バグバウンティどころか JVN も Zero Day Initiative もないような時代に何のめぐり合わせかまだ誰も知らない脆弱性をうっかり自分が見つけてしまったときあなたならどう行動するだろうか?
大手ネットワーク機器ベンダのルータの脆弱性を見つけた研究者は、もろもろのしがらみを断ち切るため職を辞して脆弱性の報告に臨んだ(Ciscogate)。見つけた脆弱性を衆人環視のもと“実証的に”報告したことで逮捕された研究者も存在した(Office事件)。
まだ知られていない脆弱性を見つけたときどう行動するかはその人間の資質を顕わ(あらわ)にする。
米 Rapid7 社の 社長 兼 COO、アンドリュー・バートン(Andrew Burton)もまた、約 20 年前の 1990 年代後半、これら先人たちと同様の葛藤に直面し、それに対して自身が考える最も冴えたやり方で対処した人物である。
ソフトウェア開発経験を持つコンサルタントとしてアンドリューは、菓子などを販売する EC サイトの立ち上げを指揮していた。無事サイトが完成しお披露目の直前になって彼は、Web サイトに致命的な脆弱性を発見する。考えた末にアンドリューは、サイトに予期せぬ脆弱性が作り込まれてしまったことと、これを予定通り公開すれば運営元にもユーザーにもかくかくしかじかのリスクがある、これら「不都合な事実」をクライアントに直言し、公開を延期する道を選んだ。
クライアントの上層部にはもちろん、脆弱性やそれによって起こりうる攻撃や発生しうる被害など「まったく」「まるっきり」「さっぱり」話は通じなかったものの、彼が報告した脆弱性のニュースは、プロジェクト終了の打ち上げが行われていたクライアント企業にただよっていたお祭り気分に、冷水を浴びせる覿面(てきめん)な効果をもたらした。よりによって今言わなくても、そんなクライアントの視線を受けながら、しかし若きアンドリュー・バートンは自分は正しいことをしたのだから胸を張ろうと思った。20 年後自分が、脆弱性管理製品を振り出しに成長を遂げたセキュリティ企業の社長になるとは夢にも思っていなかった。脆弱性に対する行動が彼の人生を変えたのである。
本誌のインタビューで彼が一番最初に話してくれたのがこのエピソードだった。アンドリューにとって現在に繋がるセキュリティの原点なのだろう。
Rapid7 の日本法人ラピッドセブン・ジャパン株式会社は 2014 年設立、今年 2024 年で 10 周年を迎えた。3 月下旬、都内某所の外資系ホテルで同社は、製品ユーザー(検討中企業含む)とパートナー企業に参加を限定したエクスクルーシブなイベントを開催した。社長 兼 COO のアンドリューはそれに合わせ来日し、ほぼ満員となった会場参加者に向けて、日本市場での 10 年の感謝と今後の 10 年の抱負を語った。
講演で彼は、創業直後の 2000 年代前半の Rapid7 は、脆弱性管理の「Nexpose」、ペネトレーションテストツールの「Metasploit」などを中心としたソフトウェアとツールだけを提供するベンダーであったが、それらのツールを使いこなせる企業の数は限られていることに気づき、その後第 2 フェーズとして、専門家が運用をバックアップするソリューションビジネスを展開したと述べた。
アンドリューはそれらソリューションを「Extpert as a Seevice(サービスとして提供されるセキュリティ専門家による支援の意)」と呼んだ。Rapid7 は、外向けにラウドな情報発信を必ずしも行わない謙虚なラボや、長い運用と顧客支援実績を持つ SOC(セキュリティ オペレーション サービス)を有しており、顧客にかわってこれらの専門家がツールやソフトウェアの運用を受託する MSS(マネージド セキュリティ サービス)がソリューションビジネスの実態であり、その成功が第 2 フェーズの躍進を生んだ。Rapid7 の主力サービスが MSS であることはユーザー以外にはあまり知られていない。
いずれも MSS として提供される脆弱性管理プラットフォームの「insightVM」や、SIEM と EDR を統合しインシデントレスポンス支援を行う「insightIDR」、Web アプリケーションを保護する「insightAppSec」などを展開することで Rapid7 は、「我が社は今攻撃を受けているのか?」「もし攻撃を受けるとしたらどこが狙われるのか?」「どういう方法で攻撃されるか?」といった、セキュリティチームが回答に窮する数々の質問に答えられるための可視化基盤をもたらしたと述べた。
またアンドリューは、AWS や Azure、GCP などクラウドへの移行で新たな脅威が発生していることに触れて、オンプレミスもクラウドもひとつのデータプラットフォームで分析できるプラットフォームを有している強みを生かし、あらゆる企業がデジタル化していく現代そして未来に向け、「Secure The Digital Future」というコンセプトを述べた。
イベント前日には日本の大手ユーザー企業を訪問して、Rapid7 が今後も日本市場への力強い投資を継続することを自身が社長としてコミットしたと語り、本気度合いをアピールもした。
昨年たまたまラピッドセブン・ジャパン株式会社 最高技術責任者へのインタビュー取材がうまくいったことで、「セキュリティ企業七つの大罪」という、セキュリティ企業自身がセキュリティ産業を批判的に客観視するという、一風変わった記事を配信していた本誌 ScanNetSecurity は、この 10 周年イベントの唯一の取材メディアとしてどういうわけか招待されることになり、アンドリュー・バートンのインタビューを行う機会を得た。「またあいつらに書かせたら面白いだろう」ということらしい。
とはいえアメリカの上場企業(Rapid7 Inc.は NASDAQ 上場)の社長など、どうせ新自由主義経済の勝ち組、つまり金の亡者にして頭の回転が速く笑顔の素敵な人間のクズに違いない、そういう著しく偏ったいつもの視点で編集部がインタビューに臨んだことは言うまでもない。
だから、あらかじめ準備したことばかりを適当に喋られて、あとはニコニコするだけという、いろんなメディアでしょっちゅう見かける「海外要人来日記事テンプレ」が出来上がってしまう最悪のパターンも想定された。
だが、インタビューが始まってまもなく本稿冒頭の、脆弱性発見からの → クライアントへの上申からの → 打ち上げパーティーが台無し、の一連のプロセスを、あたかも成功したイタズラのように楽しそうに語るアンドリューの快男児っぷりにふれたとき、多少なりとも取材に勝算(本誌でしか聞けないコメントが得られる手応え)が見えた気がした。
Rapid7 のこれまでの活動や、コミュニティへの貢献の中で培った強み、そして現在の製品・サービス構成、研究体制などは、基調講演内容と重複する部分があるので割愛するが、
「ラピッドセブンは(多くの人がアクセスできるよう)セキュリティの民主化に力を入れてきた(We have focused on democratize security.)」
「セキュリティはエリートだけのものではない(Security is not only for Elite.)」
というふたつの言葉がとりわけ心に残った。走り書きの取材メモにもこのワードは明瞭に残されている。
これは「大企業だけではなく中小企業からもお金を集めて我が社は超絶儲けて参りますぜ(キリッ)」というよくある社長の発言にも聞こえかねないが、だとしたら何も「民主化」「エリート」などという、角の立ちかねない社会的な言葉を持ち出すのはうかつ過ぎるだろう。
なぜならこの言葉は、今のセキュリティ産業が(帝国主義か植民地主義か権威主義かあるいはその全部盛りかはわからないものの)民主化されているとは到底言えない状況にあり、金を持つ者だけが安全を享受する社会を描いた映画「The Purge」のようなディストピア的現状になっていることに、問題意識を持っていることを間接的にであれ示唆してしまうからだ。
お金や人材など資源が豊富な会社だけが実現できたセキュリティをアンドリューは「スーパーカー」に例え、今後 Rapid7 はスーパーカーではない、あらゆる層の組織や人々に手が届く製品を提供していきたいと語った。実際に彼は 「Rapid7 はトヨタ社のようなセキュリティを提供していく」というたとえを、ビジネスシーンでこれまでたびたび用いてきたという。
幸いなことにセキュリティの不均衡は、社会制度でも世襲でもなく、いまのところは単に主に技術と経済の問題である。一台一台手作りされていた富裕層好事家向けの超高額な嗜好品だった自動車が、T 型フォードの登場で激安になって大衆化し、さらにその後極東の島国で KAIZEN に KAIZEN が積み重ねられ、安価で燃費が良く故障が少ない自動車が生まれたように、サイバーセキュリティも何かのきっかけでガラリと変わる未来が Rapid7 には見えているのかもしれない。
いまや気の利いたセキュリティ製品は費用 1,000 万円や 2,000 万円はあたりまえ、近年は 1 億超えの高機能 SIEM 製品も市場に出て日々目玉が飛び出す毎日だが、必要充分に高度なセキュリティ対策が民主化され大衆化することは、必ずしも夢物語ではない。
