賞賛、誤解、戸惑い、興味～セキュリティ診断標準化を市場はどう受けとめたか

　2018年1月16日付配信記事「サイバーセキュリティ技術者の『職人技』どこまで標準化できるか」において本誌は、株式会社SHIFT SECURITY の取り組みを紹介しました。

　記事では、同社が脆弱性診断業務の本格的な標準化に挑戦し完成させるまでの、着手から完了までの道のりを時系列に沿って駆け足でレポートしました。

　記事の最後には「この試み（註：脆弱性診断業務の標準化を指す）が正しいかどうかは今後、ユーザー企業と市場によって審判が下される」という一文が置かれました。少々強い言葉遣いは、「脆弱性診断業務標準化」という試みが、単なるサービス向上等にとどまらない、セキュリティサービスの新しいあり方の提案を、ユーザーと市場に対して行っていると取材時に感じたからでした。

●ツール型からハッカー型へ

　脆弱性診断は黎明期、診断ツールを用いて行う「ツール型診断」が主流でした。その後2005年頃から、攻撃者視点を持ちセンスのある技術者（≒ホワイトハッカー）が、ツールを用いながらも目視し、診断員の経験や勘に基づいて手動で診断を行う、いわば「ハッカー型診断」が提案され、市場に浸透していきます。

　ハッカー型診断はその後、脆弱性診断サービスの主流になりました。現在診断業務でトップクラスと呼ばれる企業は、こぞって腕に覚えのある技術者を採用・育成し、ブランドを高め事業を拡大しました。

　ハッカー型診断でサービス水準を左右するのは在席する診断員の技術力です。その技術力を測る尺度として用いられたのが、DEF CON CTF や SECCON などの国内外のハッカー競技や、バグバウンティ、JVN 等への脆弱性報告件数などでした。

●ハッカー型診断ただ一つの欠点

　ハッカー型診断に唯一存在した欠点は人材確保の厳しさでした。スター・ウォーズの「ジェダイ」のような匠の技術者は大量に採用も育成もできないのです。優れたセンスは方法論で伸ばすことができず、即戦力となる人材の採用にはコストがかかります。そのため、前述のトップクラスの診断企業を中心に、ユーザー企業側が診断業務をたとえ発注したくても、待ち行列が長くて発注できないといった、「人」に起因する問題が発生するようになりました。

●職人技能を標準化

　SHIFT SECURITY は、これまでセンスのある職人的技術者の努力によって支えられていた脆弱性診断業務というサービスが持つ「人」に起因する問題を、親会社である株式会社SHIFT が持つ職人的技能を標準化するノウハウにしたがって棚卸を行い仕組み化することで解消し（約半年間かけて行われた仕組み化の過程は前回記事参照）、量産不可能とされてきた診断業務を、あたかもフォード式工場へ変革するように変えることで、適正な価格で、必要充分な高いクオリティのサービスを、均質に大量供給することに挑戦したのでした。

　ここには同時に、顧客は診断サービスに対し「技術力」と同じくらいあるいはそれ以上に「コスト」「納期」「利用したいときにできる利便性」「均質性」などの性能を求めている、という仮説がありました。

●「人が診断するなんて大丈夫？」と言われた時代

　ところで、現在本流となっている「ハッカー型診断」ですが、「ツール型診断」が主流だった時代、登場した当初は、多くのユーザー企業から「人間が診断を行うなんて大丈夫なのか？抜けや漏れが出ないのか？」と不信を持たれ、決してすぐ受け入れられた訳ではありませんでした。

　長い時間が流れ、技術優位の考え方が浸透した現在の日本の診断サービス市場で、SHIFT SECURITY の標準化されたサービスは、果たしてどのように理解（あるいは誤解）されたのか、前回の取材から半年が経過し、診断員をさらに増員しているという SHIFT SECURITY を訪ね、下記の５つの質問をぶつけてみました。

質問１：標準化された新しい診断サービスのビジネス状況は？

質問２：現在の診断員の人数は？

質問３：標準化された診断サービスを歓迎したのはどんなユーザー企業か？

質問４：標準化された診断サービスへのユーザー企業の反応は？

質問５：診断サービス標準化へのセキュリティ業界の反応は？