セキュリティ診断サービス「ほぼ」20周年特別企画 「行く診断」

• 座談会参加者（各50音順）
• 座談会本文

座談会参加者（各50音順）

生き字引チーム

有貝 ： 

現在JSOCのマネジメントだが、入社以来診断サービスに配属され、事業拡大に取り組んだ

秋山 ： 

現在副本部長としてセキュリティ全サービスの管理を行っているが、セキュリティ事業の立ち上げメンバー

川崎 ： 

現在コンサルタントを行っており、標的型攻撃メール訓練「ITセキュリティ予防接種」の立案から事業化を進めた

白井 ： 

現在コンサルタントを行っており、診断、サイバー救急といったセキュリティ事業を立ち上げたメンバー

西村 ： 

現在コンサルタントを行っており、セキュリティ診断の技術を支えてきたエンジニア

柳澤 ： 

現在コンサルタントを行っており、セキュアコーディングなどのアプリケーション開発の支援を提供したメンバー

現役チーム

川島 ： 

標的型攻撃メール訓練「ITセキュリティ予防接種」のチームリーダー

熊谷 ： 

Webアプリケーション診断のチームリーダー

佐宗 ： 

プラットフォーム診断のグループリーダー

企画チーム

木村 ： 

セキュリティ診断部門の企画およびマネジメント

倉持 ： 

システム開発本部を経て、エンタープライズセキュリティサービスの部門長

山崎 ： 

入社以来セキュリティ診断を担当している、Webアプリケーションセキュリティのスペシャリスト

吉田 ： 

入社以来セキュリティ診断を担当し、現在セキュリティ診断のマネジメント

渡部 ： 

JSOCのマネジメントから転身、現在セキュリティ診断のマネジメント

座談会本文

司会 ： 

さて、こんな大人数で座談会ができるのか、ってくらい多くの関係者（14人！）に集まっていただき感激しています（汗）
今回は、セキュリティ診断サービスの20周年ってことで、創成期から今までの歴史を振り返り、何があって今どうなのかを語り合っていただきたいと思います！

倉持（企画チーム） ： 

（エンタープライズセキュリティサービス事業部の偉い人。セキュアコーディングなどに精通しているシステム開発者、だった）
今期から歴史あるセキュリティ診断サービスの一員となりましたが、実はラックのセキュリティサービスで最初に始めたのが診断だったと最近知りました（笑）。事業開始から20年の区切りということもあるので、ここらで思い出振り返りでもしたいな、と思ってます。

ラックとセキュリティ事業の振り返り

司会 ： 

そもそも、ラックのセキュリティ事業の立ち上げってどういったものだったんですか？

白井（生き字引チーム） ： 

いきなりそこから突いてくるんですね（笑）インターネットが一般的になった1995年前後から、プロバイダー運営なんかも視野に入れたネットワーク事業を始めて、ホームページ構築サービスとかもやってた。しかしすでに大手企業なども参入していて面白くないので、他がやっていない仕事でこれから必要とされる事業を、大阪からやってきたM氏（すでに退社されているためイニシャル）が考え始め（笑）

秋山（生き字引チーム） ： 

M氏が引き金は間違いないね（笑）ネットワークの防御のためのファイアウォールの研究をはじめ、それこそPCの組立やソフトのチューニングからはじめたんだよね。最初は好きもの技術者が集まって、アメリカのCERTアドバイザリで発表される攻撃手段を試したり、それを防御したりを考えているうちに知識がたまり、その流れが当時のSNS（セキュアネットサービス）につながってて、脆弱性情報の提供とかに進化したんだよ。

白井（生き字引チーム） ： 

そうそう。その流れで海外で急速に注目されだしたISS社のインターネットスキャナに注目し、オーストラリアから直接製品を取り寄せて技術検証を行い、試験的にサービスに使い出したんだよね。正式には1995年にサービス開始ってことになっているけど、その何年も前から、「まずは使ってみよう」ってノリで始まった。その後インターネットスキャナの使い方を教えるサービスもはじめ、それが「ラックセキュリティアカデミー」につながったんだよ。

倉持（企画チーム） ： 

そんな前から始まってたんですね！インターネットスキャナっていつまで使ってたの？

山崎（企画チーム） ： 

2006年くらいまではメインで使っていましたが、それ以降は別の脆弱性スキャナも利用するようになりました。当時から、独自の診断ツールも利用しています。

柳澤（生き字引チーム） ： 

ラックはサイバー救急センターができる前から緊急対応の依頼を受けていました。診断サービスは、結局セキュリティ対策の状況確認を行っているわけですが、緊急対応の現場でもセキュリティ診断は活躍しましたね。

秋山（生き字引チーム） ： 

脆弱性とは何かを知り、弱点を発見して対処っていう流れを理解できた、ラックのセキュリティ事業の母体となったのがセキュリティ診断だったような気がするね。セキュリティ監視センターのJSOCもこの延長にあるわけですから。なにより、セキュリティ事業は人がいなかったので、全員がいろいろなサービスの掛け持ちをしてたのが、複数のサービス展開につながったのかも（笑）

セキュリティ診断とは何か

司会 ： 

ラックのセキュリティサービスの種がセキュリティ診断だったわけですね！そのセキュリティ診断ですが、当初から今のようなサービスの内容だったんですか？

秋山（生き字引チーム） ： 

ぜんぜん（笑）

白井（生き字引チーム） ： 

これ、言って良いか分からないけど、とにかくお客様の意識を変えてもらわないとならないので、診断対象の隅々までを入念にチェックしまくり、ここまで被害が発生しますよ！なんてやってた。ウイルスもどきを作ったり・・・

木村（企画チーム） ： 

今はそんなことやってません！

倉持（企画チーム） ： 

あたり前です（笑）

秋山（生き字引チーム） ： 

当時はセキュリティ強度を調べる手段が明確じゃなくて、まさにペネトレーション(侵入)テストだったんだよね。そのおかげで、いろいろなノウハウがたまったし、考え方は今のメニューにあるアドバンスト診断みたいなものだね。ツールを動かして終わりっていうのは、ラックとしてはちょっと物足りないからね。

白井（生き字引チーム） ： 

もともとはプラットフォームとWebアプリケーションの区分けなく診断をして、徐々にそれぞれ特化していった。

倉持（企画チーム） ： 

ツールといえば、今もラック独自の診断ツールあるよね。

山崎（企画チーム） ： 

Webアプリケーション診断では、2002年から「viva!」っていうツール群を作って使っています。プラットフォーム診断向けのツールも少し作っていて、「SotoScan」といいます。マニュアルでの診断が大変なので効率化を考えて作ったツールですが、今も進化し続けています。」

木村（企画チーム） ： 

ツール拡充の必要性は、2005年くらいから急速にサイバー攻撃が金儲けの手段に切り替わって、その対象がWebに向かったことから始まった感じですかね。複雑な手順の診断をいかに効率的に行うか、ということで。

倉持（企画チーム） ： 

ビジネスを見ている側から言うと、いつからセキュリティ診断サービスって事業として成り立ったの？

秋山（生き字引チーム） ： 

セキュリティ事業全体にいえることですが、2000年くらいまでは本当に蓄積の時代というか、とにかくどんな案件でも対応してましたね。そうこうしているうちに経験もたまりビジネスの核ができてきた。

白井（生き字引チーム） ： 

まったくビジネスとしてペイしていない状況だったので、今はCTOをしている西本さんがセキュリティの事業化のために参加され、セキュリティコンサル、弱みを見つける診断、セキュアな開発、攻撃を見つける監視、システムを活用する人の教育、サイバー救急を連動させ体系化した感じだね。

セキュリティ診断のうまい活用方法

司会 ： 

トライアルから始めて徐々に事業の体裁が整ってきた、というのは先駆者らしい経験ですね。さて、長い歴史をもつセキュリティ診断ですが、このサービスはどのように使うのがよいのでしょう？

吉田（企画チーム） ： 

お客様のセキュリティ診断への認識は変化してきていて、過去はわりと「診断をしておけばいい」というアリバイ作成的な感じで捕らえていた方も多くいましたが、今はしっかり診断して、脆弱な部分をできるだけ減らしたいという強い思いを感じます。サービスをうまく活用いただくために重要なのはお客様のスタンスかなと思います。

渡部（企画チーム） ： 

ですね。ラックのセキュリティ診断サービスは、広く早い内容から、深くじっくり行う内容までが揃ってますが、どこが目標なのかを明確なお客様の場合には、コストや時間の見積もりが出しやすいです。

佐宗（現役チーム） ： 

私はプラットフォーム診断を提供していますが、システムの脆弱性ってシステム構築の段階と、システム運用の段階で管理の仕方が違うんですよね。システムを利用している間にソフトウェアの脆弱性や、設定不備が発見され、それに合わせたメンテナンスが必要になります。これをおろそかにしている管理者は、結構多いんです。私はお客様には、システム構築の段階ではじっくりと深い診断を行っていただき、運用後は確認の意味での定期診断を行っていただくことをお勧めしています。これはPCI DSSでもお勧めしているメンテナンスの手法ですね。

倉持（企画チーム） ： 

私はシステム開発畑の出身ですが、アジャイル手法を使った開発においても、プロトタイプの段階からセキュリティ診断を行うことは、開発をすべて終わらせてからの診断で後戻りするよりコストが安く済むという考え方からしても、有効ではないかと思ってます。この場合、アドバンスト診断のような深く調べるのは開発の最終段階で、開発中期に関してはツールなどで最低限の項目を診断するというやり方もよいかもしれませんね。

熊谷（現役チーム） ： 

私はWebアプリケーション診断を提供していますが、お客様ご自身が開発されたWebアプリケーションのセキュリティ品質は、単純なツールで見つけきれないものがあるので、やはりシステムの稼動直前の診断は、時間をかけた診断内容をお勧めしています。しかし、日本の商習慣なのかシステムの稼動は4月に集中しているのは、おそらく検収納品が3月末に集中するからなんでしょうね。ラックは診断専属で100名を超える業界随一の体制を維持していますが、それでもこの時期は過密な状態になりますので。

渡部（企画チーム） ： 

1月から3月は本当に過密で、今年ももうほとんど依頼を受けられない状況になっています。しかし、上半期となる4月から9月はエンジニアの稼動に余裕がある状況です。そのためお客様にはこの時期の実施をお勧めしています。

川島（現役チーム） ： 

私は標的型攻撃メールに対する予備訓練をする「ITセキュリティ予防接種」を担当していますが、毎年同じ人に実施して慣れてしまわないように、送信メールの文面や形式を工夫するなどして、効果的に実施できるように常に気を使っています。たとえば新人の方に向けた実施は、教育効果を高めるために標的型攻撃メールを2回発信して理解度の促進を図ったり、認知状況を確認するだけであれば単発のメール発信で十分だったりします。このあたりも、お客様の意図がどこにあるのかを見極めて提案してますね。避難訓練のように継続的に実施いただくことが重要です。

川崎（生き字引チーム） ： 

私はITセキュリティ予防接種の原型になったサービスを開発したのですが、当時JPCERT/CCと一緒にサービスを開発するにあたり、着目したのはまさに教育効果という部分でした。標的型攻撃メールの認知がどの程度浸透しているかを知りたいという気持ちも分かりますが、本質的には標的型攻撃の耐性を上げることが狙いなんですよね。だから2度の標的型攻撃メールと教育の機会が必要になると思ってます。

佐宗（現役チーム） ： 

また、報告会をうまく活用していただけるとよいかもしれませんね。セキュリティ診断は第三者的な立場でセキュリティ状況の確認をしていますが、たとえば経営層の方の意識を変えていただきたい場合や、システムインテグレーター様への指摘を強めに行いたい場合など、報告会を契機に物事の決断や進展をさせるお客様もいらっしゃいますので、テクニックだなあと思います（笑）

柳澤（生き字引チーム） ： 

アプリ開発のセキュリティコンサルティングを行っている立場からですが、皆さんが言われているような定期的な診断を実施しているお客様の環境は、総じて高いセキュリティ品質を維持できているように思います。また、初年度に多くの問題が出たお客様でも、3年ほどサイクルをまわして経年比較を行うことで、目に見えて品質が良くなっていくケースが多くあります。開発や発注の工程でセキュリティ対策が促されることがその理由の１つであり、スキルや意識の向上にもセキュリティ診断は効果的と考えています。

有貝（生き字引チーム） ： 

システムが運用に入っている場合には提案できないですが、システム構築の段階のお客様には、セキュリティエンジニアが腕を振るった少し厳しい診断をしたほうがいいと思うんです。実際のサイバー攻撃は手加減をしてこないのだから、同じ強度の攻撃を受けてみてどうなるか、と試すのは大変重要だと思ってます。なかなかそこまでを要望されることは少ないですけどね。

セキュリティ診断は何が難しくて何が鍵なの？

司会 ： 

サイバー攻撃を受ける前に、受けたらどうなるかを知っておくという意味では、脆弱性の有無を確認するだけでは十分ではない、ということなんですね！20年、この体制を強化しつつ維持してきたわけですが、セキュリティ診断事業を展開する上で、困難な課題は何で、成功の鍵は何だと思いますか？

秋山（生き字引チーム） ： 

過去から一貫して言えることは、エンジニアの育成、ですね。

吉田（企画チーム） ： 

ですね、エンジニアは事業における宝ですので、育成は本当に重要です。業務という視点で見ると、セキュリティ診断は毎回同じ作業の繰り返しに見えるかもしれませんが、システムは様々ですし、また、サイバー攻撃もITの技術も常に変化していますからね。その水面下の動きを捉えてスキルアップしてもらうためには、モチベーションの維持が重要なんですよ。

熊谷（現役チーム） ： 

また、お客様の本心を聞き出し、ご満足いただけるサービスを提供するためには、エンジニアの人間対応力の高さも必要だと思ってます。セキュリティ技術を駆使したサービス提供がゴールなのではなく、お客様のセキュリティ意識が高まり対策を実施していただくことがゴールだと理解しているエンジニアが、お客様にそのような意識になっていただくことが必要なんですよね。

川島（現役チーム） ： 

経営者の方とお話をする機会が多いのもセキュリティ診断の特徴かもしれません。経営者の方の気にするところは、同じ業界の競合企業や、平均的な対策状況などを比較される方が多いってことでしょうか。対策費用面もある程度妥当性を知りたいのだと思いますし、そういった業界動向などもエンジニアは知っておく必要もありますね。

西村（生き字引チーム） ： 

スキルアップの必要性としては、とにかくお客様のスキルアップが著しく、場合によってはラックのエンジニアを凌駕する方もいるってことですよね。お客様と対等にお話ができるためには、ラックのエンジニアも相当の努力をしなければならないです。

山崎（企画チーム） ： 

以前ラックには、「インスペクターズ」っていうバーチャルチームがあり、セキュリティ診断技術に関心があるエンジニアで、得られた知識を共有する取り組みがありました。こういう活きたスキルを共有する取り組みは、今後も必要になりそうですね。

佐宗（現役チーム） ： 

そういった能力や経験を駆使してサービスを提供するわけですが、最も重要なことは顧客満足度を高めてゆくという努力に尽きますよね（笑）これはどんな製品もサービスもあたり前のお話ですが、お客様の意図に沿ったサービスをしなければならないと思っています。エンジニアもこの点を理解してくれているようで、アイ・ティ・アールが調査したサービスの顧客満足度調査では、高い評価をいただきましたし、それがセキュリティ診断の7割のリピーターにつながっているのかなと思います。

倉持（企画チーム） ： 

技術と投資対効果と、お客様ご担当者の満足度を高いレベルでバランスさせることが、事業成功の鍵であることは間違いないよね。セキュリティ診断チームが20年この組織を保ってこれたのも、今回の座談会で皆さんが述べられた内容を忠実に実施してきた結果なんだって、今回の座談会で私自身が学びました（笑）

司会 ： 

皆様、長時間ありがとうございました。すべての発言をすべて文字にはできないと思いますが、きっと読んでいただいた方には「ラックってちょっとはまじめに考えてるじゃないか」と感じていただけたと思います。
さて、「行く診断」はここまでにして「来る診断」に移りましょうか！「来る診断」は、1月上旬に公開予定！ご期待下さい！

セキュリティ診断サービスはこちら