株式会社SHIFT SECURITY 松野 真一 代表取締役社長が、同学部 2000 年度卒業生として招聘され、広島県産業界でも注目が高まるサイバーセキュリティ及び技術者の人材育成をテーマに「サイバーセキュリティ最新動向と今、求められるセキュリティ人材確保論」と題し特別講演を行い、同社が取り組んでいるセキュリティ診断技術の標準化プロセスがつまびらかにされた。
開催冒頭で、近畿大学工学部長 旗手 稔 氏、東広島商工会議所 会頭/近畿大学工学部産学官連携推進協力会会長 木原 和由 氏による主催挨拶、中国地域 5 県の経済産業省を代表する機関である中国経済産業局 地域経済産業部長 中内 重則 氏による来賓挨拶が行われた。本稿では、その後に行われた特別講演全文を書き起こし掲載する。
--
まず標準化に関する一般的なご説明を Wikipedia から引用します。
そこでは、
「社会科学や経済学で標準化の考え方は、協調ゲームの解法と近い」
「より良い選択をして、その選択結果を標準として批准する過程である」
と説明されています。
これを情報セキュリティにあてはめ、セキュリティエンジニアの良い選択を厳選して可視化していくアプローチを、我々の事業で「標準化」と呼んでいます。
標準化というアプローチで、今、日本社会が抱えている課題の一部を解決していけるのではないか、標準化のアプローチを各企業が取ることで、たとえ人材不足の中でも、有効なセキュリティ体制を築いていけるのではないかと考えています。
ここで、ある医療ドラマの一コマであったと記憶しているのですが、印象に残った言葉を引用します。
「腕のある医者はこの日本にいったい何人いるのでしょうか」
「そしてその医者が生涯でいったい何人の患者を救えるというのでしょうか」
「より多くの患者さんを救うためには、最新の医療を普及させ、特別な外科医の腕にたよるだけではない、万人のための医療の実現が、何より必要不可欠なのであります」
いまでも頭に焼き付いているセリフです。聞いたとき私は、非常に共感を持ちました。
我々の行っている事業の取り組みに近いと感じたからです。
腕のある医師や、特別な能力を持つ外科医がすべての病人を診察できるなら、それ以上の幸せはないでしょう。
しかし、現実的にそれは不可能であるという認識から発想をスタートさせなければなりません。名医はたくさん存在するわけではないからです。そんな現実の中、より多くの患者さんを救うためには、どうしたらいいのか。
最新の医療を普及させ、名医の「よりよい選択」を厳選し可視化、標準化する。つまり、名医がどういったプロセスで判断し、治療をしていくか、そのノウハウを標準化し、たくさんの他の医師に展開し、共有することで、名医と同等の医療を、よりたくさんの人が受けられるようにする、そういった世界を目指すべきではないかと思います。
「そんなことが本当にできるの?」とお考えになるかもしれません。
医療ではなく、情報セキュリティにおける我々の取り組みをご紹介します。
●ホワイトハッカーの神業を分解・可視化・標準化
まず我々の企業グループ、株式会社SHIFT の創業者がしてきたことをご説明させていただきます。
スライドの左側に「 Meister(マイスター)」と書いてありますが、具体的には、携帯電話の金型を作る職人さんがいらっしゃいました。彼にしかできない、いわゆる「職人技」をお持ちの、極めて卓越した技能者でした。そこで、その職人さんにしかできない、と考えられていた工程や作業を分析することにしました。調査し、細分化と業務分解を徹底的に行いました。
その結果、その職人さんにしかできないのは一部の「判断」の部分だけで、それ以外の部分は実は自動化できたり、単純作業の繰り返しはマニュアルの整備によって、ほかの作業者に代替させることができることが明らかになったのです。
こういった「職人のセンスや長い経験に基づく判断」を要しない「作業」の部分を切り出すことによって、品質を下げずに全体の生産性を上げ、これまでかかっていた 30 分の 1 の時間で、携帯電話の金型を製造することに成功しました。こういったコンサルティングを行っていたメンバーが、我々の企業グループを創業しました。
私たちは情報セキュリティの業務に関しても、同じアプローチが取れると考えました。
これまでセキュリティのテストは、高い技術を持ったホワイトハッカーにしかできない、と言われてきました。私たちはその作業を徹底的に分解しました。可視化されたプロセスは、ソフトウェアによるシステムでデータベース化されていきました。
その結果、携帯電話の金型同様に、ホワイトハッカーにしかできない「判断」の部分と、自動化やマニュアルの整備によってホワイトハッカーではない作業者にも代替できる部分に分けることができたのです。
「徹底的に分解する」というのは、最終的には「 OK 」か「 NG 」か、「マル」か「バツ」かの二択になるまで、徹底的に、もう分けられないところまで、細分化することです。そこまでいってはじめて、特定のエンジニアに依存しない形で、10 人中 10 人が、20 人中 20 人が、まったく同一の判断を、必ずするところまで到達します。
ここまで標準化できれば、たとえ退職者が出ても、部署異動があっても、そのセキュリティの体制は変わらず維持することができます。
弊社のこの事例は、セキュリティのテストに限られるものではございますが、他のさまざまな情報セキュリティの体制においても、この標準化の方法論を用いることが有効であると考えています。
●セキュリティ診断標準化によって初めて可能になったこと
標準化はいくつもの副産物を私たちの事業にもたらしました。
たとえばそれは「属人化の脱却」「テスト内容の透明性」です。
標準化によって、どんな作業担当者がテストを実施してもアウトプットに差は全くなくなりました。また、作業内容が可視化され明文化されたことで、具体的にどういったテストをするかを、テスト実施前に「仕様書」という形でお客様に提供できるようにもなりました。どちらもこれまでのセキュリティテストではできなかったことです。
また、適切な人材配置ができるようになったことは、もっとも重要な、標準化によってもたらされたメリットのひとつです。
●人材活用
標準化が確立されたことで、これまで以上に「人を活かす」事業経営が可能になりました。
個性や長所に合った「適材適所」を図っていくことが可能になったのです。
我が社では、ホワイトハッカーは、「標準化チーム」という組織に所属し、自分たちのノウハウを徹底的に可視化・ドキュメント化しています。同時に彼らは、最新の脅威や技術動向を追いかけ、標準化されたプラットフォームが陳腐化しないように、アップデートを絶えず行っています。
一方、標準化されたプラットフォームを用いてテストを実行するチームは、「頭を貸すチーム」と「手を貸すチーム」のふたつに分かれます。
頭を貸すチームは「どういったテストをしたらいいのか」という仕様と手順を作り、手を貸すチームはその手順通りに、緻密にスピーディーにミスなく実行していきます。
標準化によって工程や作業が可視化され明確になったことではじめて、各自の適性による分業ができるようになりました。
ここでご紹介したい、我々のエンジニアの中の、面白い事例がございます。
前職がパティシエ、洋菓子職人さんで、いまはセキュリティエンジニアとして弊社で活躍していただいている方がいます。本人に一度お聞きしたのですが「ケーキをひとつひとつ組み上げていく工程と、セキュリティのテストでひとつひとつのチェックをこなしていくことはとてもよく似ている」とおっしゃっていました。
彼はエンジニアとしての教育を受けたことは一度もありません。しかし、我々が作った標準化された環境の中で、セキュリティエンジニアとして、しっかりと社会に貢献しています。
これは、我々が企業として誇れる成果のひとつであると考えています。
●本来ホワイトハッカーがやるべき仕事とは
適材適所というところで、ここでひとつ考えていただきたいポイントがございます。
冒頭で申し上げましたように、これまでこういったセキュリティのテストは、ホワイトハッカーによるクリエイティブな活動であり、独自に色々な攻撃のパターンを考えられるような、発想力とセンスを持つ人が対応してきた、と申し上げました。
ただ、よくよく考えていくと、テストの 8 割を占める、受け取ったテストの仕様にしたがって、ひとつひとつのアドレスやパラメータに対して、セキュリティ上問題がないかどうかを、正確性をもって、なおかつスピード感を保ちながら、順番にテストして、記録し伝達していく適性と、本来ホワイトハッカーが持っているクリエイティブな作業、このふたつは、ほぼ真逆であることがわかってきました。
与えられたことではなく、自分の頭で考えたことをやるのが、ホワイトハッカーの本来の適性だと思います。
実は本来適性のない単純反復作業を、クリエイティブなホワイトハッカーに、無理に強いているようなことが実際にセキュリティ業界のあちこちでいまも起こっていると思っています。
●人材採用の仕組み
我々の企業グループでは「CAT 検定」という、テスト実施者の適性を計る検定を、インターネットで行っています。
検索していただきますと、どなたでも受験いただくことができるもので、テストの実行に向いている人材かどうかを判断するものです。
どなたでも受けていただけますが、残念ながら得点を見ることはできません。一つ確かめる方法としては、合格すると採用通知が届くようになっています。
テスト実行者、つまり実際に疑似攻撃をホームページに対して行う人たちに対して、どういった適性を見ているのか。その評価ポイントは「正確性」「スピード」「伝達能力」「テスト適性」「タイピング」など複数の項目を評価しています。さきほどの事例の、ケーキを焼くパティシエさんは、非常に優秀な CAT 検定のスコアを取られていました。
●生産性
このように、標準化されたプラットフォームを用いて、人材の適材適所を進めることで、携帯電話の金型同様の、生産性向上を我々は実現しました。
「標準化」というアプローチによって、必要な人材を充分に確保し、セキュリティテストのサービス水準を高く一定に保ちながら、柔軟に、即時に提供できるようになりました。「クオリティー」「コスト」「デリバリー」のQCDのバランスが取れることで、従来の「ものづくりを遅滞させるセキュリティ」ではなく、ものづくりを加速させるセキュリティを提供することができます。
●属人性の課題を脱却
これまで情報セキュリティ産業は、高度な技術力を誇るホワイトハッカーの存在こそが、その企業のサービスの価値を担うと考えられてきました。
標準化のアプローチによって「その人がいなくなったら、どうしよう」「その人が別の人に変わったら、どうしよう」そういった属人性の課題を、根底から解決することができます。
この新しい取り組みに対して、さまざまな企業様に賛同していただいています。おかげさまで、こういった我々のこの標準化というアプローチに関しまして、若干創業3年目ですが、さまざまな企業様に受け入れていただいています。
●未曾有のエンジニア不足を超えるために
ここで改めて、冒頭の医療系のドラマのセリフを引用させていただきます。
「特別な外科医の腕に頼るだけではない。万人のための医療の実現が何より必要不可欠なのであります」
さきほどのこの言葉の後に実は、もうひとつセリフがありました。
「個人の技術を誇るその道の権威にとっては少々面白くないことでありましょう 」
このこともまた、現実的に受け止めなければいけないと考えています。
すなわち卓越した職人さんにとっては、自分にしかできなかったことが標準化され、仕組み化されて、展開され、誰にでもできるようになってしまうことで、職人さんはご自身が持っていたノウハウが棄損されてしまうのではないかと不安を感じることもあるのではないか、と考えています。
ここで持つべき観点は、自分だけではなく、社会全体が良くなっていかなければ、やはり日本とその産業は発展しないのではないかということです。
その認識が我々の取り組みにつながっています。
セキュリティの業界だけではなく、いま日本には、未曾有のエンジニア不足という現実がございます。これは各企業様も身にしみて感じていらっしゃる部分もあろうかと思っています。こういった現実を、まず受け止めなければいけないと思います。
●特定の優秀な人に頼らないセキュリティ
もはや、特別な人、特定の人に頼ったセキュリティのテストや情報セキュリティの体制は、今後維持していくことができないということは明らかです。
情報セキュリティ産業の標準化に対するパラダイムシフトは、必ず起きる、起こさなければいけないと我々は考えています。
それが日本産業、日本社会にとって、やらなければいけないことだという思いで、我々は企業を営業し、存続させていただいております。
技術至上主義の行き着く先は、特定の「この人にしかできない」という価値です。そういう状況が続いても、日本全体は良くはなりません。それを我々は、標準化のアプローチによって変えていきたいと考えています。
●セキュリティを品質の一部に
最後になりましたが、どういった役割を我々はグローバルに果たしていくのか、私はよく考えます。
言葉を選ばずに申し上げますと、 iPhone や Android など、そういった種類のいわゆる「企画力」「発想力」というものは、やはり欧米に日本人はかなわないのではないかと考えています。
一方で、これまで日本の得意領域だった、ものづくりや開発の拠点は、中国やインド、ベトナムなど、アジア圏にどんどん移っています。
日本人が誇れるところってどこにあるんだろう。
これを我々は「品質」だと思っています。
日本の冠たる企業が、一番世界で評価されているのは、品質の部分です。ものづくりにおいて「品質が高い」「 Made in Japan とは品質のこと」ということが最も評価されている。
日本が最も誇れる、この「品質」の向上に、情報セキュリティの分野で取り組んでいきたいと我々は考えております。
すべてのソフトウェアに Made in Japan の品質を提供し、そしてその Made in Japan の品質の高さに当然含まれるセキュリティを支援する会社として、これから頑張っていきたいと考えています。
ご静聴、誠にありがとうございました。
