とうとう走り出してしまった、国際的に見てもきわめて珍しい、法人向け無償セキュリティサービス S4 (エスフォー)プロジェクト。斜め上どころではない企画意図の先進性に、本誌読者すらほとんどついていけていないことだろう。
事実、S4 を開発する宮崎県の株式会社クラフの代表取締役社長 藤崎 将嗣(ふじさき まさし)は「藤崎さん、会社、大丈夫なんですか」「そんなに大変なんだったら少ないけど用立てますよ」と心配そうに声をかけられたという。ふところから財布を取り出すために内ポケットに手を伸ばしかねない雰囲気ですらあったそうだ。
株式会社クラフは、完全無料の資産管理ソフトを、2022 年 2 月 22 日から提供開始する。グループ会社の株式会社SHIFT SECURITY とともに開発と運営を行う。
クラフは、セキュリティが単に各企業や産業界の課題ではなく「社会課題」であり、その解決策のひとつとして世に S4 を問う。そんなプロジェクトの目的を明確にするために、クラウドファンディングを行った。そのクラウドファンディングが、宮崎県の一部の人々には「人様にお金を出してくれとお願いするほど藤崎さんは経営に困っている」と思われたらしい。
●その企業だけの責任ではない
藤崎がクラウドファンディングを行ったのは、中小企業のセキュリティ対策の遅れを、大げさでなく、たとえば気候変動や人種や性差別などと同様の「社会課題」として認識していることの意思表明だ。
日本の企業のほぼ 100 %( 99.7 % / 出典:独立行政法人中小企業基盤整備機構)を占める中小企業のうちには、日々の運転資金すらままならない状態の事業すら一定比率存在し、セキュリティへの投資など考え及ぶことすらない。
法人向けセキュリティサービスを完全に無料で提供するという NGO じみた S4 という奇手こそ、たとえ即効性に欠けるとしても、サプライチェーン攻撃のような「弱い鎖が突かれる」系の攻撃に対して有効な対策となりうる可能性を秘めている。
今回編集部は来年 2 月のサービスイン開始に向け着々と開発を進める S4 のソフトウェア開発担当、小田 真司(おだ しんじ)、小林 寛生(こばやし ひろお)の 2 名に取材し、セキュリティ企業が作る資産管理ソフト S4 について、その機能や利活用イメージについて話を聞いた。
● S4 開発体制
S4 の開発チームは 10 名。フロントエンドの開発に 3 名、バックエンド開発に 3 名、要件定義などを行うディレクターが 3 名、最後に広報など渉外担当 1 名(前回取材した西本)。
S4 の想定ユーザーは次の 3 つ。
1 番目の最大のターゲット層は、まともに情シスすらいない大多数の中小企業。会社にどんなパソコンが何台あって、どんなソフトがインストールされているかすら把握されていない、いわば日本の「フツーの中小企業」である。運が良ければ PC に AVAST のような無料アンチウイルスが入っていることもある。
2番目は、情シス部門は存在しても、業務に追われ資産管理や脆弱性管理にまで手が回っていない企業。
最後の 3 番目が、取引先や子会社、全国に散らばった拠点など、サプライチェーンリスクを抱えるような大企業だ。なお S4 は大企業ユーザーに対する無償提供は行わない。
●差別化は登録自動化と脆弱性管理
資産管理ソフトの開発には、飛び抜けて高度なテクノロジーやエンジニアリングが要求されるわけではない。人類を変えるイノベーションが生まれる領域でも(少なくてもこれまでは)なかった。
そのため各社は、使い勝手や連携性能、コンプライアンス対応、従業員監視等々、さまざまな付加機能で差別化を図ってきたわけだが、S4 が挑戦する付加価値は、資産管理でもっとも繁雑な作業である「登録の自動化」そして新しい領域「脆弱性管理」だ。
特に後者の脆弱性管理は、バージョンなどは当然資産管理台帳に記載されるが、そのバージョンがどのような脆弱性と紐づくのかについて、繊細に、しかもリアルタイムで管理できるソフトウェアはまだ多くなかった。
資産管理と脆弱性管理を組み合わせたサービスを S4 は無償で提供し、それによって、日本の中小企業の資産管理とパッチ管理のベストプラクティスを確立することをゴールとするという。
これは、診断会社らしいアプローチであると同時に、適切にパッチ管理をして脆弱性が減れば減るほど、クラフや SHIFT SECURITY の診断需要が減っていくインパクトを持つところが面白い。
志あるセキュリティ企業の経営層や技術者たちが、ほぼ例外なく自分の仕事が世界から消えてなくなる日が来ればいいと、ホントに本気で思っていることは、本誌がこれまで取材したいくつかの例(例 1 ,2 ,3 )が示す通りだが、同様の意図を本プロジェクトにも感じた。
●診断会社がソフト開発しない訳
ところで、クラフのようなセキュリティ診断サービスをメインにする企業が、本格的なソフトウェア開発をしている例は実は意外に少ないことをご存じだろうか。
クリプト便の NRIセキュアのような、よほど自信と覚悟、そして組織と管理体制のあるところを除いては、診断を事業の柱にする会社は、本格的なソフトウェア開発に手を出すことが少ない。ただの偶然なのかもしれないが、一方で、日々仕事でたくさん脆弱性を発見し、ペンテストによる貫通を目の当たりにしていたら、ソフトウェアを自分で作る勇気などなくなってしまうのも想像できることである。
しかも、セキュリティ企業が開発したソフトウェアともなれば、バグハンティングのターゲットとして箔がつく。日本のようなデジタル後進国の政府が作った認知度だけ高いしょうもないソフトの脆弱性を見つけて JVN に報告するよりも、たとえばグローバルで名が通ったセキュリティ企業のソフトの脆弱性を見つけた方が名も上がる。
特に、クラフのグループ会社 SHIFT SECURITY は、セキュリティ診断という、それまで高度な職人的技能と考えられていた業務の標準化を行い、技術教育を受けたことがない人材でも診断業務を実施することができるようにする方法によって人材枯渇の課題を解消し、安定した品質のサービス供給を増やすことでユーザー企業に大いに歓迎もされ、地方に多くの雇用を創出もしたが、同時に、腕に覚えのある職人や老ジェダイのような診断士やペンテスターからは、サンクチュアリを壊したと受け取られ、必ずしも良く思われていなかった。実は「必ずしも良く思われていなかった」とは相当に控えめな表現であり、実態は激しい憎悪の対象となっていたのであり、それを行動で表現できるチャンスが 2022 年 2 月 22 日火曜日に到来することになる。
前回の記事の末尾で予想したが、来年 2 月 22 日に S4 がスタートしたら、ソフトウェアとしての S4 は、名うての脆弱性ハンターたちから、さながら Pwn2Own の課題並みに集中砲火を受ける可能性が高い。そうなれば、このプロジェクトに企画当初からビルトインされている高いトランスペアレンシーによって、喜んでクラフは JVN や IPA、JPCERT/CC に協力するだろう。ここまでいったらもはやコメディ的風味を帯びてくる。そして意識の高い切磋琢磨でもある。クラフと SHIFT SECURITY 自身による報告を除いて、栄えある S4 の第一号脆弱性の JVN への報告者は誰になるのか、本誌はいまから楽しみにしている。
だがもちろんクラフには、座して脆弱性が作り込まれるのを待つつもりなど毛頭ない。
「 Web アプリのセキュリティ診断会社が作る Web アプリ」として S4 は、シフトレフトを徹底、仕様策定段階からセキュリティを考慮し、コードの静的解析を行いつつ、開発過程で随時診断を行う DevSec、そしてサービスイン後は診断を随時行いながら運用とバージョンアップを行う DevSecOps によってプロジェクトを進めていく。
つまり S4 とは、中小企業における資産管理とパッチ管理という業務の標準化を行うだけではなく、セキュア開発の標準化をも達成せんとする意図を秘めている。(すでに株式会社クラフ及び株式会社SHIFT SECURITY はソフトウェア開発企業に対して、セキュア開発のコンサルテーションの実績を複数持っている)
最後に、小田の印象的な発言で本稿をしめくくることにしよう。S4 が NGO のような非営利事業であることに関連する言葉だ。
「通常のソフトウェア開発では『これを実装するとこれだけ売上が見込める』という判断で開発が進められるが、S4 は持続可能性の確保は大事ではあるものの、そもそも事業会社の根本目的である『利益を上げること』が当初から目標にない。そのため、資産管理、そして脆弱性管理の、本来あるべき姿とは何かを考えることになる。これは私には全く経験のないことだ。とても面白い(小田)」
社会課題としての「中小企業のセキュリティ対策の遅れ」という難題を切り崩す。斜め上どころではない S4 というプロジェクトは、資産管理と脆弱性管理のベストプラクティスと標準化、セキュア開発のベストプラクティスと標準化というふたつの駅を経由し「誰の手にもセキュリティがいきわたる社会」を目指す。
この列車に、少なくともクラウドファンディングという列車に乗ったのは、本稿執筆時点( 2021 年 12 月 3 日)でわずか 22 名、目標金額 200 万円に対して集まった支援金額はわずか 435,000 円。もちろん藤崎も小田も小林も「わずか 435,000 円」などとは思っていない。陳腐きわまりない表現になるが「プライスレス」な価値を彼らはこの金額に感じる。
クラウドファンディングのシステム上、目標金額未達の場合は出資者のクレジットカードの決済は行われない。435,000 円が S4 の元に入ってくることはない。しかし、だからこそ彼らはこの数字を今後忘れることはない。おそらく生涯。
実は記者も取材のために 5,000 円を S4 プロジェクトに支援した。決済されず全額戻ってくるとなると正直ほっとする気持ちがある。本誌を運営する極貧ベンチャー企業(そもそも社長が、どう見ても 3,300 円にしか見えない革靴をはいている会社)の経費精算プロセスで、この 5,000 円を経費として落とすことなど絶対に不可能だからだ。「社会課題解決の尊い支援金を会社の経費で落とすなどという見下げ果てた了見の貴様など GO 2 HELL 」中指を立てたそんな声が聞こえてきそうだがそれで構わない。これが ScanNetSecurity 編集部のやり方だ。
なお、これを根拠にクラウドファンディングが失敗したと考え手を叩いて喜ぶ高潔な紳士も世にはいるかもしれないが、開発だけでなく今後数年間の運用まで見越した持ち出しとなる資金数億円は既に準備済みである。
グローバルで見てもほとんど例がない法人向けセキュリティサービスの非営利事業は、こうしてセキュリティ業界の完全無視・無理解・黙殺のなか、開発が着々と進む。
※編集部註:本稿執筆後に支援金は倍増し最終的に 104 万 1,500 円の支援が集まった。ただし募集形式が目標金額に達しない場合支払が行われない「All or Nothing方式」であったため株式会社クラフへの支援金支払いはなかった。
