競技化・スポーツ化している領域がセキュリティ産業にはあって、外から見てとても分かりやすい。「競技化」とは、第三者からもルールが知られているという程度の意味だ。
たとえば JVN の脆弱性の報告数。あるいは CTF 大会の順位。未知の APT キャンペーンの発見・分析・アトリビューション等も似た領域である。いずれも、有意義あるいは非常に重要な活動なので、多数の参入を誘い、成果が報告され、結果としてそうなっている。
そして、JVN の報告件数が多い会社、CTF順位上位のチームメンバーが勤務する企業、新しい発見をしたセキュリティラボは、優れた技術者と組織が存在し、その会社の提供するサービス水準と正の相関関係がある。その見立ては大筋で正しい。
やっかいなのは、ルールがてんでわからない領域で、成長と進化を遂げている企業で、外から見て容易にその価値を理解することが難しい。
大阪で SOCサービスを提供する株式会社セキュアヴェイルはその典型だ。ソフトウェア開発からサービス提供、そして人材育成までの事業の全プロセスを、ひとつのグループ内で完結、日本のセキュリティ業界でほぼ唯一ともいえる垂直統合を行って、高品質サービスを関東の半額で提供しているのだが、こんな芸当を成功させているセキュリティ企業はほぼここ一社だけなので、ほとんど誰にもその真価が理解されていない。
取材時に知ったのだが同社の社員すらその真価を理解していないことがあるのだという。会社で用意しているプレゼン資料を、東京の港区や中央区のセキュリティ企業が発信するみんなおなじみの世界観にどっぷりひたっているユーザー企業にあわせて、わざわざリライトと改訂を施して使っている場合があるということだ。
セキュリティ人材が枯渇しているという。たとえば A 社の脆弱性診断員が 3 名増えたということは、どこかの B 社の診断員が 3 名引き抜かれて A 社に転職したことを指している。必ずしも大げさでなくそんな状況が続いてきた。
どこも採用するだけで精一杯。そのなかでも気の利いた会社は、セキュリティ・キャンプや CODE BLUE のスポンサーになって、自社の魅力と優位性を若者に向けてアピールしている。
そのような人材不足の労働環境のなかで、それほどまでに貴重なセキュリティ人材を、惜しげもなく他社に派遣するという、ちょっと見で異常ともいえる事業を行い、成長を続ける企業が今回紹介する株式会社キャリアヴェイルである。
キャリアヴェイルは、セキュリティ人材不足の解決を目的に、セキュリティエンジニアの教育・派遣と、システム運用・監視サービスを提供する企業で、2017 年に設立された。
もともと、グループ企業が開発・提供するログ管理プラットフォーム「LogStare」などを企業に販売する際に「製品だけでなく運用できるスタッフが必要」という要望に応えたのが事業のはじまりだ。
これまでキャリアヴェイルは、大手SIer や大手セキュリティ企業が運営する SOC、大手企業の PSOC 等に人材派遣を行い事業の基礎を作った。ひょっとするとあなたが利用あるいは関わった SOC の中に、派遣先の社名で動くキャリアヴェイルのスタッフがいたかもしれない。
セキュアヴェイルグループは、SOC や NOC のオペレーターを、下請けを含まない直接雇用のスタッフだけ、つまり「真水」で運用している。それだけでもかなり珍しいことだが、溢れてきた「セキュリティ人材」という真水を、水資源が不足する他国に輸出すらしている格好になる。セキュリティ業界という砂漠で、人材という稀少資源を通じ、強い影響力を発揮するポテンシャルのある企業だ。
こうしたことが可能になったのは、詳しくは以前書いたが、創業当初からソフトウェア・サービス・人材を、一社あるいはグループ内で完結させ提供するという野望を持ち、ゴール設定していたこと、そしてサービスのコアであるログ分析基盤「LogStare」を自社開発していることが大きい。
通常ログ基盤は、Splunk のような海外製品のライセンスを買って、それをチューニングして使うのが常識になっている。スーパーエンタープライズが PSOC のためにゼロから SIEM を(McAfee などから人を引き抜いて)フルスクラッチで作るような例もきわめて稀に存在するが、GE とか Bank of America でもない限りそんなことは通常不可能だ。
SOCサービスのコアはログ分析だから、コア業務の価値を他社製品に委ねることは、刀の柄(つか)ではなく刀身の方を握らされて事業運営を行うのに似ている。刀を動かす方向が限られるし、うっかりすると指が落ちる。自社開発ログ分析基盤LogStare は、取材協力してくれた会社にこんなことを書いて申し訳ないが、たとえ高機能のグローバル製品に性能では劣っても、完全に手に馴染んだ信頼できる武器として機能する。
自社開発のログ分析基盤をもとにサービスを展開し、そのノウハウを人と組織に蓄積していくことは「事業を行いながら人を育てる」「人を育てながら事業を行う」という松下幸之助めいた好事業循環を生み出すことに成功した。輸出できるほどの湧水がここから生まれる。
本誌はかつてこれを「大阪の奇跡」と名付け、日本のセキュリティ業界のレアケースとして紹介した。その「ツール」「サービス」「人材」という三位一体構造の垂直統合のうちで、「人材」を構成するのが今回紹介する株式会社キャリアヴェイルである。
キャリアヴェイルは、コロナ禍の真っただ中、2020 年、システム監視運用サービスCustomerStare(カスタマーステア)を発表した。 グループが誇る SOC と NOC運用で錬磨した人材をネットワーク監視と運用支援にあたらせ企業に向けてクラウド提供するサービスで、主に中小規模の企業をターゲットにしている。
株式会社キャリアヴェイルに CustomerStare の特徴について取材した。
取材協力:
株式会社キャリアヴェイル
代表取締役社長 佐藤 聡(さとう あきら)氏
カスタマーステア事業部 檜垣 光泰(ひがき みつやす)氏
カスタマーステア事業部 茂村 泰規(しげむら やすのり)氏
CustomerStare の特徴の一つは、その対象である。通常ネットワーク監視はZabbix などの管理ソフトを入れて、自社で実施、あるいはベンダにアウトソースするという選択肢しかない。そしてアウトソースする場合は当然そのベンダの機器しか見ない。
ベンダーニュートラルを謳うところもあるが、詳しく話を聞いてみると、以前は McAfee製品だけだったが、最近ようやく Palo Alto製品も OK になったと胸を張るなど、ニュートラルを目指してはいるものの努力目標に近いものであったり、実際の対応状況は各社凸凹(デコボコ)しているのが現状である。
CustomerStare は、20 年間、世界で一番めんどくさいと言われる日本企業の SOC と NOCサービスを提供してきた実績を持つ株式会社セキュアヴェイルのノウハウと企業文化を継承している。セキュリティ機器だけでなく、ネットワーク機器でも、一般的な企業で使われているもので対応できないものはほとんどない。
CustomerStare のもう一つの特徴、そして新しい価値提案は、監視の新しい目的を提案している点にある。
通常の監視は、一にも二にも障害復旧のスピードアップである。普通は業者から連絡があってから調査を始め復旧を行うが、監視を行っていればユーザーより早く気づくことができたり、何よりも復旧対応の時間を短くすることができる。
年に 2 ~ 3 回かそこら発生する障害の復旧を速くする以外の監視の目的などないのでは、と思うかもしれないが、ここに CustomerStare は、DX時代にふさわしい新しい目的を追加しようとしている。いわばネットワーク監視の再定義だ。
これまでの監視が障害発生連絡と原因切り分けがメインだったのに対して、CustomerStare は、トラブルの予防や原因究明、最適化計画などの付加価値提供をコアバリューに置いている。
一言で言うなら「何かが起こってから活動する監視」ではなく「何かが起こる前に活動を行う監視」である。
トラブルやサービス停止を未然に防いだ事例のひとつに以下の二重障害の例がある。
それは、メインとスタンバイふたつの機器で構成されていたシステムのスタンバイ機が、ハードウェア障害で死んでいたにも関わらず、リアルIP だけを監視対象として設定していたために気づかれなかったという、聞くだに手のひらにいやな汗をかく悪夢のような出来事だ。あると思っていた命綱がなかったことに気づいた状況だ。
リアルIP だけを監視していると、たとえスタンバイ機が倒れても、リアルIP を返してくるため、気づくことができない。ネットワークに経験が浅い担当者が監視を設定するとこうなるという見本のような事例だが、キャリアヴェイルの監視スタッフによって、事態が検知され、メインが稼働中に対応を行い、最悪の事態は免れることができた。
また、情報システム部門の担当者の過重労働を、たった一個の API の発見で解決したスマートな事例も存在する。
とある企業では、大手キャリアのモバイルルーターを営業部門の社員に配布して利用していた。回線は従量課金で契約されており、一定の通信量を超えるとそれまで 100MB だった通信速度がいっきに 10MB に激細りするありがちな設定がされていた。
情報システム部門では、毎月 20 日頃を過ぎると、累積通信量の状況を、手動で管理コンソールにログインして画面を開いて確認し、契約容量に近ければ追加の通信量の発注を行うという手作業を行っていたという。要は、それを怠ると、200 名近い数の営業マンが、情報システム部門に「回線が遅くて仕事にならない」という怒号混じりのクレームを寄せてくるからだ。
20 日以降何度も、そんな心身をすり減らず作業をくり返していることを知ったキャリアヴェイルのスタッフは、大手キャリアの同サービスが通信量を知らせる API を公開していることをすぐに発見、その月から情報システム部門がくり返し手動で行っていた確認作業は自動化され、契約容量が近づいたときのみアラートが出される設定がなされた。
他にも日頃の監視から得られた情報をもとにネットワークの構成変更や、リプレースすべき機器を提案する等々、計 4 つ、こうした事例を紹介されたが、同社にはこんな「現場の痛み辛みを実効的に解決した」エピソードが宝庫となって経験値として蓄積されている。こうしたエピソードのいくつかは、本誌連載「LogStare の SOC の窓」に掲載されている。
CustomerStare が新しい付加価値を提供する監視サービスであることを象徴的に示すのが「駆け込み寺サービス」とよばれるQA対応が標準で入っていることだ。ネットワークに関する質問なら、どんな内容でも回数無制限で質問を受け付け解決を支援する。
駆け込み寺とはよく聞く言葉だが、言葉の元々の意味を考えると、あまり穏やかな気分ではいられない。 「駆け込み寺」とは歴史上常に、家族からも行政からも法律からも見放された弱者を助ける活動であり続けてきた。
キャリアヴェイルを含むセキュアヴェイルグループは、先に挙げた通り、言葉通りのベンダーニュートラルサービスを提供し、港区中央区水準の SOCサービスを、関東の半額相場で提供する会社だ。冒頭に挙げたような APT のアトリビューションなどはからっきしの三級品、いや四級品、五級品だが、ユーザー企業のネットワーク環境の熟知だけでなく、現業部門の都合や事業部間の力関係、予算状況、果ては情シスのレポートラインに位置する取締役の性格までも考慮した月次資料作成など「神運用支援」を行うことで知られる。
SOCサービスにペネトレーションテストが標準でインクルードされていたり、リスクがある場合、契約条件が許せば SOC側の判断で緊急時に通信を遮断するなど、関東の SOC がギョッとする事を追加料金なしで行う。
通信遮断などリスクのある領域のサービスに手は出さないことが示すように、通常 SOC も NOC も、舞台の上には決して上がらない裏方であり、いわば出入業者にすぎないし、それ自体何ら悪いことではない。しかしセキュアヴェイルグループ、特にキャリアヴェイルの人材は、ときに監視という舞台に黒子として上がって、主演俳優(情シス)を引き立てるために、セリフなきバイプレーヤーとしていい仕事をするのが身上だ。
少々くどいとは思うが、ここまで書かないと伝わらないと思うので最後にこれを書いておくが、通常 IT やセキュリティの世界で「駆け込み寺」などと名のついた相手に相談などしたら最後、まだ数年は使えるはずだったのに、まっさらの新しいアプライアンスをいつのまにか買わせられると考えてまず間違いない。駆け込み寺の意味も知らず単にマーケティングワードとして使われることがあるだろう。
しかし CustomerStare の駆け込み寺は「もうそろそろ買い替えないとまずいオンボロ機器を、何とかだましだまし工夫して、あと〇年なんとか持たせたい」そんな切実な相談にすら喜んで乗ってくれるばかりか、効率的な運用プランの策定にまで関わってくれる。
いままでは作業を効率化するなど、そろばんを電卓に変えるような IT利用が主流だったが、近年、デジタル技術そのものがビジネスの付加価値を生み出す DX(デジタルトランスフォーメーション)が叫ばれている。電卓が数時間使えなくても大きな痛手はないかもしれないが、DX時代のサービス停止は単なる機会損失だけにとどまらない。CustomerStare が提供する新しい監視の価値が今後一般に普及する可能性は高い。
