賞賛、誤解、戸惑い、興味～セキュリティ診断標準化を市場はどう受けとめたか

「待ってました！」診断サービスの“プロフェッショナル”的なユーザー企業はほぼ例外なく、標準化を行いサービスの質と量の安定供給を行う挑戦に、強く賛同したそうです。

製品・サービス・業界動向業界動向

2018.7.3 Tue 8:30 PR

脆弱性診断の標準化は業務を細分化することで進められる。「認証」「セッション」等の大カテゴリは10項目あり、大カテゴリのひとつ「入力制御」はさらに「バリデーション」「SQLインジェクション」など11の中カテゴリに分けられる。大カテゴリから中カテゴリ、中カテゴリから小カテゴリ、小カテゴリからさらに下位のカテゴリへと、それ以上細分化不可能（作業者の判断が不要）な作業単位までブレイクダウンは行われる。全 1 枚拡大写真

●まとめ

　診断チームを内製してしまうレベルの一握りのハイエンドなユーザー企業以外には SHIFT SECURITY の診断業務の標準化の価値は充分に理解されておらず、それを変えるためには今後、 SHIFT SECURITY 自身による積極的な啓発や情報発信が必要かもしれません。願わくばその際は「ネクストジェネレーション脆弱性診断」などといった陳腐な名称が使われないことを祈ります。

　しかし、ユーザーに真価を理解されなくても、リピート率が約4割あるという事実は、「コスト」「納期」「利用したいときに利用できる利便性」「均質性」などの性能が、技術水準と同等に、脆弱性診断サービスを利用するユーザーに求められていた証左と言えるかもしれません。

　また、セキュリティ業界には、「現場技術者層の戸惑い」、それと正反対の「経営層による関心」という、ふたつの立場が存在するようです。

　実はSHIFT SECURITY は、創業当時から、決して標準化できない、高度な職人しか発見できない領域の存在を公然と認めていました。診断業界を標準化一色に染めるのではなく、繰り返しのルーティン作業の部分などを積極的に標準化サービス側が担い、高度な職人的技術者は、彼らが本来クリエイティビティを発揮すべき仕事だけに専念してもらうという構想は、設立記者会見でも述べられていました。

　現在、トップクラスの診断企業ですら、採用難と需要過多によって診断業務の内製をあきらめ、外部へとアウトソースしている現状があり、今後 SHIFT SECURITY には、業界各社とのさまざまな協業・連携の取り組みが期待されます。

　最後に、フォード式工場による自動車の大量生産は、それまで富裕層の一種の嗜好品だった乗用車を大衆化しただけではなく、自動車工場で働く労働者の所得を倍増させ、その結果、工場労働者が自動車のオーナーになるという夢を実現しました。セキュリティの職人技能の標準化によって生まれるさまざまな可能性に、今後も注目したいと思います。

株式会社SHIFT SECURITY
https://www.shiftsecurity.jp/