24 年目むかえたタイガーチームサービス、GSX が夢見る「脆弱性診断内製化支援全国展開」の野望

　新たなサービスやシステムを迅速にリリースしていくことが企業競争力の源泉となっている。一方で、こうしたサービスやシステムを標的としたサイバー攻撃の脅威は高まり、これまでソフトウェアやシステムのリリース前と、年数回行われるのが当たり前だった脆弱性診断も変化しつつある。

　不正アクセス禁止法施行からさかのぼること 3 年前の 1997 年、「タイガーチームサービス」という脆弱性診断サービスをスタートしたのがグローバルセキュリティエキスパート（GSX）株式会社だ。果たして GSX は、脆弱性診断の需要が高まるなか、どんな新しい価値を提供しようと考えているのか、同社営業本部第一営業部部長の高橋広志氏と、コンサルティング事業本部副本部長の和田武春氏に話を聞いた。

●「決して見捨てない」GSX の診断サービス企業としての矜持

　「セキュリティ教育カンパニー」を標榜する GSX の原点は脆弱性診断サービスにあった。

　前身の株式会社ギャブコンサルティングにて「タイガーチームサービス」を開始したのが 1997 年 10 月だ。当時は、日本にわずか 3 社程度しかセキュリティ診断サービスを提供するベンダーがなかった。その意味で、日本市場にまかれた「3 粒の種」といえるだろう。

　タイガーチーム（Tiger Team）というのはもともと軍事用語だったと高橋氏は話す。「米海軍の特殊部隊を表す軍事用語で、アメリカではハッカーと同様の手口を用いてネットワークシステムの欠陥を調査する専門家チームを表している」という。

　同社のタイガーチームサービスは、企業や組織のネットワークのどこにセキュリティホールがあるかを攻撃者視点で探し、その穴をつかれるとどんな影響があるかテストする。具体的には、Web アプリケーションや Web システム、顧客データ等が格納されている Web サーバーに GSX のセキュリティエンジニアが擬似攻撃を実施し、対策方法を含めてレポートするサービスとなる。

　サービス開始から今年で 24 年間。のべ 2,500 件以上の実績を有し、近年は年間 300 件の診断案件を手がける。平均すると毎日 1 件以上の納品がある計算になるが、それを 20 名弱の GSX のスタッフと後述するチームが担当する。

　診断の内訳は Web アプリケーションとプラットフォーム診断が 7 割、残り 3 割をスマホやペネトレーションテストやアドバイザリーサービスが占める。高橋氏によると、「サービス開始当初は金融や重要インフラ企業などが主要な顧客だったが、近年、診断サービスのユーザーの裾野は広がっており、対象も公開サーバーだけではなく IoT デバイス診断など多岐にわたっている」という。

　またここ 2、3 年の傾向として、診断の繁忙期も「以前のような期末に集中するのでなく一年中が繁忙期といえる状態」（高橋氏）だという。期末以外も超多忙、期末になると激多忙、という訳だ。

　その背景にあるのは、脆弱性診断のシフトレフトだ。金融機関や官公庁のシステム調達要件として「第三者の脆弱性診断を受け、報告書を添える」が明記されることも増えてきており、「サービスやシステムのリリース前にセキュリティ診断を実施することはもはや常識で、脆弱性がなくならなければサービスがリリースできない企業もある状況だ」と高橋氏は述べる

　脆弱性診断サービスの最大の課題のひとつが、需要増に業界が対応できないことだ。このため、中小企業の多くは、診断を依頼したくてもセキュリティベンダーが相手にしてくれず、インシデント対応を依頼しても断られる企業が出ている状況だ。

　GSX 代表取締役社長の青柳史郎氏は、そうした「中小企業が見捨てられている状況」に対する怒りが「セキュリティ教育カンパニー」に GSX を転換した動機のひとつだったと 2019 年の弊誌インタビューで述べている。セキュリティ企業に頼らずとも、教育によってユーザー企業自身が自衛する手段を与える。

　GSX では、こうした市場の課題に対するもうひとつの取り組みとして、セキュリティに携わる人材を対象にした「セキュリスト（SecuriST）認定資格制度」を 2020 年秋に発表し、トレーニングを開講した。セキュリストの第一弾となる「認定脆弱性診断士」は、Web アプリケーション診断を行う「認定 Web アプリケーション脆弱性診断士」と、プラットフォーム診断を行う「認定ネットワーク脆弱性診断士」の 2 つの資格、および公式トレーニングコースで構成される。

　あわせて、これは公式にはアナウンスされていないことだが、一社も見捨てない診断サービス事業のために GSX は、同業種との連携を進めている。これは、技術水準の高さを互いに認め合う 7 社の、本来競合であるはずの他の診断会社と連携し、最大 100 名規模の診断バーチャルチームを組織化した試みだ。ピーク需要期にあわせて採用を行うことは事業リスクがあるため、お互いの人員を合わせて業界全体が助けあう仕組で、約 2 年かけて 2020 年下期に整備した。

　決して見捨てない──、これは GSX の診断サービス企業としてのプライドである。そして、GSX の次なる一手は、新規サービスとしての「脆弱性診断サービスの内製化支援」だ。

●「地域活性化のDX」にも通じる診断サービスの内製化支援

　GSX は現在、日本ペイメント・テクノロジー株式会社と提携し、沖縄にニアショア診断の拠点を設立した。その中で診断員を育成するナレッジを元に、GSX が提供する診断ツール「Vex」の使い方の講義と手動診断のカリキュラムを開講し、GSX の診断ノウハウを提供する取り組みを進めている。また、株式会社セキュアイノベーションと資本業務提携し、脆弱性診断事業に関する連携を沖縄でも拡大している。なお Vex は、株式会社ユービーセキュアが開発し提供する、数少ない国産脆弱性診断ツールである。

　診断士は現地で募集し採用する。和田氏によれば、「アプリケーション開発経験がある、あるいはネットワークやオラクル DB に知見のあるエンジニアを採用し教育訓練を行い、9 人の診断員が既に活躍を開始した」そうだ。

　この取り組みは、単に「GSX 一社が、ニアショアで診断員確保した。よかったよかった（自分だけよかった）」という話ではない。

和田氏は、沖縄で培ったノウハウをカリキュラム化し、日本国内の別の地域や組織などに展開し、やがて日本中の企業に内製化支援を行う野望を描く。

　「Vex は手動による脆弱性診断を省力化するためのツールです。ツールの性能を最大限使いこなすには手動の診断スキルが必要です。そこで、タイガーチームが行ってきた手動の診断手法を身につけることが大事だと考え、それをパッケージして教育カリキュラムにする取り組みを進めています（和田氏）」。
　カリキュラム化した診断支援の展開先は、地元の SIer や地方の IT 企業などが最初のターゲットとなる。そして将来的には「地域の雇用確保の一環として自治体の協力を得、特定の地域をたとえば“診断員の町”にするなど、さまざまな展開の可能性もある」という。

　「デメリットがメリットになる（和田氏）」

それもそのはず、「人材不足」「高単価」という、脆弱性診断サービスが抱えてきたデメリットも、裏を返せば、自社や地域で脆弱性診断員を育成し内製化するメリットになる。
たとえいまは雇用が少ない地方だとしても、GSX のカリキュラムを導入すれば、高単価の IT セキュリティ人材を育成し地域おこしをすることができる。それこそ「地域活性化の DX」と呼ぶに相応しい。

　和田氏によると「すでに都内だけでなく、西日本などでこの取り組みがはじまっている」という。教育カリキュラムは「座学」と「OJT」で構成される。GSX の 24 年間にわたる脆弱性診断ノウハウが診断項目に落とし込まれており、教育カリキュラムではこの診断項目すべてが惜しみなく公開される。

　最も大事なノウハウをオープンソース化することは「敵に塩を送る」行為ともいえる。GSX よりも技術水準の低い競合他社が、この教育カリキュラムを学ぶことによって短期的に力をつけ、市場におけるシェアをとられる可能性もある。

　しかし、敵に塩を送ってでも社会全体のセキュリティ向上をめざすのが創業以来の GSX の理念であり、その決意は確固としている。敵味方関係なくみんなに塩を送るのがセキュリティ事業というものなのかもしれない。

　現在は講師がハンズオン形式で教育を行っているが、今後は、e ラーニングなど、リモートでの取り組みも行い、セキュリティ教育カンパニーとして、安価にあまねく提供していけるスタイルにしていくことが最も重要だと和田氏は述べた。

●シフトレフトの現実解「設計書レビュー」

　「脆弱性診断サービスの内製化支援」に続く GSX の新規サービスに「診断書レビュー」がある。これは、設計書の段階でセキュリティ思想がどう実装されているかレビューするもので、サービス概要や画面遷移図、イベントやリクエストボタンなどの個々の設計図など、設計段階の様々なドキュメントをレビューし、「計画や企画の段階で、将来リスクや脆弱性を作り込まないよう設計書の再考を行う」ものだ。

　脆弱性診断は、開発工程の中で徐々にシフトレフト化（工程の前段階にさかのぼること）し、上述した DevSecOps やセキュアデベロップメントライフサイクル（SDLC）といった開発運用手法が浸透しつつある。

　セキュリティ対策の効果は、上流工程であるほど効果が大きく、費用対効果も高い。実際にこのサービスのボリュームゾーンの価格帯は 100 万円前後、ケースによっては 50 万円ぐらいということもあるそうだ。開発中のシステムが、将来リリース後に大規模情報漏えいインシデントを起こしたとしたら──、そう考えると並外れてコストパフォーマンスの高い対策だといえるだろう。これ以上「左（前工程）」に行きようがない、究極のシフトレフトである。

　取材に先立って「診断事業について取材して欲しい」といわれた時、記者はいまさら枯れたサービスである診断領域に新しい事業など展開できるのかと少なからず疑問を持った。しかし、その予想はいい意味で裏切られたと思う。

　たとえ脆弱性診断という、それ自体はありふれたサービスでも、新たな視点によってこんな新しいビジネスアイデアとサービスが成立するのかと驚いた。

　こうした新しいアイデアを生むのは、閉塞した現状をあきらめない怒りと、敵味方無差別に塩を送りつづけるセキュリティ企業 GSX の志にあるといえよう。24 年前に日本市場にまかれた「種」がまた新たな花を咲かせようとしている。