株式会社クラフが 2022 年 2 月 22 日に β 版を公開し、現在クローズドベータテストを行っている、中小企業向け無料資産管理ソフト「S4(エスフォー)」。
グローバルで見ても例のない、法人向けセキュリティサービスの完全無料化の試みは、小さくない注目を集めると同時に、セキュリティ業界から黙殺されている。
その一方で、目利きのユーザー企業は、この試みに初期から着目。積極的な問い合わせを行っているという。最も多い問い合わせは、無料提供の対象外である「超大企業」からのもので、曰く「 S4 を社内 ○万台の端末で使えるかどうか、検証のプロジェクトを立ち上げたいので、ついては社長とエンジニアの最低 2 名で、明日の朝 9 時、弊社までお越しいただきたい」こんな調子だ。
「 S4 は、日々の事業運転資金に困るような、日本の企業の 99 %を占める中小企業に向けて提供するもので、御社のような大企業を対象としたサービスではないのですが」
そう確認すると、そもそも中小向けであればタダで提供する(できる)サービスなのであるから、たとえ対象外とされている大企業向けにも猛烈なディスカウントがあるという期待をしていることが明らかになるという。はした金を払う意思は旺盛にあるから完全にフリーとは言えないものの、充分フリーライダーと言える動機である。
これは、むしろセキュリティ対策の水準が充分高い大企業こそがそのコストに苦しんでいるという実態を知らしめる出来事ではある。しかし、こういった需要に真剣に対応していたら、S4 という「中小企業の力になる」という本来の目標自体が揺らぎかねず、プロジェクトの持続可能性すら脅かされかねない。したがって、こうした問い合わせは全て丁重にお断りをしているということだ。
資産価値が 100 億 200 億どころか、1 兆円 10 兆円を超えるような企業から、いたいけな弱小ベンチャー企業が社会貢献で、しかも持ち出しの資金で行おうとしている S4 に対して、フリーライドもどきの問い合わせが来ることは、しかし当初から想定していたことだったという。こういう大企業が日本にうじゃうじゃ存在することこそが S4 というサービスが社会に必要であることの前提条件でもあるからだ。
しかし、わらの束から 1 本の針を探すくらいの頻度ではあるものの、S4 の趣旨を充分に理解した上で、クローズドベータテストに参加した企業も存在した。社名も担当者名も完全匿名であることを条件に、その担当者が本誌の取材に応じた。
本稿では仮にその企業と人物を、山川商事株式会社(仮称)の川田太郎(仮名)とする。
山川商事は、セキュリティを含むIT全般の製品の、開発と販売、他社製品やサービスの販売代理を行うほか、インテグレーションや、運用管理のマネージドサービスを提供する企業。具体的な社名を書けば本誌読者で知らない人は絶対にいない大手だ。
一方、川田のミッションもめっぽう面白い。
川田は、山川商事が扱うセキュリティ商材を顧客へ提案したり、運用受託した案件の運用管理を行うが、これは川田の仕事の一つに過ぎない。同時に川田は、山川商事の情報システム部門セキュリティ担当者として、セキュリティ製品の選定から導入、運用管理を指揮し、実務も行っている。
敏腕営業マンにして熟練 SOC オペレーターにして頼れる情シスセキュリティ担当。これだけで十分すげえと言わざるを得ないが、それだけではない。川田は山川商事のCSIRTに所属。いざ有事の際は防護服を着て燃えさかる現場に飛び込むミッションも負う。
(1)セキュリティ製品の販売者
(2)顧客のセキュリティ製品の運用者
(3)自社のセキュリティ製品の選定導入運用
(4)自社のセキュリティインシデントレスポンス担当者
何気なく上記 4 ミッションのリストを読み飛ばさないで欲しい。これはたとえば、自社で作っている自動車を、その製造企業が社用車として使ったり、社員がプライベートでも乗っているといった類の話とは、全く、全然、根本的に、まるっきり異なる。
たとえば、そもそも(3)で何か万が一の不備でもあって(もっともありうるのは不可抗力的事象の重なりによって)インシデントが発生したりすると、(1)の活動に大きな差し障りが出るし、(2)の顧客にも到底顔向けできなくなる。いかに川田のミッションが重責であるかについて、本紙読者にこれ以上粘着的言辞を弄してくどくど解説するのは不要と思うのでここでやめておくが、要は川田の仕事が一つの「修羅」を生きることであることは、絶対にわかっていただきたい。川田のような人物だったからこそS4という製品の検証を行ったという可能性を、心に留めてほしい。
「面白そうなことをしているな(川田)」S4 の検証に参加した動機を聞くと川田はさらりとそう語っている。
山川商事は大企業である。川田のような格の人物がアサインされるなど、名ばかりとは対極のちゃんとしたCSIRTを設置していることからもわかるように、経営層のセキュリティへの理解もある。このような会社は、本来 S4 の対象となる中小企業ではない。
川田は、山川商事が「取り扱う製品」として S4 の検証を行った。S4 は大企業向けには有償だが、そのサプライチェーンに属する中小企業には、全機能 FREE FOREVER。したがって、大手に有償で提供し、その取引先あるいはサプライチェーン参加の条件としてS4の利用を(有償利用の大手が取引先等に)義務付けて、山川商事はその管理のマネージドサービスを大企業から受託するといったビジネスモデルが成立しうる。山川商事の念頭にあったのはこの絵である。
以前電通が、取引先企業全てにプライバシーマーク取得を義務化することで、JIPDEC が大フィーバーする出来事があったが、それと似た普及のさせ方でもある。ただし S4 の場合プライバシーマークと違って中小企業に一円の持ち出しも発生しないところが異なる。
2022 年 2 月 22 日からクローズドベータテストとして公開されたS4は、実運用のテストを行うことができなかった。すなわち、自動化が駆使されることになるとされている資産の登録や棚卸機能や、平易な文章で記述されることが予定されている、自社資産にひもづく新規脆弱性のアラートなどの実装は今回のバージョンでは行われなかった。
そのため川田が行ったテストは、実運用ではなく、あくまでファンクションテストであり、ルック&フィールやユーザーインターフェースのチェックであったという。
川田のテスト結果は「今どきのデザインによって、セキュリティを身近なものに感じさせ、セキュリティの知見が全くない人でもさわれるところまで敷居を下げることに成功している」であった。過日、S4 のデザインを担当したデザイナーのかめもときえを取材したが、かめもとの意図は川田の評価の目には果たされたようだ。
一方で、あくまでデモとして掲載されていた脆弱性情報は、メーカーや脆弱性情報配信プラットフォームに掲載された情報のほぼ引き写しであり、知見のないユーザーを想定した場合、大いに改善の必要があると川田は語った。
川田はまた「これまで金で解決する領域だった」企業のセキュリティという世界に、S4 のような「公助」の考えを持つサービスが入ってきたことに期待を示し「初心からブレないで進んでほしい」と語った。
最後に S4 成功の最大の懸念事項として川田は、S4 の提供する資産管理および脆弱性管理は、川田から見て、相当意識の高い企業だけが取り組んでいる領域であり、日本のユーザー企業の9割がそもそも資産状況すら把握しておらず、そもそも「把握していないということを知らない」状況であり、それを変えていくことは容易ではないと語った。
全機能を実装した S4 の公開は 2022 年秋を予定している。
