「診断会社ソムリエ」濱本常義、これからのセキュリティ診断会社選びの基準 2ページ目

　一定の役割を果たした connect24h （ Twitter ）にかわって 2005 年から開始した勉強会「セキュリティもみじ」は、参加者からいくばくかの参加費を受け取り、東京他で活躍する識者を招待、参加費すべてを講師に支払い、交通費＋宿泊費に充当してもらう仕組だ。最近ではダークネットの専門家を招くなど継続して活動を行っている。濱本いわく、セキュリティもみじに集まるのは「尖った技術で社内で一目置かれる野武士」のような人物ばかりだという。そこは、 connect24h の頃と変わっていないようだ。

　次世代を担う若手人材の発掘育成を行うセキュリティキャンプには初回の 2004 年から深く携わった。 2013 年以降は、広島・福岡開催にも力を注いでいる。 Android アプリの解析結果を音声に変換し、音声のゆらぎを検出することでマルウェアかどうかを判定するという、若者の話をしたときの濱本の目が、取材中一番レベルにキラキラ輝いていたことをここに記しておこう。

--

　「私はセキュリティ診断会社にいろいろ一家言あります。診断会社によって実はすごい個性がある」と語ったのは、これまで仕事で関わってきたセキュリティ診断会社について話が及んだときのことだ。

　それは、エネルギア・コミュニケーションズのサービス運営を通じ、国内のほとんどの診断会社を徹底的に研究した結果の濱本の知見のようだ。

　エネルギア・コミュニケーションズのセキュリティソリューションサービスは、チームメンバー総勢 5 名の少数精鋭体制で CSIRT 業務やＷｅｂやメールのクラウド監視まで行う。基本的に診断は内製で実施されるがもちろんそれだけでは回らない。特に問題になるのは、年末から 3 月にかけての診断繁忙期だ。 CSIRT サービスがある以上、トリアージ要員が常にスタンバイされている必要もある一方、近年、診断需要も増加傾向にある。必然、信頼できる診断会社と共同でプロジェクトに当たることがある。

　「ここに任せておけば安心」と考える診断会社の名前を濱本は「スターグループ」と呼ぶ。東京駅をはさんで丸の内オフィス街の反対側にある診断企業など、いくつかの社名を濱本は挙げた。

　毎回スターグループに頼めれば問題ない。しかし、予算面で向こうから断られることもあれば、大きい情報漏えいインシデントなどが発生すると市場需要が急増するため、あらかじめ依頼していた以上の量は断られてしまう。 11 月以降のいわゆる繁忙期に新規に依頼しようとしても、まず断られる。

　必然、濱本は、独立系準大手や中堅のセキュリティ診断会社に多数コンタクトして、サービス内容を調べ上げ、再委託せざるを得ない。そして、濱本がよい診断会社と判断すれば継続的取引となる。

　今年 2019 年春の東京出張の際には、これはと思う診断会社のオフィスを訪問、責任者や診断員と面談も行った。これまで、単にタイミングが合わずに依頼できなかった診断企業を含めると、濱本がコンタクトした企業の数は膨大だ。

　このように、数限りない「テイスティング」、産地の「葡萄畑訪問」などのプロセスを経て、濱本の「診断会社ソムリエ」の能力は研ぎ澄まされた。

　2017 年 11 月のことだった。とあるインシデントの影響で、なじみの診断企業にやむを得ず断られ、窮地に陥った濱本は、株式会社SHIFT SECURITY という、前年立ち上がったばかりの新しい企業にコンタクトした。当時エネルギア・コミュニケーションズの内製診断士は予定が詰まっており、時期的にスターグループに新規依頼をするのはもちろん不可、これまでパイプを構築してきた信頼できる独立系診断会社も、どこも手一杯だった。

　濱本の脳裏に、その年にビッグサイトで開催された情報セキュリティ EXPO の会場で聞いた、 SHIFT SECURITY が「診断作業を標準化したサービスを提供すること」「標準化によって人材の問題を解消し」「たとえ繁忙期でも絶対に断らないサービスを目指している」という言葉が、ずっと残っていた。

　濱本はこれを機会に SHIFT SECURITY と取引を開始した。しかし、同社が掲げる「標準化」という言葉を、最初から額面通りに信じてなどいなかったことは言うまでもない。

　ほどなくして、診断結果の報告書が届いた。

　「思いのほか、日頃から自分がセキュリティ診断に対して不満に思っているところが潰されていた（濱本）」

　濱本は、セキュリティ診断の手法には「アーティスト型」と「愚直なＳＥ型」のふたつあると考えている。それぞれ長所と短所が存在する。

　「アーティスト型」は、いわば「天才ハッカー型」とでも言い替えることができるだろうか。

　「愚直なＳＥ型」は、マニュアルに沿って業務を進め、網羅性高く、全体をカバーしてくれる安心感がある診断手法だ。深さはなくても、まんべんなく範囲が広い点が安心できる。

　ひとたびアーティスト型がはまりさえすれば最強の力を発揮する。これまで脆弱性が見つかっていないような領域や、過去誰も発見していない脆弱性を見つけることができる診断士はアーティスト型以外にいない。アーティスト型診断士こそナンバーワンにしてオンリーワンだ。

　「最大リスク回避という意味でアーティスト型は優れている。私自身、最も信頼するのはアーティスト型診断（濱本）」

　一方でアーティスト型は、気分が乗らないとダメといった、属人的な問題が存在する他、濱本の言う「文系チェック」にめっぽう弱いという。「文系チェック」とは、脆弱性を発見したあとの重要な事務仕事である、報告書に記載された誤字脱字やちょっとしたヒューマンエラーのことだ。

　たとえば「令和」ではなく「平成」になったままだったり、年月日を間違っていたり、ＩＰアドレスの数字をタイピングミスしていたり…。エネルギア・コミュニケーションズが、決して多くはない限られた予算で依頼していることを承知している濱本は、報告書が届いた後にこれらの「文系チェック」に少なくない時間をとられるという。

　また、毎年思いもよらなかった脆弱性を見つけてはくれるのだが、昨年は報告が無かった脆弱性が今年の報告書には載っていたりするのも、アーティスト型の欠点のひとつだという。開発仕様上、昨年も報告されていなければおかしいはずなのだ。

　それに、アーティスト型診断士はそれぞれが得意分野を持っている。その得意分野を離れたところにセキュリティホールがあったとしたら、抜ける可能性がある。

　先の通り、濱本が一番信頼するのはアーティスト型だが、以上のように抜け漏れの懸念は払拭できない。しかし、得意分野を網羅的に持つようなスーパーアーティスト診断士は存在しないし、アーティスト型診断士が 5 人も 10 人も在籍する診断会社も存在しない。これらが、長い間濱本が診断会社を選ぶ際の不満であり課題感であった。

　これまで、日本中の診断会社が提出してきたレポートの校正校閲を数限りなく行ってきた濱本は、 SHIFT SECURITY のレポートの一頭地を抜く高品質さに好感を持った。しかも何度発注してもその品質が変わることがない。まるで充分に品質管理された工場のラインから上がってくる工業製品のようだ。

　レポートの内容も同様であった。 SHIFT SECURITY は、セキュリティ診断業務の発注を受けると、診断に取りかかる前に、何を対象にどういう診断を実施するか数百項目のリストをまずクライアントに提出する。終了後、それぞれの診断項目に関してどのような結果が得られたかのレポートが提出される。

　「日頃から自分がセキュリティ診断に対して不満に思っているところが潰されていた」と濱本が感じた理由のひとつだ。

　診断は通常、テスト内容の詳細は可視化されていないことがほとんどであり、脆弱性が見つからなかった場合、レポートが白紙で提出されることも多い。

　「白紙のレポートを出してきて『 8 時間診断やりました。リモートで』と言われても、果たして本当にやってるのかと思うことがあります。実は、それはフロントである自分たちがお客様に面と向かって言われることでもある（濱本）」

　濱本にとって、何をどれだけやるのかを事前に示し、事後にその項目毎の結果を残さず記載した SHIFT SECURITY の報告書は、顧客に対していざというときにそれを出せるという点で、非常に安心感が強いという。

--

　 SHIFT SECURITY を創業した松野真一は、濱本が感じてきた不満を、サービス提供側として忸怩たる思いで抱えつづけてきた。松野は、セキュリティの教育研修と情報提供事業を中心に展開し、一時は事業清算の瀬戸際にまで追い込まれていた株式会社サイバーディフェンス研究所（ CDI ）で、新たにセキュリティ診断事業を立ち上げ、同社を V 字回復させた中心メンバーの一人。