「診断会社ソムリエ」濱本常義、これからのセキュリティ診断会社選びの基準

　「私はセキュリティ診断会社にいろいろ一家言あります。診断会社によって実はすごい個性がある」

　そう語るのは、株式会社エネルギア・コミュニケーションズ情報システム本部 IT インテグレーション部サブマネージャー濱本常義（はまもとつねよし）だ。

　同社が提供する、脆弱性診断やペネトレーションテストサービスの運営を通じ濱本は、日本国内の大半のセキュリティ診断会社について、調べたり、実際に発注するなど、徹底的に研究しつくした。さながらその見識は「セキュリティ診断会社ソムリエ」だ。

--

　エネルギア・コミュニケーションズ（エネコム）は、 2003 年に中国情報システムサービス株式会社と中国通信ネットワーク株式会社が合併して発足。現在はシステムインテグレーションや FTTH 接続サービスなどを中心に、 IoT プラットフォーム、 RPA サービスまで幅広く事業展開している。広島駅前にデータセンターを保有し、広島県の自治体クラウド運用も行う。資本金 60 億円、従業員数 1,001 名、年間売上 418 億円。

　尾道出身の濱本は、都内の大学で修士課程を経て、 1995 年に地元広島に戻り、前身の中国情報システムサービスに研究職として入社した。 95 年は日本が大きく揺れた年だ。東京から広島へ就職のために帰る際、阪神大震災の影響でまだ新幹線は復旧していなかった。また、同年 3 月、あと1時間ずれていたら、濱本は丸の内線で地下鉄サリン事件に遭遇していた。

　そしてこの年は、通信とコミュニケーションの地殻変動のはじまりの年でもあった。同年秋 Windows 95 が発売、濱本が入社した同月、社内ではインターネットサービスプロバイダ事業が立ち上がり、 2 年後に濱本はケーブルテレビインターネット事業に携わった。

　メリッサウイルスがアウトブレイクし、 NTT ドコモが i モードサービスを開始した 1999 年、インターネットの普及を目の当たりにする濱本に、社内の新規事業として、セキュリティ診断サービス立ち上げの話が転がり込む。さっそく、診断方法やツールの使い方など、さまざまな情報収集を開始した。日本に誕生したセキュリティ診断士のうち、間違いなく最初期の人間の一人だ。

　一方、 2000 年から 2001 年にかけ国内中央官公庁等で、 Web 改ざん被害が多発、全国にファイアウォール需要が突如大発生した。セキュリティ診断事業立ち上げは一時保留され、濱本はソリューション営業に着任する。

　研究技術職から営業職へ、営業マンとしての初年度の濱本の成果は、決して誇れるものではなかったという。しかし数年後には、セキュリティ専業チームとして複数の部下を率いる堂々たる営業責任者に成長した。ソリューションの外販と同時に、顧客の業務視点に立って行ったセキュリティのコンサルが好評を博した。

　「与えられた環境を楽しむ気質がある。まあ営業も面白いかと。そう思って前向きにやった（濱本）」

　もちろん、単に数字を追い続けただけの日々ではなかった。大学のネットワーク構築や、個人情報保護法施行特需への対応、 ISMS 運用支援、後の Winny などの P2P ソフト事案の対応では、フォレンジックとマルウェア解析も経験、あらゆるレイヤーでまんべんなく経験を積んだ。

　「当時のセキュリティ分野は何もない地平、何も見えない平らな大海原が広がっていた（濱本）」

　 2019 年現在のセキュリティには、それぞれの専門分野が存在し、各分野に「巨人」が存在する。しかし当時は、現在権威としてリスペクトされる人々でさえ、何をやったらいいか試行錯誤をしていた時期だ。濱本は自らをジェネラリストと任じた。まんべんなく何でも取り組むことを目標に、経験を積んでいった。

　そしてそれができた幸せな時代だった。いま、こんな人材が生まれることは容易ではない。

　当時濱本が仕事を終えて帰宅すると、そこにはもうひとつの活動が待っていた。自ら立ち上げたメーリングリスト「 connect24h 」のコミュニティ管理業務である。ネットは自分自身が積極的に貢献すればするほど、重要な情報が集まる。そう感じた濱本は、常時接続をテーマとしたコミュニティがないことを発見し、 ML を立ち上げた。

　さまざまな情報が飛び交う connect24h で、困っている人を見つけると濱本は、アドバイスとフォローをしまくった。診断事業をはじめるために集めた情報を、惜しげもなく他人に与え続けた。やがて connect24h は 3,500 名を擁するコミュニティに成長する。しかも常時接続コミュニティに参加するようなメンバーは、自宅にサーバを立ち上げるような剛の者ばかり。

　「いい人たちがたくさん connect24h に集まってくれた（濱本）」

　 connect24h の評判を聞きつけたハッカージャパン誌や日経ネットワーク誌への寄稿が開始すると、寄稿の評判によって、今度は講演依頼が舞い込むようになった。コミュニティを軸にした、サイクルが回り始める。 2003 年にはセキュリティカテゴリで Microsoft MVP を受賞。その後 10 年間 MVP をほぼ毎回獲得しつづけた。

　 2006 年までには、エネルギア・コミュニケーションズの事業としてセキュリティ診断サービスはすっかり立ち上がっていた。現在エネルギア・コミュニケーションズは、ツールを活用したプラットフォーム診断と、疑似侵入診断のふたつから構成される「セキュリティ診断」の他、「クラウドセキュリティ」「 SOC 、 CSIRT 運用支援」「ログ監視・分析」「セキュリティトレーニング」「インシデントレスポンス」など、フルサービスに近いラインナップを備える。

　ほとんどの診断需要はエネルギア・コミュニケーションズの内製診断チームが対応する。そのため、 Web 診断ツールの評価と運用、 Web 診断の自動化やクラウド化にも注力し、積極的に国内外に情報収集を行うのも濱本の仕事だ。

　「将来 Web 開発工程にセキュアコーディングが適切に実装されるなら、 Web 診断業務はなくなってもいいと思っている（濱本）」

　「診断という業務がなくなってもいい」期せずして濱本は、本誌が同時期に取材した某社の「診断業界のプリンス」とほぼ同じ言葉を口にした。いずれも診断サービスの本質を見ている証左だろう。

　まだ今も、濱本はコミュニティ活動をやめていない。