脆弱性管理プラットフォームのフル機能を、人もお金も技術もない中小企業に向けて無償で提供し、解決不能の難問「サイバー サプライチェーン リスク」の解消を図る。そんな目標をかかげ、すでに 1 億円超の持ち出しの自己資金で、砂漠に水を撒くがごとき活動を続ける「S4(エスフォー)」だが、ほとんどのユーザー企業の目には「うさんくさい」と映っているに違いない。他ならぬ本誌も最初に取材したときそう思った。
しかし、福井県福井市で地元企業を顧客に IT インフラの構築や運用支援サービスを提供する、株式会社 ict4e(アイ シィ ティ フォー イー)の代表取締役社長 原 秀一(はら ひでかず)はそんな風にはまったく思わなかった。
原は 1977 年生まれ。インターネットが社会を変える大きなうねりを見せ始めていた西暦 2000 年代前半に社会に出てさまざまな経験を積み、2013 年に ict4e を起業した。
なかでも、青年海外協力隊のシステムエンジニア隊員として渡ったアフリカで、IT 導入や利活用支援、そして生徒へのインターネット教育を行った経験は、原の人生を決定的に変えることになった。その後も、アフリカからのインターン生を会社に受け入れたり、“アフリカのシンガポール”と呼ばれ爆発的経済発展を続けるルワンダをはじめとするアフリカ各地でプログラミング教育や研修を実施するなど、デジタル技術を通じたアフリカと日本との橋渡しが、その後の原のライフワークのひとつとなった。
原にとってインターネットやデジタル技術とは、儲ける手段ではなく、何よりも社会を改善し、そこに生きる人を幸福にするものであり続けている。だから、大多数のお金がない中小企業にセキュリティプラットフォームを無償で提供するという S4 の正論過ぎる理念は、原にとって何ら違和感のあるものではなかった。
リリースされた直後から S4 を同社の IT 管理に活用している原に、S4 のユースケースや便利なところ、要望のあるところなど、さまざまな話を聞いた。
--
━━ 株式会社 ict4e はどんな会社ですか
当社は、企業のネットワークやサーバなど、デジタルインフラ周りのアドバイザリー業務を行っています。西暦 2000 年頃から Web システムを取り扱ってきた経験を活かして、「CIO」というと大きな言い方ですが、その会社の IT課題を理解して解決法を一緒に考えていくのが仕事です。福井県で事業を行っているので、顧客の企業規模はそれこそ数名のところから 100 名規模のところまで様々です。
━━ CyberSakura という中高生を対象にした サイバーセキュリティイベントに協力されていますね
当社は、中・高・高専生向けに福井県鯖江市で毎年開催しているオンラインセキュリティ競技会「CyberSakura(サイバーサクラ)」の技術支援を通じて、セキュリティの普及啓発事業を行っています。CyberSakura は、仮想環境に隠された脆弱性を発見し修正し、そのスコアを競うサイバーディフェンス競技で、2021 年から開催しており、2023 年の開催で第三回目になります。ict4e や有志の地元 IT 企業のエンジニアなどにより技術運営を担っています。
CyberSakura を開始したのは、地元の NPO、特定非営利活動法人エル・コミュニティで、代表と面識があったため第一回目の競技設計のときから一緒にやっています。福井県鯖江市の地域活性化と、若者が頑張れる場所を作ることをゴールに活動しています。
━━ S4 を使いはじめたきっかけは何ですか。また、どんなシステムを対象に S4 を活用していますか?
最初に S4 を知ったのは ScanNetSecurity の記事でした。無料だったからまずは登録してみようと思ったのがきっかけです。
先程申し上げたように当社は、CyberSakura のような サイバーセキュリティイベントをやっているので、クラウドLinux サーバに Webシステムや、学習用CTF を載せたりしています。そういったクラウドにある複数のサーバを S4 で管理できるのではないかと考えました。
また、サーバだけでなく社内IT資産管理にも活用しています。ネットワーク機器も S4 さんに積極的にサポートして欲しいと思って、自社で使っている YAMAHA や NEC のルータを遊びがてら登録してみたら S4 さんのデータベースから、ちゃんとルーターのファームウェアバージョンなどの情報が出てきたので「これは期待できるぞ」と思い、ネットワーク機器の登録をするようになりました。
本格的な IT 資産管理ソフトがあればこういった情報はネットワークスキャンの結果勝手に出てくるのかもしれませんが、当社はそれほどの機器数はありません。 S4 を使い始めたことで、脅威情報とあわせて管理していくモチベーションが生まれました。ちゃんとなっている、もしくはなっていないことが可視化できるのが嬉しいですね。
━━ S4 を日々どのように運用管理に活用していますか?
新しいサーバや機器を登録するときはブラウザで S4 のダッシュボードを開くのですが、毎日の S4 との関わりは、通知メールが来るのでそれを Slack と連携して最新情報をチェックすることです。それを見て 0 件と確認すると安心しますね。
※編集部註:メールによる通知には、S4 に登録された「資産に紐付く脆弱性情報」と、登録されていなくても脅威情報として広く通知する場合(Log4j のような深刻度が高く影響範囲が広いケース)の 2 種類ある
━━ S4 に改善を希望するところはありますか?
ソフトウェアや OS の脆弱性管理と比べて、ネットワーク機器の資産管理は、S4 が想定している使い方のメインではないからかもしれませんが、ネットワーク機器を登録すると、元になっているデータベースが古いため、自分が入れているファームウェアのバージョンと紐付けができないことがあります。1 ヵ月ぐらいで最新情報になるとすごく価値が高くなると個人的には思います。実はこれをお伝えできればと思って今日はインタビューに協力させていただきました。
━━ 資産管理で主に利用されているとのことですがセキュリティ管理で役に立っていることはありますか?
お客様のインフラを見ている立場ですので、新しい CVE が出たらなるべく早く気づいた方がいいと思っています。そういう脆弱性情報や脅威情報が「警告は黄色」「重要はオレンジ」「緊急は赤」と色づけされたメールがデイリーで届くのはありがたいと思っています。おそらく S4 さんがないと、これだけ日々見ることはないと思います。CVE を自分で追いかけて Web に見に行くかというと、それはなかなかできないと思います。
━━ その他に便利に使えている S4 の機能はありますか?
僕が覚えている一番大きなアップデートが、サーバにクローンタブで自動実行するスクリプトを仕掛けられるようになったことです。スクリプトを仕掛けると自動的にサーバの最新情報を S4 に送って、もうこちらで何もしなくても勝手に最新情報を上げてくれるので、とても連動性が良いと思いました。この機能が入ったあたりから、サーバがあれば積極的に S4 に入れたいと思うようになりました。
━━ 他に S4 に要望はありますか?
S4 の Facebook のサポートページもフォローしています。サポートページには、S4 さんの理念の部分はいっぱい出てくるんですが、もう少し「サービスの使い方」を書いて欲しいと思っています。「オンプレだとこういう使い方するといいよ」とか「クラウドとか VPS はこういう使い方を想定しています」とか、そういった具体的な情報を発信してもらうとユーザーにとって読みやすいし、活用するユーザーも増えるのかなと思います。
こういうサービスを無料で提供できることはすごいことだと思います。一方でユーザーが増えていかず将来的に無料サービスが終わってしまうと寂しい。ユーザーが増えて、最終的に日本の中小企業の脅威情報や傾向に関する知見は、実は S4 さんが一番持っていますみたいな状態になれば、ビジネスとしての突破口になるのでは、などと勝手に妄想しているところです。
━━ S4 の潜在ユーザーである中小規模の企業へのメッセージがあればお願いします
たとえば 50 台以上端末があれば、さすがにそのリスクや脆弱性管理の必要性は日々感じると思います。一方で 1 台が動いているようなオフィスでは「たった 1 台だし、まだ何も起きてないからいいよ」と、弊社でも提案を持っていきづらい。そんな「1 台だけ」という企業でも S4 があればとても便利になると思います。
━━ありがとうございました
--
取材中、原代表が何度か、ところどころで「S4 さん」という呼び方をしていたのが、なぜか印象に残った。
取材席上、S4 の開発メンバーが同席していたことも理由のひとつかもしれないが、通常、IT 製品やサービスに「さん付け」をすることはあまりない。Microsoft や Adobe を訪問した営業マンが「Word さん」とは言わないだろうし「Acrobat さん」などとも言わない。名刺管理のベンチャー企業である Sansan株式会社を訪問した営業が「御社の Sansan さん」とももちろん言わない。
つまらない駄洒落で原稿をしめくくるのかと怒られそうだが、翻って考えると記者は、長い歴史がある優れた飲食店にはそういえば、その店の人と会話する際には必ず「さん付け」するように思う。都内だけの話で申し訳ないが、蕎麦の「神田まつや」や、うなぎの「野田岩」、秋葉原の「赤津加」など。
原代表は決して、何にでも敬称をつけまくるような腰の低さを身上とするタイプでは必ずしもなかった。にも関わらず思わず「さん付け」してしまったのは、S4 というサービスの持つ理念や、そこで身を削って開発に従事し、その理念を守る人たちに対して自然に生じた敬意が理由であるように感じられた。今後も S4 が世の中にあり続けて欲しい思いがこめられているような気もした。
資本主義経済の商品やプロダクト、サービスはあくまで「消費」する対象に過ぎず、たとえ品質への感動があったとしても、それはそれを味わい認知する自分自身へのナルシシズムと自己愛の表出でありそこに敬意は存在しない。消費者は課金した分のサービス役務提供が完了すればそれで終わり。生涯匿名で顔がない「消費者」は課金・消費と、時間を切り売りする労働を無限ループする生涯を暮らしそこに成長はない。
少なくとも原代表にとって S4 はそういうプロダクトではないものとして経験されているように見えた。
2023 年 9 月、S4 を提供する株式会社クラフは、無印良品やユニクロがのどから手が出るほど取りたがっている(に恐らく違いない)「B Corp 認証」を日本のセキュリティ企業としてはじめて取得したが、S4 は IT サービスとその利用に対しても、人新世(ひとしんせい)時代のポスト資本主義の価値観を提案している。
