、その上で再診断に臨んでくださるお客さまが増えた
木本:徳丸さん自身は20年近くセキュリティ業界にいます。業界や脆弱性診断などに変化はありますか?
徳丸:主に3つあると考えています。
1つ目は、創業時と比較すると、Webサイト公開前の脆弱性診断が当たり前になってきました。
昔は脆弱性診断は特別で、私たちが「脆弱性診断をします」と言うと開発側に緊張感が走るものでした。しかし最近は開発側も「脆弱性診断をしてくれるなら、そこで出てくるものを直そう」という雰囲気になっています。妙な特別感が薄れてセキュリティを軽視しないようになったのであれば、とても良いことです。
木本:はい。実際当社にご依頼いただくお客様の数や脆弱性診断の件数も、かなり増えていますね。
徳丸:2つ目は、プレイヤーが増えました。私は数社の技術顧問をしており、よく診断結果の相談を受けますが、脆弱性ではないものが混ざっていたり、見落としてはいけないものが見落とされたりしている例も散見するようになりました。
木本:そこは当社でも気を付けないといけないところですね。実際に過去に他社様で診断したサイトを当社で診断した結果、過去の診断時には見つからなかった脆弱性が見つかることもあります。
また、検出された結果が脆弱性なのかどうか、脆弱性と判断される場合、危険度はどの程度なのか、についてはレビュー会の際にかなり議論しますよね。レビュー会の後に追加で検証することもあります。
徳丸:そこは本当に大事なところだと思っていますね。
3つ目ですが、弊社は総合的にお客さまの役に立ち、お客さまの事業が安定し維持できることを目指しています。近年は、私たちが脆弱性診断を行なって指摘した項目を、きちんと修正してくださり、その上で再診断に臨んでくださるお客さまが前よりも増えています。
もちろん喜ばしいですが、私たちが脆弱性を指摘して修正を促している以上、さすがに「なぜ直してくれたんですか?」とは聞けません。(笑)
当社を信頼をしていただいているのだと考えています。また、インシデントを見聞きする機会も増えてお客さまの意識が高まっているのだと思います。
▲徳丸
木本:毎年同じサイトを診断して同じ結果を出す、つまり何のために診断しているのか分からない、ということで診断員のモチベーションが下がるケースも耳にしますね。
当社はWebセキュリティのスタンダードを作って広める役割を担っている
木本:Webセキュリティ企業が増えています。当社の脆弱性診断の差別化できるポイントはどこにあると考えますか?
徳丸:脆弱性診断は、確認するべき点を全て確認して、見つけるべきものを丁寧に見つける必要があり、当社にはそれができる社員が揃っています。難しい入社試験をくぐり抜けてきた社員たち揃いで、全員が脆弱性診断の一連の業務を実行できます。これは素晴らしいことなので誇りに思ってほしいです。
他のセキュリティ会社の診断員のみなさまの机にも、私の書籍(※)があると思います。私の書籍は総称して「徳丸本」と呼ばれていますが、Webセキュリティのスタンダードを作っているのは当社であり、脆弱性診断と言えば当社や私です。弊社にはやるべきことを丁寧に実行し続けるための土壌もあります。
※安全なWebアプリケーションの作り方(SBクリエイティブ)
木本:当社の脆弱性診断チームのメンバーは、Webセキュリティのスタンダードを作って広める役割を担っているわけですね。それを丁寧に実行し続ける。
▲木本
徳丸:脆弱性診断をペネトレーションテスト(侵入テスト)と混同する人がいます。ペネトレーションテストの方がすごいとお考えの人もいるようですが、ペネとレーションテストは複数のルートがあるうちの1つを見つければOKというものです。脆弱性診断では全てを見つけなければいけない。それぞれのゴール設定は異なります。
まずやるべきは脆弱性診断であり、それを高い品質で適正なコストで実施し続けているのが当社です。
Webセキュリティ特化企業で働くことで専門性が高めやすい
木本:脆弱性診断を外部に依頼するのか、自社で内製化するのか、悩まれるお客さまもいます。この点についてはどう考えますか?
徳丸:難しい質問ですね。
まず企業目線では、内製化をすると、脆弱性診断の担当者がセキュリティだけを専門にできず他の業務と兼任してしまい、その点で専門性の限界に至る場合があります。
内製化を目指すお客さまからご相談いただくこともありますが、「セキュリティ担当者が1人しかおらず、相談できる人もおらず、上司もセキュリティをよくわかっていないために評価も育成も難しい」といった事例も実際にあります。内製できるのであれば素晴らしいですが、育成や維持は容易ではありません。
木本:当社にも脆弱性診断の内製化のご相談を多くいただきますし、それにお答えする内製化支援サービスもご提供していますが、内製化を実現するには診断技術を学べばよい、というだけではないわけですね。
徳丸:次にエンジニア目線ですが、Webセキュリティ特化企業で勤務をすると専門性が高めやすいです。各社の案件を担当し、自身の中に事例や経験も蓄積できます。
当社の場合ですが、診断と報告を分業せず、一連を全て実行できるよう求めています。全てできると、エンジニアとしてのキャリアプランも考えやすくなります。
分業もそう簡単ではありません。報告書の作成はある程度シニアレベルになると滞りなく担当できますが、かといって報告書作成に特化すると、現場を離れてしまい技術のキャッチアップの機会も減ります。
いつまでできるかわかりませんが、当社はエンジニアのスキルのためにも、私自身が全部やるのが好きだという点からも(笑)、現時点ではこの体制を採っています。
木本:はい、僕もこの体制に魅力を感じて入社しました!(笑)
Webセキュリティ業界は真面目で勤勉な人が活躍する業界
木本:今後のWebセキュリティ業界はどうなっていくでしょうか?
徳丸:業界がどうなっていくかは、正直わかりません。しかし、業界がこなれてきたようです。
昔は「大手に頼んだけど、相手が何を言っているのかさっぱりわからなかった」という事例がかなりありました。サービスを提供する以上、お客さまに伝わらないと意味がないため「さっぱりわからなかった」と言わせてはいけません。
今はこのような事例を聞く機会も減りました。業界に、腕とコミュニケーション能力のバランスが良い会社やエンジニアが増えたからではないでしょうか。Webセキュリティエンジニアのスキルには、双方が必要です。
Webセキュリティ業界は胡散臭い業界と見られることもありますが、決してそんなことはありません。知識がない人がそのような印象を抱いてしまうのもわからなくはないですが、Webセキュリティや脆弱性診断は公平、公明正大なサービスです。
周囲を不幸にする嫌なサービスを提供していると、特に若い社員は嫌になって辞めてしまいます。当社には真面目で勤勉な社員が勤務してくれており、そのような人が活躍する業界です。
開発の変わり方に合わせて、脆弱性診断のやり方も変わらなければならない
徳丸:Webセキュリティの情報は、多いようでいて情報が少ないため、教育事業にも力を入れたいです。
よく「徳丸本を読み終えました。次に何をすればいいでしょうか?」と質問を受けます。自分で勉強して場数などを踏み続けるべきですが、そもそもWebセキュリティに関するアウトプットを実行する人が減り、勉強用の読み物が減っているのではないか、教育分野へのアクションが必要ではないかと考えています。
実装の仕方、開発プロセスが変わり、アジャイル開発になっています。これに合わせて診断のやり方も変えなければなりません。開発の変わり方に対してWebセキュリティ業界にも世界的に様々な提案が出ていますが、うまくいっているところがまだなく、「こうやればいい」がない状態です。
セキュリティ内製化の動きもあります。では私たちのようなWebセキュリティ専業企業はどうあるべきか?これも重要なテーマです。
内製化する場合、トレーニングや専門家の知見が必要です。Webセキュリティ専業企業は事業会社内部のセキュリティ担当者より高いレベルを維持しなければなりません。新しい開発用語の言葉も当然理解でき、社員は技術的な研鑽の継続が求められます。
木本:当社でも開発経験のないメンバーもいますし、モダンな開発を学ぶために徳丸さんの発案で、Rails チュートリアル(※)での学習を取り入れましたね。
※Ruby on Rails チュートリアル 徳丸先生に聴くセキュリティの学び方
徳丸:AIによる診断や脆弱性診断の自動化という流れもありますね。
ChatGPTなどのAIが話題になっています。
脆弱性診断において、現時点では、全体で見ると人間が実施する方が早いです。しかし一部の業務はツールで早く正確に完了する部分もあります。AIがあるからこそ、人間ならではの価値と差別化できると考えています。
木本:当社でもAI診断ツールによる診断をサービスの一部に取り入れました。ですが、人でないと判断できないことはまだ多くありますし、ツールをうまく活用しながらどれだけ付加価値を高められるかがエンジニアに問われている気がしますね。
今回は、当社の創業のお話から脆弱性診断のあれこれ、今後の話までいろいろ質問させていただき、とても楽しい時間でした。
徳丸さんが社員のことを想っていただいていることもすごく伝わってきました!ありがとうございました。
今回のお話が気になった方は、ぜひお気軽にお話を聞きにきてください!
~前編はこちら~