脆弱性診断を行うエンジニアの客観的評価は容易ではない。
脆弱性診断やペネトレーションテストを提供する企業の実に多くが、診断に携わる技術者に対し毎夏ラスベガスで開催されるDEF CONなど国内外のCTFイベントへの参加や、JVNへの脆弱性報告、各種バグバウンティへの参加を、黙認または奨励、ときには業務の一部として渡航宿泊費用を負担し積極的に推奨すらしているのは、自社のエンジニアの技術水準を顧客に示す目的があるからだ。それは、診断やペンテストを行う技術者の客観的評価基準が存在しないことの裏返しである。
一方で、優れたCTF戦績やCVE報告件数等で突出する一部の「診断スター企業」に診断依頼が殺到することで、長い場合で半年や一年単位の待ち行列を生むなど、評価の高い診断企業ほど(サービス提供まで待たされるため)評価が低いという異常事態を生んですらいた。半年一年待ちというのはミシュランの名店の話ではない。セキュリティ診断という、事業を進めるために不可欠なサービスについての現実だ。
もうひとつ。CTFやバグバウンティで成果をおさめるキレキレのセンスや能力と、脆弱性診断サービスに求められる網羅性や反復作業の正確性といったセンスや能力は、全てが重なるものでもないという事実もある。要は凄腕バウンティハンターだからといっても、町の駐在さんのこまめな巡回や書類仕事など日々の地味な業務に適性があるとは必ずしも限らないのだ。
こうした状況を根本から変える一手として注目を浴びたのが、2020年9月30日に本誌が報じた脆弱性診断士の認定資格設立のニュースだった。
セキュリティに携わる人材に向け、トレーニングと認定試験で構成される「セキュリスト(SecuriST)認定資格制度」を開始したのは、「サイバーセキュリティ教育カンパニー」を標榜し、ユーザー企業に訓練を施すことで、有資格者を増やして自衛力を高め、余裕がない、ときに誠意もないセキュリティ企業からの、ユーザー企業の独立を積極的に支援する稀有な企業、グローバルセキュリティエキスパート株式会社(GSX)だ。
GSX社長の青柳史郎と、資格のプロデュースと設計に携わった株式会社トライコーダ 代表取締役社長 上野宣、そして、認定脆弱性診断士の試験問題のレビュアーを務める EGセキュアソリューションズ 代表取締役 徳丸浩に、今回のセキュリスト立ち上げの経緯や、第一弾となる「認定脆弱性診断士」について話を聞いた。
●セキュリスト創設に向けた上野の思い
上野は、2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供するとともに、OWASP Japan 代表、JNSA ISOG-J セキュリティオペレーションガイドラインWG(WG1)リーダーなどを務める。また、自身が腕利きの脆弱性診断士でありペネトレーションテスターでもある。
セキュリストの第一弾となる「認定脆弱性診断士」は、Webアプリケーション診断を行う「認定Webアプリケーション脆弱性診断士」と、プラットフォーム診断を行う「認定ネットワーク脆弱性診断士」の2つの資格と公式トレーニングコースで構成される。上野は「これらはISOG-JとOWASP Japanの共同WGで行ったガイドライン作りがベースとなっている」と話す。
「当初は、企業が脆弱性診断を行うベンダー選定のガイドラインを策定することが目的だった」ものの、ガイドライン作りを通じ、いい診断を行うには「企業ではなく、そこで働くテスターの質が大事」だとの思いに至った。そこで上野は、同WGでテスターが備えるスキルを定めたスキルマップと、学習の要項を定めたシラバスを整備した。
上野によると、スキルマップをもとにした国家資格の創設に向けた構想や動きはこれまでも何度かあったが、いずれも実現には至らなかったという。その理由の一つが、資格を運営管理する事務局の工数とコストだ。資格更新手続や、試験問題の作成と定期的アップデート、スケジュール管理や講師のアサイン、受講料や受験料の支払手続や経理事務等々、その作業は広範かつ継続的だ。上野が毎年携わる「WASForum Hardening」などのイベント運営の比ではないと知ったという。
そんな上野がセキュリスト創設に託した思いとはどんなものか。上野は「愚直に取り組めばセキュリティは決して難解な世界ではない。むしろ、自分の車のメンテナンスを日々行うように、ユーザー企業自身が自社サービスの脆弱性診断を内製できたら世の中はよりセキュアになる」と述べる。
そうすれば、セキュリティ企業による脆弱性診断は、車検のように監査的な意味で定期的に行えばよくなる。公的な資格認定制度がそのきっかけになると上野は考えた。上野は当初、民間での資格制度創設は考えていなかったが、民間でも社会で認められる資格は作れると考え、機会を探し続けていた。そんな上野が2020年春に出会ったのが、GSX社長 青柳史郎だった。
●上野の思いに共鳴した青柳の「怒り」とは
2018年GSXの代表取締役に就任した青柳は「第三の創業期」と位置づけ「セキュリティ教育カンパニー」とGSXを再定義した。その根底にあったのは「一部の大企業以外は、セキュリティ企業に相手にもされない」現状に対する怒りだ。中堅、中小企業の多くは、セキュリティインシデントが起きても、セキュリティベンダーが相手にもしてくれない状況がある、と青柳は表情を固くする。
そこで、ユーザー企業自身が自衛組織を作り、教育によって「セキュリティの内製化」を進めたいと青柳は考えた。もちろん青柳の考える教育とは、コンプライアンスや認証の「アリバイ研修」ではなく、受講者に「攻撃者視点」を与える極めてハイエンドなものだ。
GSXが提供するCEH(Certified Ethical Hacker)は、攻撃者/犯罪者視点でのサイバー攻撃の考え方や手法を幅広く体得できるもので、アメリカ国防総省や国家安全保障局(NSA)、連邦捜査局(FBI)職員の採用条件にも課せられる資格だ。
CEHは当初、SIerが自社のエンジニアに付加価値をつけるために受講させるのがほとんどで、青柳が考えるようなユーザー企業の受講者はごく一部だった。しかし、徐々にユーザー企業受講者は増え続け、2019年にはユーザー企業が受講者の半数を突破した。青柳の夢が実を結びはじめた。
内製化を果たしセキュリティ自衛力を獲得した企業が続々と日本に現れることで、現在のGSXの存在意義など10年後には消えてなくなればいい、そんな無頼な一言を青柳はためらいもなく口にする。
一方で青柳は、CEHはアメリカ発であり、日本のビジネス習慣や文化に適合した日本発の資格の必要性も強く感じていた。そんな青写真を描いていた青柳に、2020年春に講演講師として招かれた上野が懇親会で、何年にもわたって温め続けていた脆弱性診断士の資格について打ち明けたことで、青柳と上野が抱いてきた夢の歯車が共に回り始める。
●最後のピース「公平なレビュアー」を担う徳丸
民間資格ながら国家資格と同様に、あるいはそれ以上に信頼される資格成立の条件として上野が考えていた一つの条件が、知識と経験だけでなく公平さと人を育てる志を持つ、資格試験問題の公平なレビュアーの存在だった。
上野はスキルマップをもとに国家資格の運用に関する調査を行った際に、ハンズオンによる実際の診断能力と、筆記試験の結果には明確に相関があり、筆記試験で脆弱性診断士の能力を測ることができる確信を持った。だから脆弱性診断士の資格試験問題のレビュアーはきわめて重要なものとなる。
徳丸浩以上の適任者は世界にいない、そう上野は考えた。
徳丸は京セラコミュニケーションシステム株式会社の脆弱性診断事業を立ち上げたあと2008年に独立、HASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立した。
また、2011年『体系的に学ぶ 安全なWebアプリケーションの作り方』を上梓。同書は「徳丸本」と呼ばれ、脆弱性診断士には、大げさでなく「バイブル」として広く認知された。診断士や DevSecOps に携わる技術者で持ってない人はいないほど売れた超ロングセラーだ。また、2020年には「ウェブ・セキュリティ試験(通称:徳丸試験)」を開始。技術者の能力を測る設問設計のスペシャリストでもある。EGセキュアソリューションズ株式会社はコンサル業務も多く、IPAの「安全なウェブサイトの作り方」の別冊「ウェブ健康診断仕様」にも関わり、企業向けに脆弱性診断士の能力を測る問題作成に携わった経験も持つ。
そんな徳丸が、上野と青柳から持ちかけられた脆弱性診断士の資格の話は、長年の自分が進めてきた仕事にエールを送られたように感じる出来事だった。ユーザー企業は診断会社を選ぶ基準が存在しないから、相見積もりでただ安いだけの企業が次々と受注する。「良質なサービスを提供する企業にとってはたまったものではないし、社会をセキュアにすることにもつながらない」日頃から徳丸はそう考えていた。
これまで、業界には「脆弱性診断の質」を測る物差し、共通言語がなかった。業界全体のスキルが上がるのは、短期的には競合を増やす一方、公平な競争、健全化につながり、ビジネスのメリットにもつながる。また、企業の診断内製化にも貢献すると徳丸は考えた。
公平さと人を育てる優しさが徳丸の真骨頂。彼は「セキュリティ診断を軸にしたOSINT活動」とでも呼ぶべき幅広いネットの情報収集を一貫して行い、某QAサイトでは「セキュリティ業界で働きたい」という質問に対し、実態と世間が抱くイメージの乖離について懇切丁寧に回答を行ったこともある。
本取材後の談話のなかで徳丸は「セキュリストを自社社員が取得できない」と悩んでいた。いわく、自分が問題作りに関わってしまった以上、自社社員は資格取得が永遠にできないと本気で嘆いていたのだ。これも徳丸の公平さを感じさせるエピソードだ。
●すでに約60名の受講者
2020年12月18日、第一回目となる「認定Webアプリケーション脆弱性診断士公式トレーニング」と「認定ネットワーク脆弱性診断士公式トレーニング」が行われ、初回から約60名が受講する盛況となった。来春には第一号資格合格者が多数生まれる。
GSXの公開情報によれば、受講企業には東芝デジタルソリューションズ株式会社、パナソニック株式会社、株式会社日立ソリューションズ・クリエイト、リコーITソリューションズ株式会社、TIS株式会社(50音・アルファベット順)が並ぶ。企業としてのDX推進や、いままで独学だったので改めて学びたいなど、受講目的は企業や人によってさまざまである。
●「みんながテストできる」社会の実現に向けて
認定脆弱性診断士の受講料金は200,000円(税抜)。「トレーニング受講、専用テキスト、演習用環境、認定試験1回分」が含まれる。トレーニングはオンライン(ライブ配信)で提供され、資格は3年間有効で資格更新料は年間8,000円となる。CPEのように、履修単位をクレジットし、最低単位が満たされていない場合は試験を受験する必要がある(試験のみ受ける場合は30,000円)。
セキュリスト創設に、京セラコミュニケーションシステム株式会社、株式会社ブロードバンドセキュリティ、株式会社ラックなど日本の診断受注量の大半を占める会社が多数歓迎の意を表している。
セキュリストのロゴは「万年筆をモチーフにした」とプレスリリースにあるが、どう見ても某SFテレビシリーズのロゴに似ている。「スター○レック」にそっくりではと問うと上野はニヤリと笑うだけだった。
認定資格の存在によって事業としての参入も容易になり、短期間で信用を構築することができる。セキュリストの創設によって脆弱性診断の世界でゲームチェンジが起きるかもしれない。「脆弱性診断士の資格は世界初。調べた限りではペネトレーションテスターの資格はあるが脆弱性診断士の資格は存在しなかった」と上野は語る。
脆弱性診断はペネトレーションテストやバグバウンティと異なり網羅性が重視される。製造業における品質管理で国際的評価を得てきた日本でこそ、脆弱性診断士の資格は作られるべきだったかもしれない。
これまで多くの企業では、サービスやシステムを開発する際の「機能テスト」「性能テスト」「セキュリティテスト」のうち、なぜかセキュリティテストだけ特別なものと考えられ、外部のベンダーに発注されてきた。セキュリスト創設によって「セキュリティが特別ではない日が来る」と上野は述べる。この記事を読んだ読者諸氏の行動により、その日の到来は早めることができる。
(編集部註:本記事では便宜上「脆弱性診断資格を作った三人の男」と記載しましたが、理解を容易にするためにごく少数の人物に焦点を合わせ取り上げただけであり、本当に資格を作ったのは日本セキュリティオペレーション事業者協議会(ISOG-J:Information Security Operation providers Group Japan)とOWASP Japanとの共同ワーキンググループ「脆弱性診断士スキルマッププロジェクト」に携わったメンバー一人一人の無償の貢献と、黎明期から診断業界を支えてきた技術者のたゆまぬ研鑽と、それを支えてきたユーザー企業のセキュリティへの継続した努力です)
株式会社トライコーダ 代表取締役社長 上野宣(左)、
EGセキュアソリューションズ株式会社 代表取締役社長 徳丸浩(右)
