仕事柄、セキュリティ企業の社長・技術者・研究者・広報などに、取材・インタビュー・打ち合わせ・ヒアリング・セミナー・講演・記者会見・会食などで 20 年近く話を聞いており、どう少なく見積もってもその数は 1,500 名を超えると思う。
そんな経験をしてきたからだろうか。いつ頃からかわからないが、インタビューなどで話を聞き始めると始まって最初の 30 秒くらいで面白い話(=読者に刺さる話)をしていただける人かどうかが直感的にわかるようになった。
ただしもちろん「面白くなりそう」と思った予想に反して、結果的にそうならないことも多々あるのだが、それはこちらの準備や知識が足りなかったり、諸条件が味方しなかっただけだと感じることの方が多かった。
ごく簡単に言うなら、伝えたいものを持っているか、社会を良くしようと思っているか、現状に怒りを感じているかどうかなどが話の内容と別の次元で最初の 30 秒で記者に伝わるのだと思う。
徳丸浩さんを初めて取材したとき「この人からは面白い話が聞けそう」と思ったのだが、話の内容は常識を超えない無難な安全運転なものだった(髭をたくわえる前の頃)。しかし、その後独立して以降の徳丸さんがいわば「礼節を尊ぶ武闘派」とでも言うべき、ストロングスタイルな情報発信をするようになったのはご存知の通りである。記者が取材した当時は、当然だが会社員として一定の枷(かせ)や限界があり、それを超えることはできなかったし、しなかったのであろう。
今回取材した Rapid7 の古川勝也に初めて取材で会ったのは 2017 年のことで、SOC や診断、ハンティングなどを提供する会社の社長インタビューで訪れた際に、そこで話されたトピックを補足するために、ほんの二言三言、古川がコメントしたのであるが、その時すぐに「社長の話もいいが、むしろこの人物に 1 時間話を聞きたい」と思った。要は最初の 30 秒で刺さるものをハッキリ感じたのだった。
それから 4 年後の 2021 年、EDR やインテリジェンスで強い存在感を示す別の会社の取材で古川に再会した。そこでようやく個別インタビューをする機会を得たのだが、イベントの告知取材であったため聞きたいことはほとんど何も聞けないまま終了した。
そして、そこからさらに 2 年後の今年 2023 年春、三度目の正直と言うべきか、思いもかけない取材の話が舞い込んできた。古川が今春から Rapid7 にジョインしており、個別独占インタビューをしないかという依頼である。しかも特定の製品やイベントに紐づく取材ではなくおまえらが聞きたいことを聞いてくれて構わぬ、むしろ積極的にそうしてくれという願ったりかなったりの内容だったから、ほとんど二つ返事だった。
約 6 年も取材対象として興味を持っていたから、当初いろいろな企画や質問案を練りに練ったのだが、下手な小細工を弄してコントロールなどできる相手ではないことにやがて思い当たり、その結果、古川本人にテーマを預ける形式をとることにした。そしてできたのがこの「セキュリティ企業七つの大罪」という企画である。セキュリティ産業に長く携わってきた経験に基づいて、古川が感じる課題や問題を複数挙げてもらおうという趣旨だ。
ほぼ何も準備しないまま取材に臨んだという古川だったが、すらすらと七つの項目を、ろくに考える時間を取るでもなくすぐに挙げてみせたのは、さすが日本で最初期に「エバンジェリスト」として活躍した人物ならではの、発想とプレゼンテーション能力だと思う。
なお、ここでタネ明かしをしてしまうのだが「七つの大罪」という刺激的なワードから予想されるような、糾弾や舌鋒鋭い批判は本稿ではまったく展開されない。むしろ繊細で内省的ですらある複数の問題提起がなされるだけである。罪の意識は外側ではなくむしろ内側に向けられているとすら感じた。だからいつもの ScanNetSecurity 的なキラーフレーズや、新自由主義経済や老害資本主義の批判を期待している方はここから先は読まなくていい。
--
最初に古川が挙げた問題意識は「セキュリティはビジネスなのか」という問いである。
「セキュリティが最優先」「セキュリティファースト」などと呼ばれるが、本当にそうなのかと古川は考える。いまやセキュリティを完全に担保しない限り、ビジネスを一歩も進めてはいけないような風潮すら感じるという。
一方で、この「セキュリティファースト」と対になって台頭してきているのが「セキュリティはビジネス」それも「セキュリティは儲かるビジネス」という考えだ。
2000 年代前半に古川は、Microsoft でセキュリティ戦略グループを率いた経験を持ち、当時は「セキュリティ」という言葉が世に出なさすぎて困っていたものだが、現在は反対に「セキュリティ」という言葉が出過ぎだと古川は感じている。
盛んに喧伝されている DX(デジタルトランスフォーメーション)が目的ではなく結果やプロセスであるのと同じように、セキュリティもまた目的ではないと考える古川は、セキュリティとは陰で事業や人を支えるものであるべきだと考えている。
「セキュリティは儲かるビジネス」とみなされることに違和感を感じる古川は、その裏表のように言われる「セキュリティはコストではなく投資」という言葉にも同様のモヤモヤを感じる。「費用対効果が見えない点でセキュリティは明らかにコストであり、誰が何と言おうとコスト」と古川は口を極めた。ただし、シェアを拡大することだけを目的に企業活動するセキュリティ企業であるなら、セキュリティが投資であると語ることはきっと正しいのだろうとも付け加えた。
1990 年代後半に Linux コミュニティで活動していた古川は、リーナス・トーバルから直接「Linux Evangelist」を拝命した。その後 Microsoft 社へ転じた古川は、そこでしばらく「セキュリティエバンジェリスト」と名乗り活動したが、すぐにその肩書きに違和感を持つようになった。当時同社は、セキュリティに本格的に注力を始めた時期で、洗練されたセキュリティの世界観とそれを実現する製品群があった。しかし、その日の朝に創業されたばかりのベンチャー企業でもない限り、最新の製品だけで構築してその世界観を実現することができる企業などほとんど存在しない。通常、ほとんど全ての会社が多くのレガシーシステムを引きずって事業を成り立たせている。
顧客の環境が千差万別なら「これが正しい」というひとつの正解を伝道する「エバンジェリスト(伝道者)」は言葉の定義としておかしい。道はひとつではなく、むしろ選んだ道を正解に変えていくことがセキュリティの営みである。「正解は無限」そう考えた古川は「エバンジェリスト」という肩書を捨てた。結果的に他社のエバンジェリストと似た役割を業務上果たしていることもあるのだが、その肩書きをつけることは今後ない。
次に古川が挙げたのは、セキュリティ業界における横文字問題である。セキュリティ製品を売る側の便宜で、海外の考え方や概念の訳語が、都合よくセキュリティ企業の胸先三寸で用いられ、氾濫している。
たとえば、「Targeted Attack」「APT」双方に「標的型攻撃」と訳語があてられていたが、これは「標的型攻撃対策」と言いさえすれば売れる時代があったからそのように用いられたという。「Multi Layer Defence」と微妙にしかし明らかに異なる「Defense in Depth」が両方とも「多層防御」と訳されるのも同様の理由である。
そもそも「リスク」という超ビッグワードが日本では、あたかも「安全」の対義語のように間違った使い方がされており、客観的に数値化・定量化して議論する対象であるはずの「リスク」が「安全 安心」などと同様、多分に感情的ニュアンスで用いられている。ちなみにリスクは JIS で定義されており、そこでは「未来において不確定なことが起きる確率」といった意味であり、起こる出来事の好悪は問わない。
これらは、セキュリティ企業が「顧客が何を求めているか」ではなく「セキュリティ企業が何を売りたいか」、そして「顧客の成長」ではなく「セキュリティ企業の成長」を優先していることの証左であると古川は考える。
しかし、この製品ありきの姿勢は、顧客の側にも存在するという。双方に共通するのはプロセスを飛ばして最短距離でコスパ良く結果を出そうとする、何者に対してもリスペクトなきセキュリティである。
セキュリティ産業が成熟しない理由の一つは攻撃の進化スピードにも一因があると古川は分析する。約 3 年単位で攻撃の技術や方法が更新され洗練され続けるため将来に残せるもの積めるものが少ないからだ。
このような状況のもと、「大罪 1」で挙げたようにセキュリティが儲かる領域になって以降、産業は成熟どころかはっきりと退化していると古川は懸念している。どう退化しているのか、どんな企業のどんな製品や活動がそうなのかについてはここでは書かない。
次に挙げた大罪は「現場に行かないセキュリティ企業」である。サービスベンダーはともかくも、製品ベンダーが果たしてどのぐらい客の声を現場で聞いているのか。
古川は、ユーザーからよく言われる「セキュリティベンダーの人はいいよね」という言葉を挙げた。これはユーザーは運用から逃げられないという怨嗟(おんさ)の声でもある。
そもそも IT のソフトウェアは、IoT などと比べてまともに動かないものが少なくないと古川は語った。IT 系のソフトウェアは安定性や完成度ではなく、納品のスピードが優先されるため、開発文化や手法が異なることが原因だという。
もしセキュリティ製品がまともに動かない場合、アメリカでは猛烈なクレームが来るが、日本の客は著しくおとなしいという。喧嘩や議論をすることもコストと考え単に愛想をつかしてしまう。こうして「All Accept」のように実質デプロイされていないセキュリティ製品が誕生する。
最後に挙げられた大罪は、セキュリティ業界が標榜し数年おきに入れ替わりが生じる三文字・四文字言葉である。今なら「EDR」や「XDR」、そして「SASE」などのアルファベット略語群である。こんな言葉を無自覚にわめくセキュリティ企業には、次のような言葉をぶつけるべしと古川が教えてくれた。それは「だから何?」である。
そもそも顧客が実現したいことは、ここ 30 年全く変わっていないと古川は語る。要は目先と見せ方を変えて出しているに過ぎない。
たとえば「XDR」である。エンドポイント(EDR)だけでなく IT 環境全体を俯瞰して検知と対応を行うなんて、そんなこと気の利いたマネージドセキュリティサービス事業者ならここ 30 年ずっとやってきたことに過ぎないという。それを実現する技術や方法は変化したにせよ。
「お客さんの欲しいものは見たい情報を見やすい状態で見れるようにしたいだけ」と古川は要約した。そしてそれが高速で、なおかつ価格が安いならなお良しとも。
つまり「だから何?(So what ?)」の後には、「見たい情報をどう見やすく出してくれるのか」「どのくらい速いのか」「コストは」という質問が続くのだ。
そろそろ「七つの大罪と言って、まだ六つしか出ていない」と言われそうだしそれは正しい。実はもうひとつ「逃げる」という項目があったのだが、「現場に行かない」と重複する内容が一部含まれていたので、編集部の判断で意図して割愛した。
1.儲けるだけでいいのか
2.投資なのか
3.唯一の正解があるかのような肩書
4.誤訳と胸先三寸
5.目先と見せ方を変えるだけ
6.現場に行かない
(7.有事に逃げる)
同時にそれは「○○○に成功するための三つの△△△」といった、まるで簡単に答にたどり着けるような幻想を与える記事には(エヴァンジェリストという肩書を論理的整合性の破綻の自覚から生涯辞退したという人物を取材した今回は特に)したくないという意図があった。
「七つの大罪」ならぬ「六つの大罪」となることで、インパクトが少々減じたことは否めないが、しかし、現役でセキュリティ企業に所属する人物が行う発言としては、過去例を見ない問題提起を含んでいることは間違いないだろう。しかもこの取材の内容・テーマで、原稿の事実確認のチェックを求めることすらしなかったのには少なからず驚いた。そもそもがおまえらが聞きたいことを聞いてくれて構わぬという依頼だったが、書きたいように書いても構わなかった。
端的に言えば、こういう発言を許す文化が Rapid7 という企業にはあるのだと考えざるを得ない。
この取材を行うまでは、世界標準となったエクスプロイトツール「Metasploit」のイメージぐらいしか正直 Rapid7 にはなかったが、「Velociraptor(ヴェロキラプトル)」という、フォレンジックとインシデントハンドリングツールを開発するコミュニティを運営していたり、ある意味古川がかつて活躍した Linux と似たコミュニティアプローチを行っている。そして「Practitioner-first(実務者ファースト)Cyber Security」の考え方のもと、さまざまなサービス展開をしているという。
話を聞いて思ったのは、メリハリのある説明が難しいタイプの企業だということだ。HP を派手に使って戦う勇者的なプレイヤーではなく、MP で勇者を陰から支える僧侶のようなセキュリティ企業である。「APT」という言葉を発明し、それを倒す「輝く騎士」として颯爽と登場した Mandiant などとは対極的立ち位置だ。
「外部に丸投げ」と「ゴリゴリの内製運用」のちょうど中間の製品やサービスを「かわいい価格(古川)」で展開しているという Rapid7 だが、その詳細や個性の紹介はまた別の機会に譲ることとする。最後に、古川が Rapid7 に関する説明の中で使った言葉で、とりわけ印象に残ったフレーズがあったので挙げておきたい。
曰く、Rapid7 の社員全員が自分たちはムース(ヘラジカ)であるという概念を共有している。ムースは単複同形で複数形のない名詞であり、社員全員が「ワン ムース」であるという。ヘラジカは力持ちだが洗練されてもいないし、どちらかというとのろまな生き物のようにすらみなされているが Rapid7 の社員はむしろそれを誇りに思っている。派手さはないしスーパーマンが集まっている集団でもないがチーム(ワン ムース)として比類なき力強さを発揮する。
古川勝也(ふるかわ かつや)
ラピッドセブン・ジャパン株式会社 最高技術責任者
Compaq社で Linux 製品の開発に従事後、マイクロソフト株式会社 セキュリティ戦略グループ シニアプロダクトマネージャ、SecureWorks Japan株式会社 主席上級セキュリティアドバイザー、クラウドストライク株式会社 セキュリティアドバイザー・マーケティングディレクターを経て現職
ラピッドセブン・ジャパン株式会社
セキュリティ担当の実務者に向けて、可視化・分析・自動化を共有し、サイバーセキュリティの課題と成功のためにチームを団結させ、複雑さを簡素化する「Insight Platform」等のサービスを提供
