脆弱性診断サービスはこうやって成長してきた! セキュリティ意識への想いから生まれたABURIDA®︎とサービス責任者の歩み
インターネットが社会に欠かせない存在となるのと同時に、サイバー攻撃の脅威も増え始めた時代。そんな状況の中で、当社は脆弱性診断サービスの提供を開始しました。
どのように始まり、どのように成長してきたのか。当社の脆弱性診断サービスの責任者で、サービスの立ち上げを担った、関 大輔氏(以下、関さん)の歩みとともに紹介します。
きっかけは将来への不安と社会の変化
関さんはもともと銀行で汎用機SE(高性能の大型コンピューターを扱うシステムエンジニア)として働いていました。ところが、汎用機の需要が減少の一途をたどり、関さんは将来性に不安を抱くようになります。ちょうどその頃、個人情報保護法が施行され、社会全体でセキュリティへの関心が高まり始めました。そうした社会の流れを読み、関さんは個人的にセキュリティの勉強を始め、知識を深めていきます。
一方、社内では新事業立ち上げの動きがいくつも出ており、その中に脆弱性診断サービスを立ち上げるプロジェクトがありました。関さんはそのプロジェクトのメンバーとして名乗りを上げ、参画することになります。
新しい分野への挑戦と危機感の広がり
関さんは、初めて触れるクロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)といった攻撃手法に、当初は不安を感じていたといいます。それでも、インターネットが社会インフラとなる中で、利便性と同時に大きなリスクをもたらす現実を強く実感しました。
「何も知識を持たない一般の人たちは、攻撃者にかなうはずがなく、簡単に被害に遭ってしまう」
「1社だけがどれほど万全な対策をしていても、サプライチェーンのどこかに脆弱性があれば被害は連鎖する」
関さんの危機感はそこで一層強まっていきました。それでも「危険もあるが、それ以上に利便性がはるかに大きいから、これからもどんどんIT化が進むはず。だからサイバー攻撃と共生しないといけない、終わりのない戦いになると思う。でも、守る側が諦めたら終わり」という想いでセキュリティへの挑戦を続けていきます。
案件受注までの苦難の道のり
技術や仕組みは協力会社と公開情報を活用しながら整えていったものの、一番の壁は「お客さまの獲得」でした。営業のノウハウがなかったこともあり、最初の1件をいただくまでに長い時間がかかったそうです。
お客さまが見つかるまでの間は、社内の人たちに声を掛け、当社のサイトやサービスを対象に脆弱性診断を実施して技術を磨いていました
セキュアスカイ・テクノロジー社との出会い
セキュアスカイ・テクノロジー社は、Webアプリケーションに特化したセキュリティサービスを提供している企業です。脆弱性診断サービスも提供しており、多くの企業から診断を依頼されています。関さんとセキュアスカイ・テクノロジー社の関係は、東京都で開催された産業交流展での出会いから始まります。
お客さまの獲得のために出展した交流展で、関さんはインフラ系企業の方と接点を持ち、セキュリティの話で盛り上がりました。
後日、当社のサービスに対して実施した脆弱性診断の報告書をサンプルとして送付したところ、その質の高さを評価され、このことがセキュアスカイ・テクノロジー社を紹介されるきっかけとなりました。実はこのインフラ系の企業は、セキュアスカイ・テクノロジー社に脆弱性診断を委託していたのです。
このご縁がきっかけで、関さんはセキュアスカイ・テクノロジー社と直接交渉を行い、そこから約6カ月間の「脆弱性診断の修行期間」がスタートします。関さんはここで初めて独学ではなく、プロの診断員に囲まれながらセキュリティを学んでいくことになります。修行が終わったあとは、セキュアスカイ・テクノロジー社のビジネスパートナーとして、同社が受けている脆弱性診断案件の業務委託を受ける形で、診断を任せてもらえるようになります。初めて実際のお客さまの診断を行ったときには、上司と祝杯を挙げたほどの喜びだったそうです。
この経験は、後の診断体制の礎となり、セキュアスカイ・テクノロジー社との間に揺るぎない信頼関係を築きました。その関係は、10年以上たった今でも続いています。
その後の広がり
当社の採用面談をきっかけに、新たなパートナーとの出会いが生まれます。 中途入社してくれたメンバーの紹介を通じて、ある企業の担当者と知り合えたのです。
その企業を訪問してサービスや実績の紹介を行ったところ、先方の診断手法を取り入れることを条件に、継続的な案件をいただけることになりました。こちらの企業は、大手企業のグループ会社であり、同グループの各社から依頼される脆弱性診断の対応をしています。その診断の一部を当社に委託していただけることになりました。
さらに、SE経験豊富な診断チームのメンバーをその企業に常駐させていただくことにもなり、メンバーによる案件状況の理解も深まったことで、当社への依頼拡大にもつながりました。
他にも、以前から当社の中で関係のあった企業ともご縁が生まれます。
当社はシステムの企画から開発、構築、運用までも手掛けるITトータルソリューションカンパニーですので、セキュリティ以外にもさまざまな部門があります。その中の開発部門の案件において脆弱性診断サービスのトライアルを実施。その結果、お客さまが当時利用されていた診断ツールよりも高い精度で結果を出すことができました。
そのことを評価され、お客さまから正式な案件の受注につながり、そしてその受注によって当社の社内全体でも脆弱性診断サービスが広がるとともに、信頼できるパートナーシップが築かれていきました。
技術も仕組みも、人の信頼があってこそ育つもの。人とのつながりが、事業を前に進めてくれたと、関さんは当時の想いを話してくれました。
こうして立ち上がり成長してきた脆弱性診断サービスは、今現在では「ハイブリッドWebセキュリティ診断ABURIDA®︎」として、たくさんの企業さまから直接診断のご依頼を受けてサービスを提供できるようになるまで成長することができました。
私たち診断チームの強み
現在のセキュリティ診断チームには、セキュリティへの情熱を持ったメンバーが集まっています。外注に頼らず、自ら診断を行い、ツールと手動診断を組み合わせることで検出率と品質を高めています。
「品質を落としてまでコスト削減をするつもりはない。お客さまの期待を超えるサービスを提供したい。」
関さんのこの想いは、チーム全員で共有されています。 また、この先の理想について、関さんは次のように話していました。
「みんながセキュリティを意識しなくても安全に利用できる状態。それが理想ですね」
利用者にとって「当たり前の安全」を実現するために。関さんの挑戦は、これからも続いていきます。
ABURIDA®︎のサービスについては、こちらからご覧いただけます。
おわりに
今回のインタビューを通して印象に残ったのは、「品質」という言葉の奥にある「人への思いやり」でした。
関さんの言葉の中には、日々の診断業務を丁寧に積み重ねる大切さと、お客さまに安心してもらいたいという気持ちが込められていたように感じます。
改めて、自分自身もその姿勢を大切にしながら、関さんが目指す未来に一歩でも近づけるよう、より良いサービスを届けていきたいと思いました。
ライター/はなちゃん
2024年に信興テクノミストに入社し、Webアプリケーションの脆弱性診断を担当しています。まだまだ学ぶことばかりの毎日ですが、小さな「できた!」を積み重ねながら楽しく働いています。
人とお話しするのが好きで、チームで進める時間も大切にしています。趣味は、アイドルを応援すること、香水を集めることです! そんな日常のわくわくを原動力にしながら、安心して使えるサービスづくりにこっそり貢献できる診断員を目指しています!