程度の差はあれ、これまで企業は、セキュリティ製品やサービスを「観光」的に消費してきたと思う。初期は検疫ネットワークや IDS/IPS、そして WAFなど、近年なら EDR や XDR、SASE、ZTNA など、つまり例外は多く存在するものの「今話題のセキュリティ製品・機能」を、あたかも SNS でバズった観光地をその時々に巡る観光客のように導入してきた。そうすれば安心できたし責任を果たしているとみなされてきた。
攻撃は日々変化と進化が早いのでそれに対応する柔軟性が確保できたり、動機はどうあれ新しい技術が広く導入されることでベストプラクティスが共有されやすい環境が生まれるなどメリットもたくさんあるが、負の側面を言うと、都度都度場当たり的な対応を続けてきたと言えなくもない。そんなことをしているからサイロ化する。
なぜこういう残念なことになってしまうのか。
その理由は、ユーザー企業にとってセキュリティは利益を生まないただのコストだし、敷居が高いし、重鎮は偉そうだし暴言を吐くし、みんなが「いやいや」セキュリティ対策をやっているからだという「それまで誰も言わなかった真実」を、はっきり口に出して言ってしまった、おそらく記者の知る限りセキュリティベンダに所属する日本で最初の人物の一人が、株式会社スリーシェイクの手塚 卓也(てづか たくや)氏である。
人間誰しも、敷居が高かったり怖かったり難しかったり面倒くさかったりすることに、身を入れたり当事者意識なんて持てないのが人情である。
そんな「仕方なく」「イヤイヤやっている」「苦痛でしかない」セキュリティ運用という苦行に従事する担当者に向けてスリーシェイクが提供するのは、圧倒的なわかりやすさとシンプルさである。同社が提供するセキュリティプラットフォーム「Securify(セキュリファイ)」を見たとき情シス担当者は、たくさんのボタンやスイッチに慣れた日本人が初めてアップル製品に出会ったような霧が晴れたようなシンプルさに驚き、そして救われる。
10 月に開催される Security Days Fall 2025 で「見えない脅威を可視化せよ! 攻撃者視点で考える統合的なセキュリティ対策について」と題した講演を行う株式会社スリーシェイク Securify 事業部 部長 手塚氏に話を聞いた。
--
── 株式会社スリーシェイクはどんな会社ですか?
弊社は創業が 2015 年で、ちょうど 10 年を迎えた会社です。現在 150 名ほどの正社員のみの体制です。創業以来、一貫してエンジニアリングに向き合う事業を中心に展開してきており、私自身ももともとエンジニアとしてキャリアを積みました。
基幹事業は「Sreake」で、SRE(註)や DevOps と呼ばれるような、スムーズな運用を行うためのクラウドの利活用や支援を、コンサルティングや現場の技術サポートを通じて提供しています。今回ご紹介する「Securify」はセキュリティ課題を解決するものです。
(註:Site Reliability Engineering(サイト信頼性エンジニアリング)の略、システムやサービスの信頼性を高めるための開発・運用手法)
── SREが基幹事業になっている会社さんが、診断ツール Securify を作ったきっかけは何ですか?
弊社の基幹事業である Sreake では、ミッションクリティカルと言われ、決して落とすことが許されないシステムや、情報漏えいという観点でかなりセンシティブな情報を取り扱うお客様のご支援を数多くさせていただいています。
ある日そんなお客様から「脆弱性診断をスリーシェイクでやってくれないか」というオーダーがあり、最初は人手をかけてやっていたんですが、ビジネス的に考えても限界がありますし、人をどんどん増やしていかないと支援が継続できない課題がありました。せっかくやるのであれば、より広いお客様に提供できるようにと、ためていった脆弱性診断の知見をツールに落とし込んで Securify が生まれました。
私自身もいろいろなセキュリティツールを試して使っていく中で、どのツールも複雑でハードルが非常に高いと感じていました。世の中の大半の企業は、普通の開発者や普通の運用者が大半を占めていますし、専任のセキュリティエンジニアを雇える会社はそこまで多くない。であれば、そういう担当者の方でも使えるツールを提供すればいいと考えました。
── Sreake の顧客から診断を頼まれたということですが、その顧客は診断をセキュリティ会社に頼まず、スリーシェイクに相談したのはなぜですか?
やっぱりインフラ環境とか、アプリの構成がどうなってるかという解像度が我々はすごく高いんですね。アプリの Web 脆弱性診断は、外から見たものもホワイトボックスの診断も、環境構成がちゃんとわかってる人間が近くにいて、セキュリティエンジニアと直で情報連携しながら診断したほうが精度が高いのは当たり前の話で、そういうところの期待値を持たれて我々にご依頼いただいたのかなと思います。
また、診断は受けるお客様側の負担も多いんです。診断を受けるための環境を用意する必要があって、そこに対する「これってどういう仕様ですか」「どうなってますか」みたいなやり取りは苦痛でしかないので、そこを我々がフルマネージドでやりますよというのは、お客様にとって一定の価値があったと考えています。
── 解像度ということですが、低い高い、その差は何ですか? どういう状態だと解像度が高いと言えるんですか
いい質問ですね。難しいな。
解像度とは結局「お客様の立場」「お客様の考え」に対してスリーシェイクが持っている解像度のことだと思います。主人公はシステムであったり、お客様のサービスです。そこに対して常に邪魔になるものがセキュリティ対策です。
── 最初の最初に、その「診断も御社にお願いします」「だってうちのこと一番よく知ってるでしょう」と相談してきた会社さんは、今現在 Securify を使ってたりするんですか?
します、します。
── はじまりを生んだ関係がいまも継続しているっていいですね。その継続を生む Securify の強みと魅力は何ですか?
Securify が提供している価値の中で一番受けがいいのは、とにかく「わかりやすさ」「丁寧さ」です。世にたくさんある診断ツールの中でも、とにかく入力値をできる限り減らしながら、ユーザーの手がかからない中で診断をどうできるかを常に考えて、脆弱性診断の機能を提供しています。
そこに加えて、新しい価値として、簡単さとわかりやすさを維持しながら、機能としての幅広さを付け加えています。昨年提供を開始した ASM 機能や、今年からは CSPM、SBOM 機能など、Securify の簡単さを残しつつ、オールインワンで統合的にセキュリティ対策が実現できるところが Securify の強みだと思います。
── シンプルさが一番優先されるところなんですね
同時に、最近大事にしているのが作り込みやこだわりというか「ここまでやるか」みたいなところを大事にしています。
── 何を「ここまでやるか」というところまで突き詰めるのですか?
たとえば最近リリースした新機能では、実際の操作画面を示しながら、具体的な改善手順を一つひとつ解説する仕組みを導入しました。実際に現場で対応する担当者の立場に立つと、専門知識が十分でない場合「この操作を本当に実行して問題ないのか」という不安を感じるはずです。
そうした現場の不安や迷いを解消するため、私たちは誰にでも理解できる明確な指示と、安心して操作できるガイダンスの作成に徹底的にこだわっています。一見すると差別化が難しい領域だからこそ、こうした細部への配慮にどこまでこだわれるか。最終的にはそこが私たちの競争優位性につながると考えています。
── 今回の Security Days Fall 2025 の講演の見どころは何ですか?
セキュリティ対策はその時の流行り廃りがあって、一時的にひとつの技術や製品が持ち上げられるようなところがあります。我々も ASM や CSPM、SBOM など、その流行りを追従しているところはもちろんありますが、しかし大事なのは、本当に情報漏えいに直結するような物事に対して、ちゃんと優先度をつけながら対応ができているかというところにすべてが集約されると僕は思っています。そのための考え方やエッセンスをぜひ来場者の方々にお伝えします。
私たちが提供する製品もご紹介しますが、それはあくまで題材としてです。一番にお伝えしたいのは、その製品に込められた私たちの考え方、どのような思想に基づいて作られているかという点です。ご来場いただいた皆様には、スリーシェイクのセキュリティ対策に対する考え方をお持ち帰りいただき、皆様の業務に活かしていただけると嬉しいです。
── 最後に展示ブースの見どころを教えてください
Securify の製品のデモが見られるようになっていますので、ぜひお越し下さい。初日はわたしもブースにいます。Securify にとって新しい土地である福岡会場での講演もあって、とても楽しみにしています。
── ありがとうございました
--
これだけ毎日のようにランサムウェア被害や不正アクセス、情報漏えいが報告されると、セキュリティ対策はもはや流行りを追う「観光」ではなく、その土地に「定住」するように身を入れて運用せざるを得なくなる。家を建ててそこに住むのだ。
しかし、多くのセキュリティ企業は旧態のまま、単に「検知率○○%」といったスペックや、「アメリカ国防総省出身」だの「イスラエル 8200 部隊」といった肩書やブランドを品質証明のエンドースメントにしているだけで、いまひとつ腑に落ちる説得力がない。ユーザーではなく鏡の中の自分を見ている感が漂う。
株式会社スリーシェイクはそうした中で明確に、単に優れた製品だけではなく、価値観やフィロソフィーを顧客に売らんとする企業のひとつだ。セキュリティ製品は導入後も長く濃密に運用でつきあうことになるので、製品が持つ文化や価値観が自社に適合するのかどうかの見極めがとても重要である。是非手塚氏の講演でそれを確かめてみてほしい。「定住」した先の未来像を考えてほしい。
Security Days Fall 2025
大阪講演 10.10(金) 13:45-14:25 | RoomC
見えない脅威を可視化せよ!攻撃者視点で考える統合的なセキュリティ対策について
株式会社スリーシェイク
Securify事業部
部長
手塚 卓也 氏
東京講演 10.21(火) 10:30-11:10 | RoomA
見えない脅威を可視化せよ!攻撃者視点で考える統合的なセキュリティ対策について
株式会社スリーシェイク
Securify事業部
部長
手塚 卓也 氏
福岡講演 10.28(火) 13:45-14:25 | RoomA
見えない脅威を可視化せよ!攻撃者視点で考える統合的なセキュリティ対策について
株式会社スリーシェイク
Securify事業部
部長
手塚 卓也 氏
