先進的なサイバーセキュリティプロジェクトにしてひとつの社会実験でもある「 S4(エスフォー)」が一種の「中間決算」を行い、これまでの活動報告を行った。
S4 とは、サイバーセキュリティの問題を「ビジネス機会」ではなく「社会課題」として捉え、それを解決せんとする、限りなく NPO に近い事業会社のプロジェクトである。
S4 が対象とするセキュリティ課題の領域は、ずばり「サプライチェーンリスク」。
現在、資金が豊富な大企業は何重ものセキュリティ対策の壁を作り、資産と知財の保護に汲々としている。攻めあぐねた攻撃者はやがて、その大企業本体ではなく、発注先や取引先、すなわちサプライチェーン上にある、セキュリティ投資がままならない、セキュリティ対策弱者の中小企業を襲い始めた。
サプライチェーンの弱い鎖を引きちぎって忍び込んだサイバー攻撃者が、あたかも富める国家へ密入国するかのように、大企業のネットワークやシステムに侵入するのを防ぐことができない。
今秋、日本政府と財界は、いくつかの象徴的な情報発信を行った。
ひとつめは厚生労働省による、医療業界へのサイバー攻撃の注意喚起である。大阪急性期・総合医療センターでのランサムウェアによるサイバー攻撃を受けたもので、注意喚起の第一項目にサプライチェーンリスクへの対応が明記されていた。
・厚労省が医療機関にサイバーセキュリティ対策を注意喚起、サプライチェーン全体の確認呼びかけ
https://scan.netsecurity.ne.jp/article/2022/11/16/48490.html
もうひとつは、公正取引委員会の「追加費用の負担を行わずに、例えば開発会社などの発注先に、セキュリティの担保を強要したとしたら、独占禁止法違反になる場合がある」という趣旨の発信である。明らかに、大企業が特に発注先に対して持つ優越的立場によって発生しかねない(すでに発生している)ケースを想定していた。
・取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン
https://scan.netsecurity.ne.jp/article/2022/11/04/48431.html
三つめは経団連の「サイバーセキュリティ経営宣言 2.0」で、第一項目の「経営課題としての認識」に、サプライチェーンリスク対策が追加されている。
・「サプライチェーンのセキュリティ強化は経営の重要課題」経団連サイバーセキュリティ経営宣言 2.0 公表
https://scan.netsecurity.ne.jp/article/2022/10/07/48294.html
最後がサイバーセキュリティガイドラインの第三版の「案」である。サプライチェーンリスク対策に関わる項目が「三原則」に追加された。
・サイバーセキュリティ経営ガイドライン Ver3.0(案)から見えるサイバー脅威の変化
https://scan.netsecurity.ne.jp/article/2022/11/02/48422.html
もはや経産省の DX(デジタルトランスフォーメーション)の激推しに優るとも劣らない、官民挙げてのサプライチェーンリスク対策の大合唱状態だ。
サプライチェーンリスク対策としての S4 の骨子とは、必要十分な機能の脆弱性管理プラットフォームを、一般社会に向けて無償で提供すること。たったこれだけのシンプルなものだ。
ものの役に立つ脆弱性管理プラットフォームは安くはないから、実質的に S4 が社会全体のセキュリティコストの負担を引き受ける形に近い。問題の発生を根源から無くそう/減らそうとするアプローチだ。
APT 以降、サイバー攻撃を受けて被弾して、事故が発生することはもはや前提であり、完全にはサイバー攻撃を防ぎきれないことが当たり前とされるようになった。そして FireEye が Sandbox を、CrowdStrike や Cybereason なりが EDR 等を売りまくってきたわけだが、しかし近年、改めて「ちょっと待てよ」的空気が漂いつつある。
それは、たとえ優秀な要員で CSIRT を組織化して、大枚払って EDR を配備していても、実際に被弾してインシデントレスポンスなりを行うのは、虫歯を抜くぐらい大変な苦痛なのであり、そもそももっと「左側の対策」、すなわち開発段階でのセキュアコーディングや、日々の地道な脆弱性管理が大事ではないか、一丁目一番地のセキュリティ対策をしていれば虫歯発生も減る、という、一周回った「正論への原点回帰」である。
要は、ランサムウェアに被弾したとして、EDR があれば検知なりブロックをできる場合が多いとしても、そもそもそれ以前に、かなり前から注意喚起されてきた VPN の脆弱性への対応くらいしておくべきでは、という議論である。
サプライチェーンリスク対策が重要であるという官民挙げた大合唱。そして脆弱性管理の重要性への原点回帰。ここまで社会の条件が揃った時期にリリースされた S4 だったが、果たしてその結果は凶と出たのか吉と出たのか。
ここまでのプロジェクトを総括し報告するという意味では同社の 11 月 17 日のプレスリリースはひとつの「中間決算」にあたるだろう。
S4 の運営主体である宮崎のベンチャー企業 株式会社クラフはプレスリリースで、9 月に正式公開した S4 の新規ユーザーの登録を「一時休止」 することを発表、あわせて 9 月から現在までの登録者の利用プラン内訳を社会実験の一つと結果として一般公開した。
今回インタビューに応じた株式会社クラフで S4 の開発者サイドのディレクター(以前取材した山田蕗代はユーザーサイドのディレクター)を務める小杉 和也(こすぎ かずや)によれば、取材時の 11 月 18 日時点で、数十社の申し込みが S4 にあったという。
S4 はその提供形態にひとつの仕掛けがあった。S4 には無償プランと有償プランがあり、登録時にそれをユーザー側に自由に選ばせる。この点が本誌がこのプロジェクトを「社会実験」と呼ぶ理由でもある。
そもそもがセキュリティ投資の余裕がない中小企業に向けた S4 だが、登録時の企業規模チェックなどはなんら行っておらず、やろうと思えば東証プライム上場企業が無償プランを利用することも(それで恥や呵責を感じない倫理観の持ち主なら)実は可能になっている。
無償プランは、1 ユーザーのみがログイン可能で、有償プランはログイン可能なユーザー数の上限がない。実は違いはこれだけで、機能面での差は一切存在しない。つまり、中小企業を中心としてセキュリティに投資ができない、いわゆる「運営や経営が精一杯」の企業に対しては、「全機能 Free Forever 」の無償プラン、複数の管理者を擁する程度には「余裕がある」企業にはお金を払ってもらい、結果的に日本社会全体としてS4というコミュニティを形成し、弱者を強者が支えるという、日本という国、2022 年の日本社会に対する「倫理観チェッカー」的な仕組みがこのプロジェクトにはビルトインされていた。
この仕組みを見て思い出したのが、クリストファー・ノーラン監督の「 The Dark Knight 」というかなり以前の映画だった。敵役である天才的犯罪者が行ったのは、「富裕層の市民グループ」と、「刑務所に服役している犯罪者グループ」をそれぞれ二つに分けて客船に乗せて、客船 A と客船 Bにそれぞれ船を丸ごと吹き飛ばす量の爆弾を設置、犯罪者の船の爆弾の起爆装置を市民グループの手に、市民グループの船の起爆装置を犯罪者側の手に渡し、双方にその事実を告げ、あとはそれぞれに最良と思う行動をしてもらうという社会実験だった。
たとえフィクションの中の出来事とはいえ、株式会社クラフの広報が激怒すること必至の物騒極まりないたとえを書いてしまったのだが、個人ではなく人間集団に対して、ストレートに倫理観、人の持つ他者への思いやりや優しさを問う社会実験を行ったという点で、S4 とヒース・レジャー版ジョーカーの両者は、世界が生きるに値する場所であることの証明を願った点において、深いところでよく似ていたのではなかったかと思う。
プレスリリース及び今回のインタビューで明らかになった具体的数値を挙げる。
S4 に登録した数十社のうち、7 %が有償プランの利用企業だったという。
11 月 17 日のリリースを読むに、運営主体の株式会社クラフはこの結果に満足していないご様子だが、記者はむしろこの結果に腰を抜かすほど驚いた。それは以前、別の機会に S4 を取材した際に、こんなエピソードを耳にしていたからだ。
再掲すると、S4 リリース直前に、とある時価総額数千億円、従業員数が数万名の超大企業の情報システム部門からとてつもなくお門違いな問い合わせが S4 に舞い込んだという。
それは、言葉遣いはあくまで慇懃だが要は「 S4 の採用を考えている。ただし金は払うが、無料で提供するケースすらあるのだから、実質無料になるくらい猛烈なディスカウントをしろ。我々が欲しい機能開発も適宜行え。我々のような誇り高いエスタブリッシュメント企業を顧客に持てること自体、貴様らのような木っ端(こっぱ)ベンチャーにとって身に余る光栄と思え」という趣旨の、SDGs が裸足で日本から逃げ出すような、グレタ・トゥーンベリさんが失神するような趣旨の問い合わせだった。
もちろん事務局によって丁重にお断りされたことは言うまでもない。
だから、たった 7 %にせよ有償ユーザーが本当に存在していたとは衝撃だった。
S4 自体、賢い大学生が見た夢みたいなプロジェクトだ。だからこれまで取材した人物は基本「目の澄んだ人」が多かったと思う。それは春日か若林かと言われれば春日側であり、鈴木敏夫か宮崎駿かと言われれば宮崎駿側の人物だった。しかし今回取材した小杉は、明らかに「若林側」あるいは「鈴木敏夫側」の人物である。
小杉は、IT ベンチャー企業に新卒入社し営業担当にアサインされた。しかし成績がふるわない 1 年を過ごし、翌年から IT プロジェクトのディレクターに異動。エンジニアに話しかけるたび舌打ちされるという辛い数年を過ごしたが、コードも書けない自分がディレクターをやっているのだからそれはむしろ当然と考え、悲しくなることはあっても怒りはついぞ感じたことがなかった。不断の試行錯誤をしながら直角の壁を登るがごとく小杉は成長を重ねた。
そんな小杉にとっては、それがたとえ夢みたいであれ、おとぎ話のようであれ、プロジェクトはプロジェクトであり、ザラザラした手触りの現実の一つに過ぎない。
つまり、クライアントがいて 想定ユーザーがいて 予算があり 仕様があり 納期があり 課題があるという点においては、いつもと全く同じ顔をした他のプロジェクトと何ら差がない。そこで行われるさまざまな仕事は、あくまでもプラクティカルな作業の連続であり集積である。
プラクティカルなリアリストは夢を語るのが苦手だ。新規募集休止期間中に S4 が具体的に何をしていくのかと問うたが、小杉の話は一向に要領を得なかった。どうやらだが「ブランディング強化」ということのようである。
これは想像だが、これまで完全受け身で新規ユーザーを開拓していた方針を変え、S4 の理念を先倒しで達成しているような企業や団体に対して営業(売るモノの価格はゼロだが便宜的にこう呼ぶ)活動を行ったり、その結果ユーザー事例を作っていくことなどが考えられる。S4 はソフトウェアであると同時にカルチャーの提案でもあるので、アパレルブランドのようにユーザーに広告してもらうというのは正しい方法論だろう。
最後に、S4 に登録した数十社のアクティブ率も付記しておこう。登録ユーザーのうちログインしたのは 7 割。さらに資産登録まで完了したのが 8 割。そのうち 6 割が発生した脆弱性にパッチを当てたという。いずれも低くない数値だ。
また、Facebook 上に開設している S4 のコミュニティの参加率は全体の 35 %だという。これに関してもリリースから漂う語調には、成功とは考えていない空気があるのだが、筆者はこの 35 %という数字にも少なからず驚いている。
なぜなら、セキュリティの世界でのコミュニティ活動、情報共有といえば、他組織の情報は欲しいが自らは情報共有を行わないという、業界で言われるところの「 NISC 流」情報共有、すなわち「ギブ&テイク」ならぬ「テイク&テイク」というスタイルがセキュリティの世界ではデファクトですらあるからだ。たとえばの話、同様に脆弱性管理の機能を持つ、名作資産管理ソフト SKYSEA Client View がコミュニティを作ったとして、果たして全ユーザーの 35 %もの参加があるだろうか。
小杉には、今回の一時休止の期間を、現実的課題の解決に充てることができる「猶予期間」と捉えて歓迎しているふしがあった。それは、小杉が最も S4 の機能について「足りない点」と考えていた部分である。
サイバー攻撃のリスクは、守るべき「(1)資産」と、その資産の置かれたシステムやソフトの「(2)脆弱性」、そしてその脆弱性を悪用する「(3)脅威」、この三要素が重なったとき初めて現実化する。だから Log4j を使ったソフトウェアがひとつもなければ(1)資産と(2)脆弱性がないわけだから、たとえ(3)脅威の深刻度が 10 点満点で 10.0 だとしても自社内部に関しては何ら対策の必要はない。
9 月リリース版の S4 は、資産棚卸と、その資産と脆弱性の紐づけは行うことができているが、脆弱性と脅威の紐づけはいまだ実装できていなかった。この機能を今回得られた猶予期間で追加することが目下の小杉の「現実的課題」のようだった。
現時点で一時休止後のスケジュールは明らかにされていないが、国際的に見ても類を見ないプロジェクトである S4 は、ここで一度休みをとって、ブランディングやメッセージ発信に力を入れていくようだ。今後の展開を見届けたい。
とりあえずいまは、国境なき医師団やレディー・ガガの公式サイトにでも S4 が採用される夢想でもしながらのんびりと待とう。
追伸
取材で耳にしたが、S4 登録ユーザーのうちのひとつに、国内でも最高クラスの技術者集団を擁するセキュリティ企業の名があったという。登録自体は別に誰でも可能だからだ。ところで診断会社がソフトウェア開発を行う例は少ない。ソフトウェアの脆弱性を仕事で毎日見つけていれば作る気がなくなるのも道理である。クリプト便の NRIセキュアのようなよっぽど自信があるところをのぞいて、診断会社によるソフトウェア開発はあまり見かけない。その診断会社が作ったソフトウェアが S4 なのである。もののわかる人ならこれは舌なめずりをせざるを得ない案件だ。本誌は以前から「診断会社が作ったセキュリティソフト」として、S4 の脆弱性を JVN に最初に報告するバグハンターがいったいどこの会社の誰になるかを注視してきたが、報告第一号がなされる日もそう遠くないかもしれない。ちなみに NRIセキュアにペネトレーションテストを依頼すると税別 700 万円。診断のレベルや方法はさまざまあるものの、国内でも最高クラスの技術者集団を擁するセキュリティ企業に S4 のセキュリティ診断を正面玄関から依頼したらいったいいくらかかるのか。もし報告が実現したらこれは心が洗われるような素晴らしいコラボレーションであり、人の優しさの証明だ。
