久しぶりに「その手があったか」と唸ってしまう冴えた回答を聞いた気がした。
取材やインタビューを行う場合、事前に質問を取材対象に送ることがあり、どんな答が返ってくるのか期待をもって取材に臨むことも少なくない。
ここ数年の取材の中でも「やられた」と思ったのが、2022 年 12 月に GMOサイバーセキュリティ byイエラエ株式会社に取材した際に、事前に出していた「GMOイエラエにとって安全でセキュアなWebサイトとは何ですか?」という、少々哲学的ともいえる質問に対する同社代表からの回答だった。その手があったというか、GMOイエラエ以外のほとんどの会社が口にしたくてもできない内容だった。
●日本のインターネットへのイニシャルアクセスの獲得
昨年 2022 年 1 月に GMOインターネットグループ入りして新しいスタートを切った当初から、同社のスタンスは明確かつ一貫していた。それは「日本全体のセキュリティを守る」そのための第一歩を踏み出したということだ。
GMOインターネットグループは、
・日本のインターネットドメインの9割と、
・日本のレンタルサーバーの6割を保有しており、
・グループ全体の総顧契約件数は1,500万を超える
誤解されかねない言い方をあえてするなら、GMOイエラエは GMO インターネットグループに入ることによって、9 割 6 割 1,500 万件の Webシステム等々 IT 資産への「イニシャルアクセスを買った」のである。名を捨て実を取った(結果的に熊谷正寿の強い希望で「名」は残った)。
要は、9 割のドメイン 6 割のサーバー 1,500 万の中小企業のシステムへのアクセスを手に入れ、9 割 6 割 1,500 万件をあまねく及第点のセキュリティレベルにすることで、結果的に日本全体の防御を可能な限り短時間で向上させる。こういう作戦を彼らは戦っている。
つまり、よくあるように大資本参加になって、それまでやっていた事業と同じことを規模拡大して再生産していくとか(GMOイエラエ側)、サイバーセキュリティ企業をグループに入れることで株価を上げてやろうだとか(GMOインターネットグループ 側)、そういう退屈かつケチ臭い発想は両社にはおそらくない。
GMOイエラエにとっては全く異なる新しいフェーズであろうし、一方 GMOインターネットグループ にとっては、膨大な数と規模の同グループのサービス全体を、セキュリティという視点で徹底的に棚卸しを行う覚悟を持って臨んでいるかのようにも見える。
そんな GMO サイバーセキュリティ byイエラエが「日本全体を守る」具体的な試みのひとつが、2022 年 11 月に発表されている。
●「シール」を使ったサプライチェーンリスク対策
それは、GMOイエラエの診断などいくつかの条件を満たした Webサイトに対して、一定のセキュリティが担保されていることを示す「サイバー攻撃対策シール」と呼ばれるバナーを掲出する仕組みである。
対策シールの開発に携わる同社 CISO 岸谷 隆久(きしや たかひさ)と大西 和貴(おおにし かずき)によれば、本稿の初回取材時(取材は2022年から2023年にかけて複数回実施した)の 2022 年 12 月時点でのサイトシール発行条件は、GMOイエラエの脆弱性診断を受けて、「侵入につながるリスクの高い脆弱性が存在しない B 評価以上のサイトであること」とされていた。
しかし、GMOイエラエの脆弱性診断を「国内 9 割 6 割 1,500 万件」という規模も業態も千差万別のシステム等に対してあまねく実施することは現実的に不可能であり、必ずしもその必要性すらない。それは、実に多くのサイバー攻撃被害が、半年や一年も前に公開された脆弱性を放置していること等によって起きるからだ。
そこでGMOイエラエは 2023 年 3 月 27 日から、同社が開発したツールによる自動簡易診断「GMOサイバー攻撃ネットde診断」を開始、この簡易診断で合格すればシール掲出が可能となる、サイトシール発行条件の変更を行った。
「ネットde診断」のチェック項目は SSH や MySQLのポート開放有無や、WordPress で構築されたサイトの場合の単純なパスワードチェック等々、約 40 から 50 の大項目からなる。
同業他社を畏怖させる、GMOイエラエの診断やペンテストによるチェックというよりは、ネット空間を常に放浪し、既知の脆弱性を放置したままにしている与しやすい(くみしやすい)サイトを検出する「サイバー攻撃の標的候補ピックアップロボット」達の目に止まらないようにするチェックのようだ。確かにこの仕組みが1,500 万件規模の顧客に均等にサービス提供されたとしたら、先の「日本全体を守る」という目標に一歩近づくだろう。
料金は月額980円(2023 年 12 月 31 日まで 5 ドメインまで無料利用可)、年間約1万円。料金の妥当性の判断はここから先を読んで欲しい。
ちなみに「ネットde診断」のチェック項目が 40 から 50 と聞いて「たったそれだけか」というのは正しくなく、要は物を知らない人がカタログスペックを横並びにして比較して商品選定を行うようなケースを想定していないだけである。何なら「6 万 5,000 のポートスキャンを実施」と書いてもいいが、そんなわかりきったこと書かないだけだ。馬鹿じゃないんだから。もちろん「顧客が」である。
また、チェック項目は随時必要に応じてGMOイエラエのチームによる加除が行われる。例えば、広く普及する OS やプラットフォームに深刻度の高いゼロデイが存在することをGMOイエラエのチームが見つけたような場合、それを即時反映できる仕組み作りも行っていくという。
また、SSL 証明書更新忘れのような、攻撃者が「カモ探し」の際にチェックするポイントとなる重要な OSINT 情報も「ネットde診断」のチェック項目には当然含まれる。
わかりやすくかつ少々乱暴に言うなら、Qualys や Tenable、あるいは SecurityScoreCard といったサービスを月 980 円の範囲で、主なユーザーである中小企業のレベルに合わせて提供するといったところか。なお取材の中で「サプライチェーンリスク対策である」とハッキリ口にされた。
決してリッチなサービスではないが、重要なところは、他でもないGMOイエラエがこのサービスを設計・チューニング・提供し、その後の運用を行うという点にある。
●「見つけてしまった」脆弱性
「GMOイエラエにとって安全なウェブサイトとは何か?」
冒頭で挙げたこの質問に対して代表の牧田が(ネットニュースでよくある誇張と煽りを加えて書くとしたら)「言い放った」言葉は次の通りである。
「安全な Webサイトというのは、僕たちGMOイエラエの技術者が侵入しようとしてもできないサイトのことだと考えています」
ここだけ切り取れば少々傲慢にすら聞こえかねない発言だが、しかしこれはマニフェストでも根性論でもなく事実そうであるのだ。
大きい発注力を持つユーザー企業の一部は、脆弱性診断やペンテストを発注する際に、自前の仮想環境を準備して、そこに見つかりにくいようにわざと脆弱性を作り込んだ環境を誂え(あつらえ)、ゴールとなる知財のデコイをばら撒き、発注先候補の診断企業に仮想環境に対して診断や攻撃をさせることで実力を見極めるという、採用候補のボディーガード同士を殴り合わせるようなえげつない方法で発注先を決めることがあり、そういうケースでラストスタンドとなるのがGMOイエラエであることが多いというのは以前書いた通りで、これが同社が日本のサイバーセキュリティ業界のジョン・ウィックと呼ばれるゆえんでもあるのだが、もう一つこれに似た逸話が存在する。
それは、気づいていない脆弱性や検知できていない感染があるように思えて思えて心配で仕方なくなったユーザー企業が、何社かのハイブランド診断企業にペンテストなりを依頼したもののそれでも何も見つからず、しかし管理者の直感は「必ず何かある」と告げており、最後の最後にイエラエに依頼したところ、結果複数のハイブランドセキュリティ企業でも見つけることができなかった脆弱性や感染を、イエラエの技術者が見つけてしまった。そんなことがこれまで一度や二度でなく何度もあったという事実である。
つまり、言葉通り、2023年現在の日本で「安全なサイトとは何か」と問われたら「GMOイエラエの技術者が侵入しようと努力しても侵入できないサイト」である、というのは実務的妥当性がある。
「ネットde診断」が限定的なサービスであることは間違いない。しかし、それを扱うのが十数年の攻撃ノウハウや脆弱性発見の経験を蓄積したGMOイエラエという点が重要である。ゴルゴ13やジョン・ウィックなら、高性能な武器などなくても鉛筆 1 本、あるいは本 1 冊あれば仕事を完了させることができる。要は使いようということだ。
●セキュリティ投資にプラスの価値を
ちなみにこれも書いておこう。安全であることをシールで第三者に示すというこの企画が出された当初、GMOイエラエの技術者からは猛烈な反発があったという。当たり前である。
安全を保証する範囲が限定的であるのにも関わらず「これを貼れば安心」などと考える人が出てきそうという点において、まるで嘘をついているかのような後ろめたさを技術者なら当然感じるだろうし、何より怖いのが「安全」などというシールが貼ってあると「どれどれ」とばかりに攻撃者の好奇心・功名心を無駄に誘うという事態が発生しうるし、実際に過去そういうこともあった。
この企画の実現は難しい、そう言って「何度か押し戻した(牧田)」にもかかわらず、この企画が実現した理由は二つある。
その一つは、この企画の発案が GMOインターネットグループ代表の熊谷正寿であることだ。熊谷と牧田との食事の席上で当該企画についての話が持ち上がり、やや引き気味に牧田はその話を笑顔で聞き流した。
せいぜい「食事の席での雑談」ということで流れるかと思っていたものの、あに図らんや、翌朝になると対策シールのデザイン案が熊谷から届いたという。おそらく Adobe Illustrator を使って作成したと思われる「熊谷手製のシールデザイン」である。「牧田さん、昨日申し上げたお話ですが、デザインはこれでいかがでしょうか?」そんな明るい声が聞こえるようだったという。
かねてより牧田は、セキュリティには「隠す文化」と「公開する文化」があると思っていた。日本では「Security by Obscure」、要は何をやっているかわからない状態にして安全を担保するという考え方が支配的である。
しかし一方で、正反対の立場も存在しており、例えば合衆国政府が HackerOne のような仕組みを使ってソースコードを公開してみんなで共有し、「たくさんの人の脳ミソで対策していく」やり方も存在する。相対的に後者の方が長い目で見て柔軟性と強度は高い。
「セキュリティ投資をすることに、これまでなかった積極的なプラスの価値を与えたい」
「新しい価値観を創造したい」
熊谷が打ち合わせで言い続けていたこれらの言葉は、いちいち自分の腑に落ちるものばかりだったことを牧田は認めざるを得なかった。やがて、企画を戻すのではなく逆にGMOイエラエの仲間を説得してみようと牧田は思うようになった。
3月27日に正式にサービスインしたばかりの「ネットde診断」だが、たとえ月1,000円以内だとしても、それでも十分に高額だと思うユーザーが 1,500 万の過半ではないかと正直言って思う。
しかし面白いところだが、このサービスを無料にしたところで、みんなが使うかというと絶対にそんなことはない。「セキュリティは面倒くさい」「セキュリティは難しい」「セキュリティマウントを取られる」等々、料金の安さと普及とは必ずしも相関しない場合がある。たとえそれが無料だったとしてもだ。それは、宮崎県のベンチャー企業のとあるプロジェクトが社会実験の結果証明してみせた通りである。
ここで生きてくる可能性があるのが、セキュリティを積極的な価値にせんとする「熊谷仮説」である。ノート PC に気の利いたステッカーを貼ることがクールであるごとく、「サイバー攻撃対策シール」を貼ることがクールでちょっとカッコいいこと、再生紙を使うように素敵なこと、顧客を配慮する思いやりのあること、社会全体を良くしようと努力する利他的企業、そんなイメージ作りができたとしたら話は変わってくるだろう。
日本文化はとにかく隠してなんぼの世界である。「秘すれば花」とは室町時代の有名な俳優・演出家・劇作家の世阿弥の言葉である。しかし、秘する花すら国として失ってしまったら元も子もない。
今後どのように展開するかはわからないが、あるいは将来、「日本には GMOインターネットグループ という企業集団があって、Google に Mandiant がついているように、GMOインターネットグループ にはGMOイエラエという、少しはできる小癪な(こしゃくな)セキュリティ企業がついている。だから GMOインターネットグループ が管理するサーバーや Webサイトに当たるといろいろ面倒くさい」そんな評価を海外のサイバー攻撃組織からされるような未来があることを期待したい。
