デジタルハーツホールディングスとラックは11月28日、合弁会社「レッドチーム・テクノロジーズ」を設立、12月1日に事業開始すると発表した。レッドチーム・テクノロジーズでは、米Synackのクラウドソースペネトレーションテストを日本国内で提供開始するほか、IoT機器や自動運転基盤などを対象とした「先進IT基盤検証サービス」、外部から顧客の社内重要システムへの侵入を試みる「レッドチームサービス」の計3種のサービスを提供する。
合弁会社「レッドチーム・テクノロジーズ」の概要。出資比率はデジタルハーツホールディングスが60%、ラックが40%
中核となるSynackのクラウドソースペネトレーションテストは、機械学習技術などを活用した独自スキャナー「Hydra」による脆弱性スキャニングに加え、60~80人の「リサーチャー」が延べ1200時間超のマニュアル検査を実施し、単に脆弱性を発見/指摘するだけにとどまらず、その対応がきちんとなされたことまでを確認することで高い評価を得ているサービス。料金は固定制で、目安は1サイト当たり約700万円なので、特に大規模サイトの場合は競合サービスに比べてかなりのコスト削減が見込めるという。
Synackのクラウドソースペネトレーションテストの概要。世界65カ国の1500人超のセキュリティエキスパートがSynackが設置したLaunch Pointを経由して検査対象システムにさまざまなアクションを仕掛ける。実行された操作はLaunch Pointにログが残り、この情報はユーザー企業にも提供されるという
設立の背景について説明したデジタルハーツホールディングス 代表取締役社長 CEO(最高経営責任者)の玉塚元一氏は、同社が長年ゲームソフトウェアのテスト/デバッグを手がける国内最大手企業であることを紹介。近年はゲームのみではなくエンタープライズソフトウェアのテストやセキュリティテストなど、関連の深い業務に事業を拡大しており、その一環としてSynackのクラウドソースペネトレーションテストを手がけることになった経緯を説明した。
同社には、ゲーム好きな人がテスターとして応募してくるので、それを教育して育てていくシステムがあるとした上で、将来的には「デジタル人材プラットフォーム企業」を目指すと同時に、セキュリティ分野で力を付けた人材には究極的な目標としてSynackのリサーチャーにまで達する道が存在することを示すことでモチベーションを高めるなどのさまざまな波及効果も期待できると語った。
デジタルハーツのテストサービスの概要。発売前のゲームのデバッグから始まり、エンタープライズアプリケーションやセキュリティへと対象を拡大してきている。“デジタル”に強い人材を幅広く集め、適性に応じた教育を施せるプログラムも整備しているという
また、ラック 代表取締役社長の西本逸郎氏はペネトレーションテストが注目される背景として、政府や金融庁が大規模な金融機関などを対象にペネトレーションテストの実施を求めるようになってきているといった動向を紹介した。同時に、以前から提供されているセキュリティ診断サービスとペネトレーションテストの違いについて、セキュリティ診断は「脆弱性を見つける」サービスで対象はIT部門向け、ペネトレーションサービスは「脅威を実証してみせる」サービスで経営レベルの判断で実施されるものだと位置づけた。
リアルな現場の声としては、人材や予算の不足もあってセキュリティ対策が不十分であることは現場としてはよく分かっており、ペネトレーションテストやレッドチーム演習を実施するまでもなく「結果は分かっている」ため、現場からはこうしたサービスを利用すべきという声が上がってくることはないのだという。当然、セキュリティ対策が不十分であることが露呈すればIT部門としては失点と見なされるという理由もある。そのためもあって、経営レベルでこうしたテスト/対策の価値を正しく理解し、自社のセキュリティレベル向上のために活用していくという意識が重要になるとした。
最後に、具体的なサービスの詳細について説明を行ったレッドチーム・テクノロジーズ 代表取締役社長の岡田卓也氏は、一般的なセキュリティ診断では脆弱性の存在はレポートされたとしても、その後の対応まではカバーされないことが大半であることを指摘し、Synackのサービスでは指摘した脆弱性に対して施された対策が有効かどうかを繰り返しテストすることで「最終的に脆弱性が正しく対応されていることまでを確認する」点に違いがあることを強調した。なお、初年度の事業目標としては5億円という数字が挙げられている。
(左から)デジタルハーツホールディングスの玉塚元一氏、レッドチーム・テクノロジーズの岡田卓也氏、ラックの西本逸郎氏