発言の主は杉浦 隆幸 氏。Winny の暗号解読に最初に成功したことで名を馳せた技術者で、起業した会社を経営者として育てた後、現在は一般社団法人日本ハッカー協会の理事として技術者支援にあたっており、その一環として職業紹介サービスも行っている。
職業紹介は、入社させて終わりではなく、ありえないほど丁寧にアフターケアを行うため、セキュリティ企業に入社した「後」の情報がたくさん入ってくる。条件はいいが技術者としては必ずしも恵まれた環境ではないなど、さまざまな企業があるという話をひとしきり聞いた後で「では杉浦さんがいいと思う会社はどこですか」と質問したときに返ってきたのが冒頭の言葉だった。すでに取材は終了しており、それ以上の話を聞くことができなかったが、この言葉がずっと引っかかっていた。
株式会社ブロードバンドセキュリティ( BBSec )は 2000 年創業、脆弱性診断サービスを柱に事業展開し、診断社数や件数などの実績では、まちがいなく日本で上位数社に入る会社だ。多数の技術者を擁し、CISSP や QSA など有資格者の数も多い。2018 年には東京証券取引所に上場。しかし、ブロードバンドセキュリティがどんな会社なのか、これまでよく知られてきたとは言いがたい。
いわば「知られざる強豪」だったこのブロードバンドセキュリティが本年 8 月に、セキュリティに関する調査を実施した。彼らがテーマに選んだのは、パッチマネージメントや脆弱性の検知など脆弱性管理全般だ。
パッチ適用は「セキュリティの一丁目一番地」とも呼ばれる基礎の基礎。いわば、情報セキュリティにおける手洗い・うがい・マスク着用に相当する。しかし、誰しも興味があるこのテーマで、わざわざ手間をかけて調査を行い公開した例は、これまでほとんどなかった。
今回は、本調査を実施した株式会社ブロードバンドセキュリティの 3 名の人物に話を聞きながら、調査結果のハイライトと、そこから得られた新しい知見について紹介する。そして、あわよくば冒頭の杉浦氏の言葉の意味を探ってみようと思う。
●調査概要
本調査は、勤務先の組織で「脆弱性管理」「パッチ管理」に携わるビジネスパーソンを対象として、2020 年 8 月 6 日から 13 日まで、アンケートモニターを利用したインターネット調査を実施し、507 名の有効回答を得た。
主な質問項目は、「情報システム部門の人数」「年間の情報セキュリティ対策予算」「オンプレミスとクラウドの比率」「 CSIRT の有無」「脆弱性診断・ペンテスト・コード診断の利用経験」など。
パッチマネージメントに関する質問としては、「未適用のパッチ有無」「未適用の原因」「パッチ情報公開から入手までの時間」「パッチ情報入手から適用までの時間」「パッチ適用の優先順位基準」「脆弱性管理の成功体験と失敗体験(自由記述)」「あなたの思い出の脆弱性(自由記述)」などを尋ねた。
●パッチ未適用の原因は棚卸し不足とテスト環境の未整備、昔からある現場の課題
最初に話を聞いたのは、折原 義一 氏、株式会社ブロードバンドセキュリティ セキュリティサービス本部 診断サービス部でネットワーク自動診断サービスの責任者を務める。
大学の卒業論文こそ検疫システムをテーマにした折原氏だが、興味の対象はずっと ITインフラであり続けた。ブロードバンドセキュリティには、定期的に自動で診断をかけるサービス「Cracker Probing-Eyes」などの運営や、インフラ周りの管理を行うために入社した。
折原氏は、新卒で入社した企業で 4 年間、情報システム部門に所属し、サーバ 50 台、仮想マシン 300 台からなるインフラ管理を行っていた経験を持つ。今回のアンケートの回答側だったかもしれない人だ。Windows サーバがメインだったため、月一回の夜間メンテでパッチ適用を実施した。毎月一回の恒例行事として夕方出勤の朝方帰りの夜間作業を思い出す。
そんな折原氏が、今回の調査結果で目を止めたのは「未適用パッチの有無」の項目である。アンケートで「ソフトウェアや Web アプリケーション等に未適用のパッチはあるか」という質問に対して、61.1%が未適用のパッチがあると回答していた。
未適用パッチが存在する理由としては、「資産管理がなされていない( 38.1 %)」「テスト環境がない( 30.6%)」「人手不足( 29.4%)」などの他に、「経営の理解が得られない( 20.3%)」「運用サイドの協力が得られない( 19.0%)」などが挙がった。
テスト環境を作れないのは予算やリソースがないから、その大元の原因は「経営の理解が得られない」点にあると分析した。以前から運用として頭を悩ませる課題であるという。
もうひとつ関心を持ったのが、9 割がクラウドサービスを利用しているという回答が得られたことだ。クラウドサービスを利用することで、インフラ部分のパッチは AWS などのサービス提供側が管理するようになり、かつて行っていた夜間メンテナンスなどの手間は確実に減っていく。折原氏は仮想化基盤の進歩がもたらす影響に期待を持つ。
●高い管理水準 ~ パッチ情報の入手も適用も半数が 72 時間以内、4 割が Shodan を活用
もう一人は、株式会社ブロードバンドセキュリティ セキュリティサービス本部 診断サービス部 副部長の高橋 久司 氏。
高橋氏は、プログラマー、SE を経て、開発ではなくテストに関心を持ちテスターの道に進む。やがて、テスターと共通点のある業務として脆弱性診断に興味を持ち、ブロードバンドセキュリティで診断のキャリアをスタートさせた。現在は診断部門の副部長として、診断前の各種調整や、診断後の報告会実施やフォローなど、同社のこれまでの 5,330 組織、31,600 システムの診断実績を支える一翼を担ってきた。
「情報セキュリティは物理セキュリティと違って命が無くなることはないが、サイバー攻撃は信用やお金が無くなる。それを守ることが仕事(高橋氏)」
高橋氏が驚いたのは、回答にある脆弱性管理の水準の高さだった。たとえば、パッチ情報の入手や適用のスピードに関する質問では、パッチ情報が公開されてから入手するまでの平均時間は半数以上が 72 時間以内と回答。そして同じく半数以上が、パッチ情報入手から 72 時間以内にパッチを適用している。また、自社の資産の脆弱性が外部からどう見えているかの確認方法として、インターネット上に公開されているシステムを検索するサービス Shodan を活用する管理者が約 4 割存在している。
ひとつ高橋氏が気になったのは、脆弱性診断の利用経験が 8 割近いにも関わらず、フリーコメントである「思い出の脆弱性」の設問の自由記述の回答が脆弱性診断の思い出があまり見当たらなかったことだ。「 8 割もあるのにねえ」少し寂しそうだった高橋氏の顔が忘れられない。
●兼務情シスも一人情シスも、志の高さは変わらない
株式会社ブロードバンドセキュリティ セキュリティサービス本部 セキュリティ情報サービス部 部長の田澤 千絵 氏が三人目の人物だ。
ブロードバンドセキュリティの診断レポートは、検知した脆弱性を記載し、解説とリスクスコアをつけて終わりではない。たとえば同じ CSRF の脆弱性でも、どんなシステムなのか、扱う情報、ログインの有無等でリスクは異なる。クライアントのビジネスやネットワーク環境などさまざまな要因を考慮しリスクの軽重の判断を行い、個社毎の報告書を作成するのは田澤氏の仕事のひとつだ。
田澤氏は、高校大学とアメリカで学んだ。帰国後に、たまたま翻訳の手伝いをしたのが外資系セキュリティ企業だった縁で、業界のキャリアをスタートさせた。田澤氏にとって今回の調査は、顧客の一次情報を数字で把握することができるまたとない機会だった。
今回の調査は、田澤氏を含む二名のアナリストによる分析が行われ、レポートにまとめられた。二人がピックアップした重要なファクトのひとつに、パッチ情報の入手や適用までの時間が、情報システム部門の人数によって差がないことがある。
パッチ情報の入手から適用までの時間を、情報システム部門の人数規模で比較したデータによれば、最も速い「入手から適用まで 24 時間以内」と回答した比率は、情報システム部門が 1 名の場合 36.4 %、情報システム部門が 51 名の場合 38.2 %と、その差 2 %未満という、ほぼ変わらない数値を示した。
レポートではこれを「人手不足、他部門の理解や協力が得られない、検証環境が十分に確保できない等、パッチ適用に様々なハードルがある中で、現場担当者の意識は高いことが伺える。兼務の場合でもパッチ適用までの時間が専任のいる組織とそれほど変わらないことが、それを示している」とまとめた。
数字に基づいて血の通った現場担当者の実像を浮かび上がらせたこの項目は、この調査レポートの白眉のひとつだ。
●適材適所による多様性を活かしたチーム戦
調査レポートのハイライトはある程度紹介できたと思うが、最後に 3 名の取材から見えてきたことを記そう。冒頭の杉浦氏の言葉の意味である。
キーワードは、ブロードバンドセキュリティの、セキュリティ診断サービスのクオリティに対する考え方ではないだろうか。セキュリティ診断サービスの品質と言われて、多くの場合第一に思い浮かぶのは、診断員の経験や勘、実績などの技術水準だが、それが成り立つためには、折原氏のインフラ管理のようなサービスの安定稼働が大前提であり、顧客を向いた高橋氏のような責任者の存在が不可欠だ。そして、脆弱性が見つかった後は、その脆弱性の一般的リスク度合よりも、自社のビジネスにとって重いのか軽いのかが、ユーザーが最も知りたいことだ。
サービスクオリティをいくつもの要素から定義し、チームでそれを達成する。そもそもセキュリティとはチーム戦である。それが、人が活躍する場の多様性を生む。
●調査結果を考えるオンラインセミナー開催
杉浦氏が語った言葉の真意にどこまで迫れたかは自信がないが、10月28日 水曜日と10月30日 金曜日に、今回の調査結果をつまびらかにするオンラインセミナーがふたつ開催される。
ひとつは田澤氏による調査報告の解説「500人に聞きました『あなたの会社の脆弱性管理・パッチ管理は大丈夫ですか?』」、
そしてもうひとつは杉浦氏と株式会社ブロードバンドセキュリティ セキュリティサービス本部 本部長 齊藤 義人 氏との対談だ。
また、10月28日 水曜日には、調査結果をもとにしたセキュリティアナリストによる分析レポート「脆弱性管理に関するアンケート インターネット調査レポート」が同社サイトで公開予定である。
興味深い脆弱性管理の調査結果とともに「それはブロードバンドセキュリティですね」という言葉の真意を是非たしかめて欲しい。
