トニー・スターク
ウェイン・エンタープライズ社 オーナー
ブルース・ウェイン
アイアンマンもバットマンも本業はれっきとしたビジネスマンだ。それぞれ優良な大企業を経営し、そのトップとして本業に取り組む傍らで、日夜世界平和のために戦う。
スパイダーマンことピーター・パーカーも本業は学生だ。
本業ではなく副業として正義を行う。これは世界をよくするための活動に関わるひとつの形かもしれない。
副業として自分の経験と力を貸すことで、全国各地のセキュリティに困ったさまざまな企業の困りごとを解決する。そんなサービスが3月12日サービスインした。
サービス名称は「vCISO」。
仮想CISO( virtual CISO )の意で、略称で「バーチャル シーアイエスオー」と呼称する。
サービスを開始したのは、「サイバーセキュリティ教育カンパニー」を謳い、ホワイトハッカーによる脆弱性診断、セキュリティコンサルティング、メール訓練、インシデント緊急対応などを通じてユーザー企業のセキュリティ管理体制の自立を支援するグローバルセキュリティエキスパート株式会社(GSX)だ。
昨年弊誌インタビューに応え、事業にかける志を語った青柳史郎GSX社長と、初期メンバーとしてvCISOに専門家登録した株式会社トライコーダ 代表取締役社長 兼 本誌編集長 上野宣。この両名に、vCISOの登録・利用方法、サービス体系、そしてvCISOの可能性について話を聞いた。(聞き手:ScanNetSecurity編集部)
●全国各地の中堅・中小企業が対象ユーザー
青柳氏:上野さん、今回はvCISO登録ありがとうございます。
上野:話を聞いて面白いなと思ったので「いいっすよ。やりますよ」と登録しました。
――まず最初に「vCISO」のサービス立ち上げの経緯を教えて下さい。
青柳氏:元々GSXの生い立ちは、昭和監査法人から枝分かれしたビジネスブレイン太田昭和で、セキュリティ専門部隊として20年前に設立されました。13年間は他社と同じように、セキュリティにお金を出せるいわば大手企業を相手にしたビジネスをしていました。5~6年前から、中堅企業様をターゲットにセキュリティサービスを提供していくという大きい方針転換を行いました。2年前からは「サイバーセキュリティ教育カンパニー」として、これも中堅企業様を対象に、「教育」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に努めています。
中堅・中小企業様が相手のサービスですから、東京だけに限定していても、ということで、大阪と名古屋に西日本支社を作りました。すると、西日本支社を置いて「多種多様なセキュリティのサービスを提供します」と宣言した途端に、緊急対応の依頼がものすごく増えたのんです。それも単純な情報漏えい発生のようなインシデントではなくて、「感染して基幹サーバーまで行って業務が止まってしまった。なんとか助けてほしい」という切実な依頼ばかりでした。東京中心のセキュリティ企業が、いかにたくさんの全国の企業を見ていなかったんだろうと思いました。
近年サプライチェーンリスク管理で、中堅・中小様も国のガイドラインに則らなければいけない。取引先の会社からセキュリティ監査が入ることもありますし、ひと月もシステムが止まったりしたら事業継続に関わります。それらがトリガーとなって中堅・中小様のセキュリティ対策の需要は高まっているのに東京の大手はどこも相手にできないし、しないのです。例えば中堅・中小様が頼もうとすると、到底依頼できないような金額の見積を意図して出すのが、まかり通っています。そういう世の中になってしまっている。
頼める会社もないし、専門家へのリレーションもないから、どこをどう探していいのか分からない。結局リスクがずっと放置されているのが現状です。全国にそういう会社様がたくさんある中で、GSXの力だけでそれを全部カバーしていくことは難しい。
そこで、セキュリティの専門家が足りていないという現状を考えて、日本全国の中堅・中小企業様と、日本全国にいらっしゃるセキュリティがわかる人とのマッチングサービス「vCISO」を作りました。vCISOは「セキュリティの専門家が置けない会社様」と「セキュリティのスペシャリスト」をつなぐマッチングサイトです。
●目的に応じ、セキュリティの課題を持つ企業へ専門家・サービスを提供
――vCISOを利用して、どうCISOを探せばいいのですか?
青柳氏:vCISOにユーザー企業として登録し、依頼したい内容、訪問希望日時を登録することで、条件に合致したCISOを検索し、自ら選定したり、または事務局から候補を選定してもらうことができます。GSXは中堅企業様をメインでずっとビジネスを行ってきたので、中堅・中小様のセキュリティのあり方や作り方のノウハウがあります。松竹梅のように、専門家の方の経験や実績、スキルによって大きく3パターンのサービスを提供します。
1つめは、いわば上野さんや、セキュリティのカンファレンスでキーノートで登壇したり、セキュリティ企業でエヴァンジェリストをお務めのような、いわば「スーパーCISO」。たとえればアイアンマンやバットマンのようなイメージです。
2つめは、弊社で提供する EC - Council 公式トレーニングコースであるCEH( Certified Ethical Hacker )やCISSP、情報処理安全確保支援士、あるいはセキュリティコンサルティングの実務経験を持つレギュラークラスのCISO。これは言うなればスパイダーマンでしょうか。
最後が、Webを通じて質問を投げて解決するまで回答をもらう、Q&Aサービスです。
料金もこの3パターン毎になります。
vCISOでアカウント発行して検索すれば、専門家の方ごとに実績やプロフィールを見ることができます。専門家のスキルは、経済産業省が策定したITスキル標準(ITSS)に基づいて分けられています。インシデント対応が得意な人もいれば、データリカバリが得意な人、マルウェア感染の範囲や原因を調査したり、マネジメントコンサルの経験が深い人もいる。たとえば上野さんだったら、ペネトレーションテストやレッドチームなど、システムに入っていくスキルが長けていると思います。依頼したい専門家を見つけたら、ゴルフのレッスン予約のように上野さんに依頼をすることができます。
上野:たとえば僕みたいな人間だと、月に一回何時間か来て話をお聞きすれば、必要な相談が済むこともあると思います。一方で、一定期間常駐してほしいような場合は、レギュラークラスの方にお願いするなど、vCISOはサービスに段階があるのがいいと思います。僕はいろんな方から「いい人いませんか」「紹介いただけませんか」という相談をされるんですが、これからはvCISOの利用を薦めようと思います。
青柳氏:本当に困っている時に一回でも上野さんが来てくれたら、半日もあれば、ある程度状況は把握できるのではないでしょうか。
――地方だけでなく都内の企業も利用できますか。
青柳氏:もちろんできます。最初はその方が多くなると思っています。
●セキュリティ企業勤務の副業や、子育て中、リタイア専門家の登録を想定
――スタート時点で30名の専門家の登録がありました。専門家側に登録料や年会費のようなものはありますか。
青柳氏:ありません。
上野:だから気軽に登録できますよね。
――今後、GSXの教育研修終了者や資格取得者の方が、これからvCISOに続々と専門家として登録していくというイメージですね。
青柳氏:そうです。GSXはサイバーセキュリティ教育カンパニーですので、人材の供給源となることができます。また資格は、GSXが提供している EC - Council 公式トレーニングにこだわるものではまったくなくて、実務経験を積んだ安全確保支援士の方でも構わないし、CISSPとかGIAC(Global Information Assurance Certification)のホルダーも大歓迎です。また、資格ホルダーであることすら必須ではなく、充分な実地経験さえあれば構わないと思っています。
――法的な契約形態はどうなるのですか。
青柳氏:専門家の方とGSX間、そしてGSXとユーザー企業様との間で契約を結び、GSXが事務局として間を取り持って、ユーザー企業様から受託した業務を専門家の方に委託する形になります。
――ScanNetSecurity を運営する株式会社イードのグループ会社に、国内でもかなり初期に副業OKという就業規則を決めた面白い会社があります。また近年のリクルートやDeNA、LINEの副業解禁は話題になりました。セキュリティ業界はどうなのでしょうか。
青柳氏:vCISOの準備をはじめてわかったのは、副業OKの会社様が結構あることでした。しかし、副業したいけれども、簡単に仕事が見つかるわけじゃない。そういう方は、vCISOに登録して、問い合わせが来た場合には、本業を有給で休んで受ける、そんな利用ケースが広がっていけばいいと思います。
上野:副業したい人は、どうやって仕事を取ったらいいかで、だいたい悩んでますね。一番大事ですからね、仕事取ってくるのは。ある会社の方が副業OKになって一度相談されたことがあります。いまならvCISOが使えるんじゃないかと思います。需要もあるし供給もあるし、やりたい人いっぱいいると思います。めんどくさいですからね。営業って。
青柳氏:vCISOの告知を内々で近い知人の中で始めた時に「○○さんが副業やりたがってる」みたいな話が本当に多くて。そんなにみんなOKなんだと驚きました。
上野:営業以外にも経理処理など、めんどくさいところをvCISOがサポートしてくれたら、嬉しいんじゃないですか。やっぱりやりたいのは本業の部分。そういう場ができたのはいいと思いますね。
青柳氏:もうひとつのターゲットが「セキュママ」です。セキュリティをやってたんだけれど、出産とか子育てのために一度引退して、なかなかフルで働けない人がたくさんいらっしゃると思います。リモートやワンショットで働けるなら仕事をしたいけれど、そんな仕事って世の中あまりありません。
それに、アーリーリタイアした、セキュリティを担当していたシニアの方とか。東京でやってたんだけど鹿児島に帰りましたとか。そういう方がたくさんいらっしゃるんです。支援してくれる専門家の方々を全国に幅広く集めて、その方々がいかに働きやすい環境を作るかが成功の要件だと思っています。
また、ユーザー企業の情シス・情報セキュリティを担当する方が「副業したい」と来ることもあると思っています。「いまはユーザー企業の情シスですが社内の人の面倒を見てるだけじゃなくて、社外の人とちゃんと接してます」っていうのは大きい自信になると思います。
●違う仕事に接することが成長の機会に
――vCISOで選ばれて、いきなり声をかけられて、時には火事場に飛び込んでいく。上野編集長が某仮想通貨取引所のセキュリティアドバイザーになった時と似ていますね。
上野:あの時は事件が起きてからでしたからね。そういうきっかけが多いんです。セキュリティアドバイザーの就任は。某仮想通貨取引所のときは、とりあえず誰か必要だったんですが、みんな「やりたくない」と。それで僕に回ってきて「やります」とすぐに返事をしました。
――引き受けた理由は何ですか?
上野:「面白そうだな」と(笑)。
――またそれですか(笑)。
上野:あんな火事場で、しかも仮想通貨のような新しいことに触れられる機会って、なかなかない。なのに「あそこに行ったって、もう何百億円も盗まれているから、これ以上はひどいことしか起きない。やったところでプラマイでマイナスの価値しかないから、やって自分も怪我するよりか、やんない方がいい」って皆に言われました。
青柳氏: ・・・・・・。結局、やって良かったですか?
上野:すごく良かったです。ホントにかけがえのない2年間です。仮想通貨の取引所に携わって他では得られない経験をさせてもらいました。そういう意味では、vCISOに登録して、どんどん声かけられて仕事をすることで、その人自身も成長するかもしれない。お互いそういうメリットがあるんじゃないですかね。やっぱり普段接してる仕事と違う仕事に接するっていうのはどちらも得しかないと思います。
――ビジネスとしてGSXにはどのくらい得があるんですか?
青柳氏:とにかく専門家の登録者様が儲からないと意味がないと思っています。本当はこのvCISOであんまり収益を出そうとは、思ってないんです。登録者の人たちが儲からなければ続かないサービスですから。もちろん赤字は駄目ですが損益分岐点さえ超えていればと思います。それよりも、東京のセキュリティ企業から忘れられて取り残された中堅・中小企業向けのサービスを、それも全国規模でやることは長年のGSXの長年の悲願でもありました。
上野:では僕も儲けさせてもらいますか(笑)。
――せっかくいい話になったところでそういう対談の締めはやめてください。それに上野編集長はもう充分儲けてるでしょう。
上野:(笑)
――否定してくださいよ!
--
終始和やかに進んだ青柳氏と上野との対談だが、青柳氏は「取り残された人たち」という言葉を何度か口にした。
これは、昨年の当誌インタビューで青柳氏が語った「見捨てられた会社」つまり、セキュリティ業界の繁忙期などにセキュリティインシデントが発生し調査等をセキュリティ企業から断られ長期間サービス再開ができず困窮する企業と、同様の意味だろう。それは、これまで多くのセキュリティ企業の手が及ばなかったところ、見て見ぬふりをされていたところである。
「見捨てられた会社」「取り残された人たち」そう語るときの青柳氏の言葉には、怒りや憤りそして悲しみがこもる。自分たちが住む世界がそんな場所であることを許さないという決意が感じられる。
株式会社トライコーダ 代表取締役 上野 宣
株式会社Bridge 代表取締役 薮本 力将
・
・
・
これは、新たにはじまるvCISOに初期メンバーとして登録したメンバーの一部である。錚々たるメンツ30人が集まったという。だが、もしvCISOを開始したのが、青柳氏が率いるグローバルセキュリティエキスパート株式会社でなかったとしたら。そのときは、人数も、集まったメンバーも、まったく違う結果になっていたかもしれない。
ScanNetSecurity 編集長 上野 宣(左)
