MENU
採用情報TOP
お問い合わせページへ

座談会記事「Grade up」:MBSD x SST

  1. ホーム
  2. 連載記事一覧
  3. 座談会記事「Grade up」
  4. 座談会記事「Grade up」:MBSD x SST

「ネットワーク社会の未来作り」と「インターネットを安全にする」
セキュリティ専門企業が共に思い描く、これからの情報セキュリティとは

2022年5月、SSTは三井物産セキュアディレクション株式会社(以下、MBSD)の「ペネトレーションテスト」を提供すると発表した。ペネトレーションテストとは、サーバーへの侵入や機密情報の持ち出しなどの攻撃が達成可能か検証するテストで、SSTがすでに提供する脆弱性診断サービス「Webアプリケーション診断」「プラットフォーム診断」と組み合わせ、セキュリティの問題点を多面的に診断することが狙いだ。さまざまなセキュリティサービスを提供する両社による提携は、SSTのミッション「インターネットを安全にする」、MBSDのミッション「ネットワーク社会の未来作りに貢献する」を体現するものといえるだろう。

今回の座談会ではSSTの代表取締役 大木、取締役CTO 長谷川の両名が、MBSDの執行役員 テクニカルサービス事業本部 本部長 武井寿彦氏、テクニカルサービス事業本部 プロフェッショナルサービス事業部 部長 小河哲之氏とともに、両社が提携に至った背景や目指すシナジー、エンジニアの視点から見たセキュリティ企業の社会的課題と目指す世界観について語った。

ゲスト:三井物産セキュアディレクション株式会社

執行役員
テクニカルサービス事業本部 本部長
武井寿彦 氏

テクニカルサービス事業本部
プロフェッショナルサービス事業部 部長
小河哲之 氏

https://www.mbsd.jp/

  • 座談会中は参加者全員がマスク着用をはじめとする感染防止対策を徹底しております。

提携の理由は「技術とエンジニアに対するスタンスの共通性」

大木(SST):提携に至る以前、ファーストコンタクトの話をすると、小河さんと私が、元々同じ会社の同僚だったときですね。

小河氏(MBSD):でも、同じ会社のころは一緒に仕事をしたことはありませんでしたよね、飲み会ではよく会っていましたが。

大木(SST):仕事で関わるようになったのは僕がSSTに入ってからですね。SSTでは対応できない案件があった際に、どうしようかと長谷川と相談していたら「MBSDさんならお願いできるかも」という話になって。それで小河さんへ相談を持ちかけました。

長谷川(SST):クライアントの社内で行うセキュリティ教育用のコンテンツを作る話でしたね。われわれのふだんの仕事とはちょっと違っていたこともあり、MBSDさんのほうがノウハウをお持ちだと思って相談させてもらいました。

小河氏(MBSD):セキュリティ教育は当社の得意分野の1つでしたので、ご相談をいただいてぜひやりますとお返事をしました。今では教育系のほか、ペネトレーションテストも一緒にやっています。それで長谷川さんともお酒を飲むようになって……、SSTさんにテキーラボトルを置いてもらうようになりました。勉強会が終わったあとの楽しみとして(笑)。お酒を飲んでいるときのほうが、勉強会よりもいろいろなアイデアが出てきますね。

MBSD x SST座談会の様子

武井氏(MBSD):その教育案件のお礼として、社長にご挨拶したいとお願いしてSSTさんへ伺ったのが、私の初コンタクトでした。小河からSSTさんのことはいろいろ聞いていて、エンジニアの教育をしっかりと行い育成しようとしている姿勢が、当社と似ているなと思ったのが最初の印象です。セキュリティ技術やエンジニアに対するスタンスが同じなら、互いに協力するとシナジーが生まれるはずです。それが提携に至った理由です。

大木(SST):SSTは自社開発のプロダクトやサービスを提供していますが、クライアントの要望を受けてプロダクトを作るのは得意ではなくて。重複する分野が少なく、かつ技術力の高いMBSDさんとの提携で、クライアントに対して包括的にWebセキュリティをサポートできる状態にしたいと思っています。

「共感する悩み」が、技術レベルのバロメーターに

大木(SST):エンジニアから見た、お互いの企業やメンバーの印象はどうなんですか?

小河氏(MBSD):勉強会のときに、ふだんは表に出ることのないお互いの診断システムの中身についてざっくばらんにディスカッションしたのですが、技術的な部分での方向性は両社とも同じなのかなと感じました。

長谷川(SST):両社のエンジニア同士を集めて飲みに行ったときも技術的な話のレベルが同じで、お互いのスタンスは相互に分かり合えましたね。脆弱性診断でツールがうまく動かないといった「診断あるあるネタ」で共感できたり、SSTならこうする、MBSDだったらこうした、みたいな話ができて。悩みどころが同じだと、レベル感も同じだなと感じられますからね。

小河氏(MBSD):そうですね、その共感は大きいですね。

長谷川(SST):現在一緒に手がけている仕事というのも、SSTだけで進めてしまうと実地の視点が足りないいわば“血の通っていないもの”ができてしまう不安がありました。共同で取り組めば、MBSDさんが積み重ねられた現場の経験に裏打ちされたものができるのではという期待がありましたね。

大木(SST):そうしてできあがったものを見ると、実際に期待通りになっていました。

長谷川(SST):SST社内でも教材にしたいレベルですよ。MBSDさんの質の高さは、ぱっと見では気づかないような細かな点にも配慮が行き届いているところと思います。ある意味、エンジニアの自己満足かもしれませんが、セキュリティのために仕事をしている者なら、自分で満足できる水準のサービスは提供したいと考えると思うんです。これまでのおつきあいで、MBSDの皆さんも同じような感覚を持っていると思っています。

武井氏(MBSD):MBSDはエンジニアチームとは別に最後の品質チェックを担当する品質チームがチェックを入れてから納品しています。この品質チームの技術力がとても高いので、エンジニアのチェックを通ったものでも差し戻しがあります。高い品質の製品・サービスをお客さまに提供したいという思いでやっています。

長谷川(SST):われわれセキュリティの人間って、自分のミスは見逃すのに他人のミスを見つける能力には長けていて(笑)、自社だけでは見逃してしまうようなものも、相互に行うことでいい指摘をいただけるので提携の効果は出ているのかなと思います。

小河氏(MBSD):多分、両社のエンジニアとも、よくも悪くもこだわりの強い人が多いから(笑)。ダメなところはダメといってもらったほうが、こちらも「ではどうしよう」と考えられますからね。

長谷川(SST):こだわりの強さに加えて、間違いを間違いとして指摘できる関係性が両社の間にもできあがっているのが、やっぱり大きい気がします。共同で仕事をすることで私たちも勉強になるし、またMBSDさんにとっても実りのある提携にしたいと思い、SSTの持っている情報も極力オープンにして、自由に使ってもらえるようにしています。

“不要になるべきセキュリティビジネス”に求められる倫理観

大木(SST):セキュリティのビジネスは倫理観が問われますよね。カタログ上では「できる」となっていることが本当にできているかの見極めを求められる場面も多いですし。武井さんや小河さんと話していると、その見極めレベルが高い企業だと感じます。

武井氏(MBSD):そうですね。脆弱性を見つけるためには、今ある技術をそのまま使い続けるのではなく、さらに上を目指して高い技術力を追求しなければなりません。その点でいうと、自らの技術力を高め続けようとする姿勢のエンジニアが両社とも多いと思います。当社もエンジニアの多い会社ですが、それでも依頼が多くて断るケースもありました。SSTさんとの提携でカバーできる範囲を広げ、高い技術力でWebセキュリティ業界全体を盛り上げていきたいと考えています。

MBSD 執行役員 テクニカルサービス事業本部 本部長 武井寿彦 氏

MBSD 執行役員 テクニカルサービス事業本部 本部長
武井寿彦 氏

小河氏(MBSD):倫理観を持ってサービス提供するのが一番大事ですし、エンジニアには好き放題やってもらって技術を探求してもらうほうが、最終的にはビジネスにもつながるんじゃないかなと。

長谷川(SST):倫理観に関連していえば、お医者さんにかかろうとするとき、「風邪が世の中で流行っているから、医者がもうかる」と思っている医者と、「この世の中から風邪がなくなって、医者の存在そのものがなくなるほうがいい」と思っている医者と、どちらの医者に自分はかかりたいかと考えると、やっぱり後者だと思います。この例えでの医者とセキュリティ会社は、多分同じだろうと思うんです。本質的にはセキュリティ会社なんて不要になっているほうが、世の中のためになるはずです。私たちのビジネスは「いずれはなくなること」を目指すべきだとは割と強く思っていて、社内でも発信しています。

武井氏(MBSD):共通の倫理観を形成されているのですね。倫理観の形成以外にもエンジニアとして成長するための仕組みや制度も導入されていますよね。

長谷川(SST):業務時間のうち10%は自分たちで課題設定をして、それが直接的に業務につながる内容でなくても、研究開発に充てられる制度があります。新しいWebの技術が出てきたから、仕事で使う目途は今のところないが勉強しておきたいとか新しいツールを作っておきたいとか。技術書は好きなだけ、複雑な申請は不要で買えるようにしています。武井さんのおっしゃるとおり、自身の興味の赴くままに、楽しめる環境は重要だと思います。人が伸びるのって、自身の意志や興味に従って行動したときだと思うんですよね。自分でそれを選んで、自分で楽しめる環境を周りが作っている状態が大切ですね。

小河氏(MBSD):MBSDでも同様の制度があります。本年度からはさらに「自己研鑽DAY」という制度も導入しました。年間5日間はエンジニアがセキュリティに関係しさえすれば何でも好きなことができる制度で、何を勉強するか事前に会社へ教えてもらえていればアウトプットも求めません。

武井氏(MBSD):自己啓発費として1人年間5万円まで使える制度もあります。外部研修もそれとは別に、受けたい人は受けられるようにしています。

長谷川(SST):制度として設けてはいませんが、SSTでも研修は個別に対応しています。相談があれば、100万円ぐらいかかる研修でもOK出していますね。

“セキュリティ原理主義”では社会の役には立てない

長谷川(SST):セキュリティ企業は技術的な専門性を高めながら、新しい技術を身につけ続ける必要があります。時代が変わってもそれは変わりがありません。だから、エンジニア自身が自発的に興味を持って技術習得に取り組まないとなりません。また、セキュリティ技術が社会にどう役立つのか、社会から何が求められているかという視点も、エンジニアは常に持っておかないと独りよがりになる危険性をはらんでいます。“セキュリティ原理主義”みたいな企業や技術者になってしまったら社会の役に立たないですし、いくら立派なルールでも、運用の実際の現場で守れないものではダメですよね。ルールとしては不足があっても、きちんと全員が守れるルールを作らないと意味がありません。「セキュリティはこうあるべき」と語るのは簡単ですが、現場が実行できるルールで、なおかつクライアント企業やエンドユーザーが効果を感じられるサービスを提供する役目を、セキュリティ会社は担わなければならないと思います。

小河氏(MBSD):ルールがまったくないと利用者は好き放題やってしまってリスクが生じるので、ある程度のルールは必要です。ただ、そのルールを付け足せばいいという日本の企業がとても多くて。それでは現場が回らず、ビジネスが成立しなくなってしまいます。そのような非効率なことはやめて、極力最小限のルールで回して、何か起きた場合はルールを少しずつ改善するといった解決方法を提案できたらいいなと思っています。「ルールに従ってやりましょう」という話しかしないのでは意味がないですし、「このWebサイトなら、ここまでやっておけば大丈夫」というところも含めて提案や打診ができることが大事だと思います。セキュリティリスクを鑑みるとここまでは手を打ったほうがいい、というある程度の指標を提示するのがセキュリティ企業の責任だと思います。

MBSD テクニカルサービス事業本部 プロフェッショナルサービス事業部 部長 小河哲之 氏

MBSD テクニカルサービス事業本部 プロフェッショナルサービス事業部 部長
小河哲之 氏

武井氏(MBSD):同じセキュリティ診断といっても、ツールを回すだけの診断と、手動での診断では差があります。私たちとしては、サイトの重要度に応じて網羅的に全体を見て診断していくべきだとお客さまにも説明していて、ツールだけで診断すればいいとはいえません。

大木(SST):マニュアルに従ってツールで診断するだけだと、診断をしているはずのエンジニア自身がその内容を把握していないケースも少なくないですね。診断を行う人が診断技術や診断対象となるWebサイトの目的を把握して「このWebサイトでこの挙動をするということは脆弱性だ」と判断していえるかどうかは、大きな差ですね。

小河氏(MBSD):SSTさんと一緒にペネトレーションテストの提案機会をいただくとき、「テストの対象となるシステムでWebアプリケーション診断をするのであれば、ダブルコストになりかねないから、ペネトレーションテストはやらなくてもいいのでは?」という提案をさせてもらうこともあります。お客さまに合わせて、やるべきこと、やったほうがいいこと、やらなくてもいいことは、ちゃんと切り分けして提案するのが大事かなと。

切磋琢磨できるパートナーだから「仕事を楽しくできる」

大木(SST):今回の提携をきっかけとして、業界を一緒に盛り上げること、技術者同士のさらなる交流にも期待したいです。勉強会にせよ交流会にせよ、1社だけ、2社だけで行うより、いろいろなところに顔を出したほうがエンジニアは成長しますので、そのような機会をお互いに増やしていきたいです。

SST 代表取締役 大木元

SST 代表取締役 大木元

小河氏(MBSD):入社希望の学生さんと面談するときに、セキュリティにどれだけ興味を持っているかを一番見ています。平日学校が終わったあとや土日に何をしているかを聞いたら「セキュリティの本を読んでいます」なんて返事から、興味の有無を推し量っているのですが、興味がないとこの仕事を続けるのはシビアになってくるんですよね。非常に短期間にサイトを診断しきらないとタスクがどんどん積み重なって、そのなかで新しい脆弱性が発見されたらすぐキャッチアップしないといけないですから。この仕事の楽しさは、そういう同じ方向に同じ強さで興味を持った人と一緒に仕事できることです。飲み会などでも、セキュリティの話ですごく話題が盛り上がるし、そういう人たちから学びながら、今後も一緒におつきあいしていきたいです。私がセキュリティ業界に入ったとき、長谷川さんはすでに方々で登壇していて、その資料を見て勉強したんですよ(笑)。

長谷川(SST):私がセキュリティの勉強を始めたときでも、MBSDの国分裕さんなどMBSDのエンジニアの影響はものすごく大きかったんですよ。MBSDのメンバーは、技術を使って自分たちが楽しんでいるということを、上手に伝えている人が多いのが共通していますね。その楽しそうな姿を見ていると、不思議と周囲もそこに引かれて人が集まってくる空気を生み出している気がします。小河さんも含めて。

SST 取締役CTO 長谷川陽介

SST 取締役CTO 長谷川陽介

小河氏(MBSD):会社のつながりとは別に、個人同士で同じ思いを持っているメンバーが集まって自発的に勉強会などもやっていましたが、ビジネスでもご一緒するようになったので今後はいっそう関係性を深めていきたいと思います。

武井氏(MBSD):エンジニアを大切にしている会社だという点はとても共通していますよね。SSTさんのWebサイトを見たら、ミッションステートメントのValuesの最初に「仕事を楽しく」と挙げられていました。私の仕事のモットーが「楽しい人と楽しいことを楽しくやろう」でして、これはもう皆にも伝えていますが、やはり仕事は楽しまなかったら仕事ではないし、楽しむ仕事は結果的に生産性が一番高いんですよね。

小河氏(MBSD):昔、テレビ局のキャッチフレーズでありましたね。「楽しくなければテレビじゃない」って。

大木(SST):楽しめる相手と仕事して、「仕事を楽しくする」のが大事かなと思います。

4人の対話から見えてきたのは、セキュリティ企業に求められる高い倫理観を追求する姿、そしてエンジニアの自律性を重んじながら育てるという両社の共通項だ。MBSDの「ネットワーク社会の未来作り」とSSTの「インターネットを安全にする」というそれぞれのミッションを実現させるために、互いに認め合うパートナーとの仕事が生み出す楽しみと切磋琢磨が大きな原動力となるだろう。

SSTは、MBSDとの業務提携を通じ、今後のサービス開発および一層のクオリティ向上に取り組むとともに、同じ理念を共有するパートナーとの協業により、「インターネットを安全にする」というミッション実現へのさらなる一歩を踏み出したいと考えている。

MBSD x SST座談会記念写真

2022年10月31日更新