マーケティングありきで作られる製品とそうではない製品があって、今回取材したセキュアワークスの XDRプラットフォームはどちらかといえば後者に属する製品と感じた。
マーケティング先行の製品とは、要は「売れそうなもの」を作ることであり、たとえば弁護士や医者が主人公のドラマがヒットしているようだから、弁護士か医者どちらかあるいは両方を主人公にした企画を立てるようなもので、その反対が、法や医療に関する社会問題をテーマとして取り上げたいという目的がまず最初にあって、結果として弁護士や医者が主人公になった作品であり、出来上がったものは一見よく似ていてもそこには違いがある。
セキュアワークス株式会社は、10 月に東京と大阪で開催されるサイバーセキュリティカンファレンス「 Security Days Fall 2022 」において、10 月 7 日 (金) に東京で「最善手を求めてサイバー攻撃のチェスゲームは続く」、10 月 13 日 (木) に大阪で「20 年以上の脅威監視&インシデント経験から導く、XDR のあるべき姿 - バズワードに惑わされないための心得」と題したふたつの講演を行う。
両セッションに登壇するセキュアワークス株式会社 戦略プログラムディレクター / Director of Strategic Programs, Taegis Japan の三科 涼(みしな りょう)氏に話を聞いた。
大阪公演のタイトルには「XDR のあるべき姿」「バズワードに騙されない」と大書され、加えて取材前に編集部に共有された資料の中には「XDR バイヤーズガイド」とすら書かれていたから、さぞかし XDR の定義や、多様な機能の紹介、(個社名が出るかどうかは別として)代表的な製品と自社製品との比較、そして自社製品の優位性の話などが、立て板に水のごとく語られるとばかり思っていたが、インタビューがはじまるとその期待は裏切られた。
三科氏の話には「セールスマンのなめらかさ」が希薄で、必要なことを簡潔に語るのみ。むしろしゃべりすぎるリスクを知る口ぶりだった。「XDR に大事なものは」という問いに対する答えのひとつとして三科氏が挙げたのは「網羅性」、つまりエンドポイントやネットワーク、オンプレ、クラウド、アプリ、メール、個々の情報やデータなど、企業の IT環境と資産まるっと全てを包括し、それを一つのコンソールで可視化して検知と対応を行わなければ意味がない、というものだったが、それすらも、自社製品の優位性にそこから誘導していくための起点というよりは、あくまで XDR の原理原則を確かめるようなもの言いであった。
こういうのは逆に取材しづらい。セールスピッチをガンガンかましてくれた方が記事にまとめるのが楽でもある。
そこで思ったのが冒頭の「マーケティング先行ではない」ということで、要は「Gartnerさんによれば今後 XDR がえらい儲かるらしいから、いっちょ我が社も XDR を作って儲けたろ」というより、これから必要なセキュリティプラットフォームには何が必要かと考えながら行きつ戻りつし、結果的に「Taegis(テイジス)」を作り上げたところ、気づいたら「XDR と定義されるもの」と同じに仕上がっていたという事情ではないかと思った。取材によれば実際に「Taegis(テイジス)」はそういう順番で開発されたという。
「Taegis(テイジス)」開発のきっかけは、既存プラットフォームの限界を認識したところからはじまった。
セキュアワークスは、フルスクラッチの自社開発 SIEM をプラットフォームとして(良質かつハイエンドなマネージドセキュリティサービスを提供する企業は例外なく SIEM のような分析基盤をスクラッチで自作する)脅威ハンティングなどの高度なサービスをこれまで提供してきた。
しかし近年、ファイアウォール、WAF、アンチウイルス、EDR と増え続ける各種セキュリティセンサーから収集するデータの集約と分析の効率化、分析全般やトリアージを AI 等によって自動化することで、SOC や CSIRT など現場でリスクを頭からかぶる人たちに直接的な恩恵を与えることができる次世代型プラットフォームの必要性を感じるようになったという。
10 月 13 日 (木) の大阪講演は「そもそも XDR って何だっけ」という、セールスピッチというより、基礎の基礎から XDR を考える誠実な内容になりそうだ。競合製品の中でどれが一番いいのかなどと考えている時点で負けている、というかすでにバズワードに洗脳されている。そんなときは基礎や原則に戻るのが唯一の有効な方法だ。
「セールスマンのなめらかなプレゼンとは異なる」などとうかつに本音を書いてしまったが、それもそのはず、三科氏は 2014 年の入社以降、同社カウンター・スレット・ユニット(CTU)とセキュリティ・リスク・コンサルティング部門の、ふたつのチームのリーダーとして、未知の領域の調査と、顧客のインシデント対応にはじまる、さまざまな鉄火場の陣頭指揮とを並行して行ってきた。
いわば諜報戦と戦場の士官を兼ねるような職務であり、いまだ明らかになっていない脅威をあぶりだす集中力と、顔のすぐそばを弾丸が通り抜けても動じないような胆力ふたつが取材で伝わった。流れ弾の一つや二つは、体のどこかに残っていたのかもしれない。
ちなみに三科氏が 2014 年にセキュアワークスにジョインして最初にやった仕事が、レッドチームサービスの日本市場でのローンチだったというから驚く。脆弱性診断とペンテストの違いの理解すらユーザー企業にとって大いに怪しかった時代のことだ(ちなみに 2022 年の現在も大いに怪しい)。当時の苦労について三科氏に聞くと破顔一笑「苦労しかしてません」。
セキュアワークスといえばかつて、大手 IT 資産管理ソフトの脆弱性などを突いた、日本だけを標的とした攻撃者「BRONZE BUTLER」の、詳細かつサバイバルガイドとも呼ぶべきレポートを発行したことが白眉だったが、リサーチャーの中津留 勇 氏と名を連ねて同レポートの執筆者としてクレジットされていた二人のうち一人が他ならぬこの三科氏だった。
10 月 7 日 (金) の東京講演は、セキュアワークスの密度の高い年次レポート「State of The Threat」のハイライトをもとに構成され、XDR にフォーカスした大阪公演よりもずっと幅広いユーザー層を相手にしている。同社の年次レポートは必ず目を通すべき資料ではあるものの、約 50 ページに及ぶレポートを通読する時間はなかなかとれない、そんな読者にとっては「もののわかった人」から、かいつまんだ説明を受けるのは悪くないだろう。
ところで東京講演のタイトルにある「チェスゲーム」というのはなんともセキュアワークスらしい、あるいは三科氏らしい。「チェス」ということは、要は守る側であるユーザー企業も目一杯頭脳を振り絞ることが前提となっているからだ。「我が社の製品を使えばこれだけ楽になりますよ」といった蜜と乳の流れる「楽園」などセキュアワークスは客に対して約束しない。嘘をつかない優しさだろう。
調査と現場対応の最前線で銃弾と白刃をかいくぐり活躍してきた三科が、一般向けの講演に登場するケースはこれまで多くなかった。ポストStuxnet 以降の、万力で胃を潰されるようなプレッシャーを笑顔でくぐり抜けてきた人物 三科氏の講演をリアル会場で聞いたなら、ぜひ名刺交換しておくことをおすすめする。まかり間違って知己となるめぐり合わせにでもなったなら一生の財産となるだろう。
10.7(金) 09:50-10:30 | RoomA
「最善手を求めてサイバー攻撃のチェスゲームは続く」
10.13(木) 13:20-14:00 | RoomA
「20年以上の脅威監視&インシデント経験から導く、XDRのあるべき姿
- バズワードに惑わされないための心得」
セキュアワークス株式会社
戦略プログラムディレクター / Director of Strategic Programs, Taegis Japan
三科 涼 氏
![コインチェックのインシデントはTTHなら防げた?(SecureWorks Japan)[Security Days Spring 2018] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/23942.jpg)
![日本「だけ」を狙うサイバー攻撃に挑む和魂洋才 (SecureWorks Japan) [ Security Days 2017 インタビュー] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/22996.jpg)
![[Security Days Spring 2017 インタビュー] 日本がCSIRT構築より前に振り返るべきポイント(セキュアワークス・ジャパン) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21868.jpg)
