ラックのセキュリティ診断30年の歩みと未来～スペシャリストインタビュー第1弾

2025年、私たちのセキュリティ診断サービスは30周年を迎えます。この節目に、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識を深めるための情報発信をより一層強化していきます。

この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティが対象とする範囲やその重要性も進化してきました。今回の企画では、「専門家が考えるセキュリティ診断の現在地と未来」をテーマに、デジタル社会の安全を目指して脆弱性に取り組むスペシャリストたちに、これまでのセキュリティ診断の歩みと、今後のあるべき姿についてお話を伺います。

記念すべき初回のインタビューでは、セキュリティ診断の30年間の歩みと今後の展望について、ラックの診断サービスのキーマンである、セキュアソリューションユニット長の木村 芳教、副ユニット長の吉田 聡、デジタルペンテスト部 部長の篠原 崇宏にインタビューしました。

プロフィール

セキュリティ診断30年の歩み

──これまでの30年の中で、技術革新や業界の変化など、特に印象に残っている出来事はありますか？

木村

30年前の1995年を振り返ると、Windows 95が発売され、ブロードバンドネットワークが普及し始めた頃でした。それまでの電話回線を利用したダイヤルアップ接続からデジタル化されたISDNが主流になり、とても速くて驚愕したことを覚えています。もちろん、今とは比較にならない低速度ですが。その時代は、セキュリティといえば「アンチウイルスソフトを入れておけば安心」という認識が一般的な時代でした。

しかし今では、ゼロトラストなどが普及し、セキュリティ対策は全く異なるものとなりました。前身のネットエージェントでセキュリティに携わり始めた当時は暗号化されていない通信が多く、ログやパケット解析によって攻撃者の動向を把握することができました。しかし現在では、全ての通信が暗号化されており、ネットワーク経路でのリアルタイム解析は困難です。時代の変化は本当に目覚ましいですね。

吉田

私は、入社してまもなく経験した、SQLインジェクションによる大規模なサイバー攻撃が記憶に残っています。被害にあった企業が他のサイトに問題はないか、また同業種の企業からも自社サイトのセキュリティは大丈夫なのかを確認するために、ラックに診断の依頼がありました。通常は費用も考慮してサンプリング調査を行うこともあるのですが、どこか1サイト、1画面に問題があってはいけないため、複数の大規模なサイトを短期間で診断する必要があり大変でした。また、スマホアプリの診断などITのトレンド変化によって診断範囲も大きく変わってきたと感じます。

篠原

特にIoTはこの10年で大きく変わりました。今までITに関与しなかった分野の方々も、IoTを通じてセキュリティと関与するようになり、相談を受ける機会が増えました。そのたびに、我々も新たな知見を得ることとなりました。今まではネットワークやアプリケーションをベースにセキュリティ技術を獲得してきましたが、組み込み機器そのものは知見が浅く、当初はかなり苦戦しました。図書館や本屋で組み込み系の基礎を学び、秋葉原に行って電子機器や器具を買っては試しを繰り返したのを覚えています。セキュリティということでラックにご依頼があるものの、お客様の話についていけなければせっかくの期待を損なってしまいます。日進月歩のIT業界の中、お客様のご期待に応えるべく努力を続け、お客様とともに学んできた印象です。

──開発者時代には、セキュリティはどのように考えていましたか？

木村

私の時代のシステム開発は、セキュリティはあまり意識されていませんでした（笑）。しかし、現在の情報化社会を考えるとセキュリティを考慮することが開発者にとって必須です。例えば、ツールを用いてZipファイルの解凍パスワードを解析する場合、10年前までは何時間もかかっていましたが、今では数秒で終わってしまいます。誰でも性能のいい機器やシステムを扱うことができる現代では、攻撃者もさらに進化しています。今の時代にシステム開発を行う際には、開発とセキュリティ両方に精通しなければならないと感じます。

──新しい分野の技術習得は、どうされていましたか？

篠原

今のようにChatGPTなどが無い頃は、学会や論文を漁りました。あとは、実機を手に入れて同じ環境でテストを行うことが勉強になり、楽しかったです。

セキュリティ診断のこれまで

──診断20周年の時にも記念インタビューを行いましたが、そこで10年後の未来予想などもしていただきました。ちょうど10年たった今、現在はどのように変化したか教えてください。

クラウド環境の変化について

吉田

10年前にクラウド環境で構築されたサービスに対してセキュリティ診断を行う際は、クラウドベンダーに対して申請が必要でした。しかし、クラウドベンダー側の診断に対する理解も深まったことで、今ではそれが不要なケースも増えました。また、クラウドベンダー自体も自環境へのセキュリティ対策に力をいれていて、セキュリティ対策機能が充実するようになったと感じます。

篠原

確かに、GitHubのコードスキャンなど、クラウドのベンダー側がセキュリティを重視するようになりましたね。

──SaaSアプリでの情報漏えいなども報告されていますが、クラウドのセキュリティに問題はないのでしょうか？

吉田

クラウド上のシステムで発生する事故はあります。事故の中には、クラウドシステム自体のセキュリティの問題ではなく、使用者側の設定不備に起因しているものがあります。ラックではクラウド設定診断というサービスを提供していますが、正しく利用できているかを定期的にチェックし、見直すことが重要だと考えています。

篠原

そうですね。クラウド環境が多くの人に普及したので、クラウド側がさまざまな要望に対応できるように、多数のパラメーターを用意しています。しかし、利用者ごとに必要な設定が異なるため、どのような設定が正しいのか確認するのも難しいと言われます。まさしく、この話題を投稿したエンジニア向けのブログ「ラック・セキュリティごった煮ブログ」は、アクセス数が短期間で急激に伸びた記憶があります。当時多くの人が容易に利用できるシステムでの事故もあり、関心が高かったのだと思います。事故は知っているが、どうすれば防ぐことができるのかという情報が少なかったからですね。

木村

数年前までクラウドの設定自体をセキュリティ診断の対象にする、ということは考えられませんでした。感覚的には10年ひと昔、ではなく10年大昔といった感じです。

IoTの変化について

木村

扱う情報が格段に増え、業界自体の規模も大きくなったと感じます。10年前は小規模であまりビジネスにならなかったIoTが、今ではセキュリティ診断の1つの主軸になりつつありますね。特に、医療機器や自動車業界などの命に係る分野からの診断ニーズが増加しています。この流れは、セキュリティ業界だけではなく中央省庁などの行政機関も注目していて、2023年には経済産業省が「情報セキュリティサービス基準」に「機器検証サービス」分野を追加しています。ラックの「IoTデバイスペネトレーションテスト」もこの基準に適合しています。

──IoTを調査するのは難しいと聞きましたが、本当でしょうか？

木村

例えば、最近とあるチップのセキュリティが問題視されるようになったので検証を行いました。以下の記事で紹介したような検証をしている企業は少ないかもしれませんね。こうしたIoTに関連した知識や経験に裏付けられた技術力を習得するのは、確かにハードルが高いと思います。

スマートフォンについて

木村

10年前はスマートフォンのセキュリティ診断自体が一般的ではありませんでした。現在はスマホアプリの利用領域が飛躍的に拡大し、それとともにスマホアプリのセキュリティ診断の要望も増加しています。ラックはスマートフォン黎明期から診断を行い、令和5年度には総務省が取り組む「通信アプリに含まれうる不正機能の検証に関する実証」にも参加しています。

※ R5年度「通信アプリに含まれうる不正機能の検証に関する実証」について KDDI株式会社

篠原

10年前は、まだまだスマホアプリの黎明期とも言える時期でした。お客様も診断依頼実績があまりなく、スマホアプリを使ったシステムでどこをセキュリティ診断するべきか迷う、診断対象を見落とすケースが多かったです。

現在では開発者のスマホアプリに対する脆弱性の捉え方も印象が少しずつ変わってきたように思います。スマホアプリはWebアプリと違い、アプリ本体が利用者の手元にあるので、解析されやすい状況です。攻撃されるイメージをしにくいのか、当初はスマホアプリ側でそこまで守る必要はない、そんなことができるのは凄腕ハッカーぐらいではと言われたことを覚えています。

10年経った今となって改めて振り返ってみると、スマートフォンとスマホアプリは我々にとってなくてはならないものになっています。マイナンバーカードを読み込んで確定申告したり、アプリ経由で認証したり、QR決済をしたりと、様々な用途で利用されます。新しい技術が次々と取り込まれ、利便性は飛躍的に向上したからこそ、脆弱性が悪用された際のリスクも格段に大きくなりました。今では、多くの企業がスマホアプリのセキュリティ診断を重視するようになり、当たり前のように相談を受ける時代になりました。技術の進化とともに、セキュリティ意識も確実に変わってきたのを実感しています。

診断の手法について

──お客様の中で、アジャイル開発やCI/CDなどの手法が普及しています。セキュリティ診断に影響はあるでしょうか？

吉田

はい、リリース前の一度きりの診断ではなく、開発途中にもセキュリティ対策を組み込むことが求められています。開発途中で毎回外部に診断を依頼するとコストがかかってしまうので、開発時に脆弱性を作りこまないような仕組み作りがお客様の課題です。ラックでもこのような要望に応えるために、脆弱性を作りこまないようセキュアコーディングガイドラインの作成支援を以前から行っています。また、お客様内部でチェックができるよう、自動診断ツールの活用術や自動診断ツールでは検出できない脆弱性を見つける手動診断の効果的な活用術をお伝えしています。

木村

現状では、上流工程からリリースまで一貫してセキュリティ品質を担保するために、Snyk（スニーク）などのツールを利用することも効果的です。今まで我々が行ってきた診断に付随して、こういったツールを活用することで、効率的にセキュアな状態のシステムの開発ができる場合があります。

セキュリティ診断を通じて、お客様に貢献できたこと

──セキュリティ診断を通じてお客様のビジネスに貢献できたと感じた出来事はありますか。

木村

継続的な診断を通じて、企業のセキュリティに対する社内認知が変わってきたことを実感したときですね。個々の案件というよりは、その企業自身が脆弱性管理に対して積極的になり、セキュリティ対策に予算を確保できるようになったなど、企業のセキュリティ意識の変化を実感できたとき、自分たちの貢献が形になったと感じます。セキュリティ診断にも様々な階層があり、診断ツールを実行するだけのサービスもあります。ラックはツールの提供だけでなく、お客様に寄り添いカスタマイズしながら、技術者のノウハウを活かした診断を行っています。その部分がお客様の要望に応えられる一因でもあると思います。

セキュリティ診断の未来

──セキュリティ診断・ペネトレーションテストにおいて、業界として今後10年でどのように進化していくと考えていますか？

篠原

セキュリティ診断やペネトレーションテストは、お客様の事業継続に必要な手段であり目的ではありません。そして単一のサービスで完結しません。従来は診断を単発で実施し、その結果をもとに対策を講じる流れが一般的でした。しかし、単一のツールやサービスが溢れている現状ではそれぞれが独立して動いているため、セキュリティ施策や脆弱性マネジメントの意思決定に反映しにくい状況かもしれません。すでに始まっている流れではありますが、今後はお客様がツールやサービス、社内外から得た情報を統合管理し、運用していく動きがより活発になると思います。セキュリティ診断やペネトレーションテストは、その歯車の一つとして機能するものと考えます。

吉田

ITの世界では常に新しい技術が生まれ、それが新たな診断対象になります。ITの進化と共に私たちも進化していく必要があります。最近では、生成AIの活用が進んでいますが、これにもセキュリティ上気をつけなければならない点があります。しかし、まだ利用が社内向けのシステムであることも多く、事故事例があまりないため、その脅威が広まっていません。実際にラックがお客様のシステムを診断してみると、脆弱性が検出されます。外部向けサービスとして本格的に利用し始めれば、攻撃の対象として狙われる機会も増え、リスクは一気に顕在化するでしょう。その際は、生成AI活用診断などのサービスへの需要が拡大してくるのではないかと感じています。

──セキュリティ診断・ペネトレーションテストにおいて、ラックは今後10年、お客様にどのような価値を提供していきたいですか。

吉田

生成AIの台頭やツールの進化で、セキュリティ診断の原理原則を知らない人でも診断ができるようになるかもしれません。しかし、痒いところに手が届くような高度な診断を任せるには、まだまだ時間がかかり、技術者がきちんとポイントを押さえて対応していく必要があります。そのため、生成AIやツールを活用する知恵や知識が今後より重要になってくると思います。ラックの技術者は、この30年の中で培った診断の原理原則を理解し、その知見を活かしてお客様に最適な支援を提供していきます。

篠原

ラックが30年間積み上げてきた診断事業の実績やノウハウは、大きな財産だと思います。その財産を活かしながら、お客様に寄り添い、それぞれのビジネスや環境に応じた最適な診断を提供し続けることが、私たちの使命だと考えています。

木村

今の診断事業のビジネスは10年後も同じ形で続いているとは限りませんし、むしろ同じことを続けていてはいけないと思っています。今までとこれからの経験を活かし、常に新しいアプローチやサービスを取り入れて、ラックの診断やペネトレーションテストをさらに進化させていきます。

30年という歴史を振り返って、私たちは多くの経験と知識を積み重ねてきました。セキュリティ診断の世界はますます進化し続けていますが、私たちはこの変化に柔軟に対応し、お客様に安心と安全を提供するために全力を尽くします。

今後ともラックをよろしくお願いいたします。

---

今回は特別企画として、業界の最前線で活躍する専門家たちへのスペシャリストインタビュー第1弾をお届けしました。これから公開予定の第2弾も鋭意制作中ですので、ぜひご期待ください！さらに、企業の実務に直結するサイバー脅威への具体的な対策を詳しく解説する定期ウェビナーなど、多彩なコンテンツを企画しています。

特別企画の情報は、いつでもどこでも参加可能なオンライン展示会「LAC Virtual EXPO」の3F「診断30周年 特設エリア」にて公開しています（2026年3月31日まで）。インタビュー記事やウェビナーのアーカイブ動画、その他有益なコンテンツを多数取り揃えていますので、ぜひお立ち寄りください！