ラックとデジタルハーツホールディングスは12月1日、合弁会社として「レッドチーム・テクノロジーズ」を設立し、事業を開始したと発表した。ホワイトハッカー(コンピューターやネットワークに関する高度な知識や技術を良い目的に利用する人)を活用した、クラウドソースのペネトレーションテスト(企業が利用するITシステムに疑似攻撃を仕掛け、サイバー攻撃に対する弱点を発見するテストのこと、以下ペンテスト)を手掛ける。ネット販売などウェブサイトでビジネスを展開する企業が対象で、料金は700万円～。初年度の売り上げ目標は5億円となっている。(写真左からデジタルハーツHDの玉塚元一社長、レッドチーム・テクノロジーズの岡田卓也社長、ラックの西本逸郎社長)

 




　同サービスは高度かつ豊富な経験を積んだ技術力を有するホワイトハッカーが、実際にぜい弱性を突破して驚異を実証するというもの。従来から利用されるセキュリティー診断は、情報システム部門が危険性の有無を点検するために使うことが多いが、ペンテストは経営層や監査担当が、情報窃取が実際に発生する可能性を把握するために利用されるという違いがあるという。

　ただ、ペンテストは高度なスキルと知見を有する技術者が必要であることから、これまで日本ではあまり実施されていなかった。こうした課題を解決するために、両社では合弁会社を設立。世界有数のホワイトハッカーを活用したSynack社のクラウドソースペンテストを提供するほか、今後はスパイウエアやフィッシングメールを偽装し、外部から顧客の社内重要システムへの侵入を試みるなど、高度なペンテストとなる「レッドチームサービス」などを展開する予定。

　デジタルハーツHDはゲームソフトのデバッグ(バグの修正)などを手掛けている。玉塚元一社長は「ソフトウエアのテストは、セキュリティーと親和性が高い。究極としてセキュリティー事業も強化していきたい」と合弁会社設立の狙いを述べた。

　ラックの西本逸郎社長はセキュリティー診断とペンテストの違いを解説。セキュリティー診断はぜい弱性を見つけて危険性を指摘するものだが、ペンテストは脅威を実証するという違いがあることから、後者は経営レベルでの実施が妥当という。そのため、取締役の相互監督効果の発揮や、内部監査や監査役がきちんと動ける体制づくりが期待できる。西本社長は「セキュリティー診断は当社だけでも年間数千件行っているが、ペンテストは月2～3件がやっと。日本全体でも供給能力が足りないのが実情だ。量を確保する観点からSynack社のサービスは非常に有効で、期待している」と話した。

　新会社の社長に就任した岡田卓也氏はSynack社のペンテストの有効性を強調。従来のぜい弱性検査と比較すると、検査時間は前者が週40～80時間なのに対し、後者は同500～640時間。検査人数は前者が1～2名に対し、後者は60～80名で、多様な検査結果が期待できるほか、24時間365日の継続検査も可能だ。岡田社長は「従来のぜい弱性検査は年1回しか行わず、日々更新されるシステムやアプリケーションに対してセキュリティーが追いついていない。また、検査結果をもらっても現場は決裁を下す立場にない。当社はぜい弱性を見つけて指摘し、最も重要である対策については、ラックがリアルタイムに提示するサイクルを作る」とし、ラックと組んだ理由を説明した。