EGセキュアソリューションズの創業時からの事業である脆弱性診断。その脆弱性診断チームを率いるマネージャから、現CTOであり創業者でもある徳丸に、会社の創業から社員への期待、これからの事業展望等、聞いてみました。前編、後編に分けてお届けします。

今回はその前編です。後編はこちら。

徳丸 浩
EGセキュアソリューションズ株式会社
創業者 兼 取締役CTO

1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。
2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現EGセキュアソリューションズ株式会社）を設立。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。

木本 悠介
EGセキュアソリューションズ株式会社
ソリューション推進部　セキュリティ診断チーム　マネージャ

2019年入社後、主にウェブアプリケーション脆弱性診断業務を担当。
2021年より、脆弱性診断チームのマネージャとして奮闘中。

私はこうやってEGSSに潜り込んだ（脆弱性診断チーム）

独立前から持ち続けていたのは、技術に向き合い続けたいという想い

木本：普段からレビュー会（※）等、徳丸さんにはいろいろお話伺っていますが、今回は、改めていろいろ質問したいと思います。徳丸さんとこのような話をするのをとても楽しみにしていました！よろしくお願いします。

※週2回、脆弱性診断結果を徳丸が中心になって診断チーム全員でレビューを行う会

まず、お聞きしたいのは徳丸さんがセキュリティ業界を目指された理由です。

　　　　　　　　　　　　▲真剣に質問する木本

徳丸：そうですね。みなさんはガラケーを使った世代でしょうか。現在はスマホで課金は当たり前ですが、当時ガラケーでの課金は新規性の高い画期的なものでした。その認証課金基盤の方式設計を担当したことがはじまりですね。

1999〜2000年の話ですが、当時は認証課金におけるWebセキュリティの設計、そのための情報、前例などほとんどないわけです。これは何とかしないとと調査・研究していくうちに、社内で「Webセキュリティと言えば、徳丸だ」みたいな（笑）。いち早くWebセキュリティの重要性に気づいたということです。

それで、会社に対してWebセキュリティの取材依頼や記事執筆依頼が入ると、私に声がかかるようになりました。これが2002年頃ですね。

2004年に社内ベンチャーとしてWebアプリケーションセキュリティの事業を立ち上げることになります。翌年、価格比較サイト大手のWebサイトが不正アクセス被害を受けた事件がきっかけで、事業が大きく伸びました。絶妙なタイミングで偶然市場が立ち上がったという展開で、運が良かったと思っています。

　　　　　　　　　　　　　▲木本の質問に笑顔で答える徳丸

木本：そのあと、2008年にHASHコンサルティング（当時）を立ち上げられたのですね。独立されたのには、何かきっかけがあったのでしょうか。

徳丸：セキュリティ関連のコミュニティに足を運んで刺激を受けたんですよね。そこには独立してセキュリティ問題と向き合っている人たちが多くいたんです。私自身も「独立して、セキュリティ問題に真正面から向き合わなくては」と意識が高まりました。

当時は朝から晩まで会社で仕事をした後、自分が知りたい技術を調査して学び、ブログを書くというような生活を続けていましたが、意識が高まりすぎて（笑）社長に直談判して独立することになりました。

立ち上げたWebアプリケーションセキュリティの事業部署が増員となり、同社におけるセキュリティの根幹の構築を担いました。このプロジェクトを成し遂げ、成果を出せたということも、もちろんあります。

木本：意識高い！独立後の事業内容やビジョンははっきりしていたのですか？

徳丸：独立前から持ち続けていたのは、技術に向き合い続けたいという想いです。これは創業から15年経つ今でも変わらないですね。

木本：はい、徳丸さんには全ての診断結果報告書に目を通していただいていますし、レビュー会、楽しいですよね。毎回、すごく勉強になります。

お客様の報告会に徳丸さんに同席いただくこともありますよね。

社員発の取り組みや技術的な研鑽をぜひ続けてほしい

木本：当社は2021年にグループ会社2社と合併をして、社員数も増えました。社員への期待や目指して欲しい姿をぜひ教えてください。

徳丸：当社の社員は真面目で丁寧です。これは誰でもできるようで難しい。脆弱性診断には地道さが求められますが、そこをきちんと手抜きなく丁寧にやってほしい。私の要求の高さはわかっていますが、社員はそれに応えて、要求した水準を維持して実施してくれます。非常に素晴らしいです。

木本：ありがとうございます。メンバーみな、診断作業から報告書作成、お客様とのやり取りまで、とても丁寧に真摯に業務に向き合っています。徳丸さんに認めてもらうと、セキュリティエンジニアとして何よりうれしいです！

徳丸：それから、社内LT（ライトニングトーク）などが企画実施されていますよね。このような社員発の取り組みや技術的な研鑽をぜひ続けてほしいです。自発的な研究成果やスライドなどを対外的に発表する機会も増えたらいいと思います。

当社は私のイメージが強い会社だとは思いますが、私以外に多数の優秀な社員がいることを社内外に発信してほしいです。

木本：毎週社内勉強会も行っていますが、メンバーみな楽しみにしています。先日はOSCP（※）に合格したメンバーが、合格体験談を発表してくれました！

また、メンバー発の取り組みとして、診断業務の改善プロジェクトも継続しています。このような活動もブログなど何らかの形でアウトプットしていきたいです。

※Offensive Security社が開発・運営するペネトレーションテストの認定試験

脆弱性診断は、報告書こそがお客様に価値を届ける

木本：レビュー会では、診断報告書に対して、技術的な指摘はもちろん日本語としての文章にも徳丸さんから指摘が入ります。当社では報告書も診断エンジニアが作成しますが、徳丸さんの、技術的に正しく正確に、お客様に伝わりやすく、というこだわりをすごく感じます。

徳丸：報告書こそがお客さまへの納品物ですから、相当のこだわりがあります。

お客さまの脆弱性診断後、報告会を実施する場合もありますがしない場合もあり、開催する場合でも、参加できない方もいらっしゃいます。結果的に残る弊社のアウトプットは報告書です。報告書は、役に立たないといけません。

まぁ、実際世の中には「脆弱性診断をやればいい、したことにすればいい」という発注も存在するわけです。

ですが、当社に脆弱性診断をご依頼くださるお客さまは、Webサイトを安全にしたいという思いから発注いただいており、私たちには脆弱性診断の結果どのような問題が存在しており、どのような方法で解決したらいいのかをお伝えする責務があります。そのため報告書には伝わる文章表現が必須であり、国語力が非常に重要です。

Webセキュリティ会社によっては診断担当と報告書作成担当が分かれている会社もあります。当社は全員がバランスよくサービス提供に必要なスキルを身につけており、全般を担える点が強みでもあります。

もちろん社員の経験や経歴には差がありますが、診断もでき、報告を行い、現実的な改善の提案ができることを社員には求めています。

木本：確かに当社ではお客様とのやり取りから診断、報告書作成や報告会まで、エンジニアが担当し、そこはとてもやりがいがあるところです。お客様から直接「ありがとう」を聞けることがうれしいです。

徳丸：私たちは、お客さまが「無理」と思うような対策をお伝えすること、伝えるだけではなく可能な限りその対策通りに実施いただくよう促すことも仕事です。

例えば「ソフトウェアを最新バージョンにしていただく」。最新バージョンを提案しつつ、一旦はセキュリティ対応がされているこのバージョンを入れて、その後に最新バージョンにしましょう、のように段階を踏んで更新を実現する提案もあります。

「一度最新にして放置する」というのでは、セキュリティが高い状態を維持し続けることはできません。Webサイトは安全であり続ける必要があり、そのための診断を実施し、方法をお伝えしたいですね。

～続きは後編で～