頂上と裾野の両方から「底上げ」 GMO Flatt Security&GMO サイバーセキュリティ byイエラエが支える、日本のサイバーセキュリティ(前編)ーEngineering Journey

サイバー攻撃は年々高度化し、生成AIが攻撃と防御の双方で武器になりつつあります。国家を背景にした攻撃から、開発の現場そのものを狙うソフトウェアサプライチェーン攻撃まで、脅威の幅は広がり続けているのが現状です。
そんな時代に、GMOインターネットグループには、まったく逆の方向から「日本のセキュリティ」を支えようとする2つの企業があります。

今回は、日本初となるセキュリティAIエージェント「Takumi byGMO」を提供するGMO Flatt Securityで取締役副社長 Co-CTOを務める米内貴志さんと、セキュリティ担当者向けの脆弱性診断サービス「ネットde診断」を開発するGMOサイバーセキュリティ byイエラエでプロダクトサービス事業部の部長として活躍する市川遼さん・副部長の大西和貴さんの対談をお届けします。

前編では、それぞれのプロダクトがめざす方向性や設計思想、互いのプロダクトに抱く思いや人間とAIの担うべき役割などについて伺いました。

異なる場所から、同じゴールへ

――まずは、皆さんのご経歴と現在のお仕事をお聞かせください。

米内

GMO Flatt Securityで取締役副社長 Co-CTOを務めております、米内貴志です。セキュリティとの出会いは、中学2年生のときに参加したセキュリティキャンプでした。そこからこの業界をぐるぐると回ってきて、気がつけば今ここにいる、という感じですね。現在はセキュリティAIエージェント「Takumi byGMO」(以下、「Takumi」)の開発と指揮を担っています。

市川

GMOサイバーセキュリティ byイエラエの市川遼です。私はCTFが入り口で、十数年前にサイバーセキュリティの世界に入りました。現在は「GMOサイバー攻撃 ネットde診断」(以下、「ネットde診断」)の開発を指揮するマネージャーをしてます。

大西

同じくGMOサイバーセキュリティ byイエラエの大西和貴です。私はお二人とは少し毛色が違っていて、前職はホスティング事業者としてクラウドの開発・運用保守をやっていました。

サーバー上でユーザーが抱えるセキュリティの困りごとを本当にたくさん見てきたので、そこから関心を持って、知人の紹介でイエラエに入ったというのが入社の経緯です。今はネットde診断のASMの開発リードをしています。

――それぞれのプロダクトについて、概要を教えてください。

米内

Takumiは、ソフトウェア開発をまるっと守る、「開発者の背中を預かる」サービスです。開発端末にマルウェアが仕込まれたパッケージをダウンロード前に弾く「Guard」機能をはじめ、さまざまな防御手段を備えています。

市川

ネットde診断のほうは、ひと言でいうと「セキュリティに迷わない世界を作る」サービスです。製品の軸は2つあって、1つが外から見える範囲のリスクを洗い出して、攻撃面を管理するという「ネットde診断 ASM」(以下、「ASM」)です。もう1つが「ネットde診断 for Web」(以下、「for Web」)で、これはWebアプリの細かい脆弱性診断を担っています。ASMはあくまで「外から見える範囲」が対象なので、たとえばログインの先にあるような深いページには届かないんです。そこをfor Webがカバーする、という関係になっています。脆弱性診断ツールの結果を見やすく・分かりやすく変換しているので、セキュリティに明るくない中小企業でもしっかり使えるのが特徴です。

米内

ASMはバンドルした使われ方もしていますよね。

市川

GMOインターネットグループがホスティングをやっているので、そこにASMの診断機能だけを切り出して組み込んでいる形で提供してますね。1つのパッケージとしてだけでなく、必要な機能を必要な形で届けられるようにしている、という感じです。

――それぞれ、どんな思いでこのプロダクトに取り組んでいるのでしょうか。両者の役割の違いも含めて伺えればと思います。

市川

日本は貴重な情報資産をたくさん持っている一方で、全体的なセキュリティレベルはまだまだ高くありません。そしてGMOインターネットグループは、ホスティング事業を通じて「セキュリティの『せ』の字も分からない」と不安を感じているユーザーを大量に抱えているんです。まずはその人たちの状態を可視化して、次の一手を示したいと考えています。

米内

強いですよね。GMO Flatt Securityのミッションは「エンジニアの背中を預かる」ことなので、私たちは最前線のエンジニアを後押ししたいと思っているんです。本来セキュリティをやるべきなのにできていない層を底上げするネットde診断と、最前線を後押しするTakumiは、真逆のアプローチから互いを補完しあう関係にあると思っています。

大西

ベストプラクティス自体は一般論として存在するのに、予算や人材不足が原因でその「当たり前」ができていない会社が本当に多いので、まずはそこを守るのがネットde診断だと思っています。そのネクストステップとしてTakumiのような製品が出てくるというイメージを持ってますね。下の層を引き上げていった先に、トップを伸ばす世界があるという。

市川

どちらも必要なアプローチであり、どちらも時間がかかります。やり方は違っても、最終的にやりたいことは同じなんですよね。

米内

「日本のサイバーセキュリティを底上げする」というのが共通のモチベーションで、その中で僕たちGMO Flatt Securityはトップ層であるエンジニアのセキュリティをさらに引き上げる役割を担っている、という関係性ですね。

「自分たちが作る」という共通性

――競合製品もある中で、「ここが強みだ」と感じる点はどこでしょうか。あわせて、お互いのプロダクトをどう見ているかも伺えればと思います。

市川

ネットde診断の強みは、難しい脆弱性が見つかること…ではないんです。ユーザーが画面を見て、「次に何をすればいいか」がマニュアルなしで分かる。そのUI/UXが、最大の強みだと思っています。これはセキュリティとは別畑のデザインチームが社内にいて、設計の段階からしっかり入ってくれているから実現できていることなんですよ。UIの改善にもデザイナーの目が入っているので評判がいいですし、我々が助けたい層はそこを求めてるんですよね。すごく検出が難しい脆弱性を見つけるよりも、「次に何をしたらいいか」を1つ1つ教えてほしいというニーズが高い。

大西

そこ、もう少し言わせてほしいんですけど(笑)。海外製品をラップしたり、OEMで提供したりする企業も多いなか、私たちはほぼ自社開発なんです。OSSを使う場合も、中身のコードをしっかり読んで、日本に合うようにシグネチャを入れ替えている。だから「この検出結果は、どう考えればいいんですか」とユーザーに聞かれても、全部答えられるんです。結果として「中をちゃんと分かっているから、信頼して使える」と言っていただけるのは、他との大きな違いだと思っています。

米内

外から見ていても同じ印象を受けますね。グループ全体に言えることでもありますが、「自分たちで作る」という意識がすごく徹底されているなと。同じ感覚で製品を作っている自分としては、超嬉しいですよ。

市川

ありがとうございます。とはいえ、最初からゼロで作っていたわけではないんですよ。当初はOSSをラップして、結果を変換していました。でもユーザーとの対話を重ねるうちに、自社で置き換える部分がどんどん増えていって、今の「ほぼ内製」という形に落ち着いたんです。

米内

理想的な流れですよね。めっちゃいいプロダクト開発だと思います。

——Takumiのほうはどうでしょうか。

米内

Takumiのほうは、最近では競合と比較しないようにしているんです。脅威も開発のあり方もどんどん移り変わっていく中で、「次のスタンダードを自分たちが作る」ことを意識していまして。他社にない機能を提供するというよりは、今出てきてるトレンドにちゃんと対応できているか、最先端を走れてるのかという部分を重点的に意識していますね。いわゆるプロダクトアウト的に、「今ここを守らないといけないだろうな」という機能を出そうとしています。ソフトウェアサプライチェーン攻撃への対応策となっている「Guard」機能も、こうした意識の延長線上にあります。前年末に着想して3月にリリースしましたが、リリース直後から、大手サービスのサプライチェーン攻撃のニュースが立て続けに出てきたんです。この点は、我々が「最先端をやるぞ」と覚悟を決めたからこそ対応できたと思っています。

大西

着眼点がすごく面白いですし、先見の明があったわけですよね。どういうきっかけで、「Guard」機能をやろうと思ったのかずっと気になってたんです。

米内

ソフトウェアサプライチェーン攻撃自体は、実は去年から少しずつ起こっていたんです。ボヤ騒ぎ的な細かいインシデントが続いていたので、大火事になるのは時間の問題だと思っていましたし、今やらなければならないだろうと思って対策を進めていました。

市川

他の企業が手を付けないのが不思議なぐらいだったので、Takumiが日本企業の先陣を切って解決策を示したことは大きな価値がありますよね。何より、ユーザーに対して課題を認識させて、その解決策としてTakumiを示すというシンプルな「見せ方」がすごくうまいなと感じてます。Guardのインストール方法も、NPMのプロキシをワンラインで書き換えるという形にしていますよね。プロキシを通すことで自分たちにデータが集まって、次の一手を打てる設計も優れてます。プラットフォーマーを取りに行くのはビジネス的にも正しいですし、社会全体が抱える課題への解決手段として市場にマッチしているので、先ほど言った「見せ方」も含めた全体的な製品設計が非常にうまいなと思いますね。

米内

ありがとうございます。ちょっと照れますね(笑)。

目指すべきは「セキュリティ・バイ・デフォルト」?

――とはいえ、ユーザーが「入れたから安心」と過信してしまう懸念もあります。製品が担う範囲と、人が担うべき範囲の線引きをどう考えていますか。

米内

Takumiは根本的な設計思想が「ユーザーが何もしなくて済むこと」なので、それこそ「入れたから安心」という状態を作ることに向かってますね。いわゆるセキュリティ・バイ・デフォルトの方向に進んでいるので、それこそ「Guard」については、プロキシを通していただいた後は我々が責任を持つという考え方です。

大西

イエラエの目指すべきところも、結構そこに近いかもしれませんね。

市川

ただ、Takumiでセキュリティ・バイ・デフォルトが成立するのは、そもそも脆弱性が入る余地を生まない設計だからこそだとも言えるでしょうね。ネットde診断は、出た脆弱性をユーザー側で直してもらう操作がどうしても必要なので。人間側がプロダクトを使いこなすためのトレーニングは必要かなと思いますね。

米内

「セキュリティをどう改善していくか」はユーザーの手が必要なところですよね。境界線はここに引かれていると思っていて、そこに時間を使うことをユーザーと我々の間でコミットできれば、我々は支援できるしユーザーはより安全になっていく。「診断して終わり」になってしまうと、もったいないですよね。

市川

本当にそうで、結局セキュリティの「正解」は組織ごとに違ってきますよね。だからこそ、我々はユーザーに負担をかけない見やすさを工夫しているんです。

米内

ここは本当に難しいですからね…。納得です。

まとめ

それぞれの立ち位置は真逆でありながら、最終的にめざすゴールは同じだと示された今回の対談。米内さんはネットde診断の自社開発へのこだわりに共感を寄せ、市川さんはTakumiの先見性と見せ方の巧みさを高く評価していました。

「自分たちの手で作る」という同じ感覚で製品を作る者どうしだからこそ、セキュリティをどう改善していくかは人間が担う領域だという認識も共通していた点が印象的でした。頂上と裾野の両側から支える両社の存在は、これからますます重みを増していきます。その挑戦は、まだ始まったばかりです。

GMOインターネットグループでは、今後も「すべての人に安心な未来」を実現すべく、全社を挙げてサイバーセキュリティに取り組んでまいります!

AI時代のセキュリティの在り方や、Takumi・ネットde診断それぞれの今後の展望などが語られた後編もぜひご覧ください!

後編に続きます

ブログの著者欄

技術広報チーム

GMOインターネットグループ株式会社

イベント活動やSNSを通じ、開発者向けにGMOインターネットグループの製品・サービス情報を発信中

採用情報

関連記事

KEYWORD

TAG

もっとタグを見る

採用情報

SNS FOLLOW

GMOインターネットグループのSNSをフォローして最新情報をチェック