2023 年 7 月、株式会社パロンゴと株式会社TwoFive は、製品販売に関するパートナー契約を締結した。両社の代表にその展望と抱負について取材したのが本稿なのだが、取材の席上で感じたのは、「パートナー」というよりむしろ「バディ」といった雰囲気だった。
パートナーとバディ、何が違うのかあえて言葉にするなら、互いを認め合い尊敬し合いながらも、チャンスさえあれば(この場合は技術者として)俺の方が上だと認めさせる気満々の緊張感が相互に常に漂うのが「バディ」だと思う。だからこそ互いの成長が加速する。だからこそ単なる両社の製品の連携効果以上のシナジーが期待できる。
--
ゴツいエンジニアブーツを履いて Kawasaki のバイクにまたがり、長髪をなびかせオフィスに出社してくる、無精ひげの技術者がかつて記者の同僚にいたことがあって、メーリングリスト上で、技術に暗い社長と盛大なバトルを繰り広げるような人物だったが、社員皆にとてもリスペクトされていた。
この人から一度ミドルウェアとは何かについて丁寧に説明してもらったことがあり、わかったという実感にまでは(主に当方の不見識により)残念ながら至らなかったものの、エンジニアの目からコンピュータテクノロジーがどんなふうに見えているか、その世界とそこにあるセンス オブ ワンダーを一瞬垣間見た気がしてその後忘れることがなかった。
原体験的なこんなエピソードを想起したのは、今回取材した 2 人の人物のうちの 1 人、株式会社パロンゴ 代表取締役社長 近藤 学(こんどう まなぶ)と、Kawasaki が愛車だったエンジニア氏の苗字が同じだったからだけではない。技術に対する姿勢や眼差しが共通していると感じたからである。
株式会社パロンゴは、中央省庁や大学等で有識者として活躍する林 達也と近藤が共同で 2016 年に創業したセキュリティ企業で、「パロンゴ」とはマオリ語で「information」を意味するという。
当初から近藤の念頭にあったのは「通常の IT の守備領域だけを見ていてもセキュリティがわかるとは限らない」という考えだった。セキュリティ管理者には、コンピュータやネットワークの技術的知識や経験だけでなく、地政学や歴史、世界の政治経済動向、国内および各国の法制度など、あらゆるレンジあらゆる方向へ気を配ることが求められる。その一方で企業における情報システム部門とは「コンピュータやデジタルを駆使していかに業務や事業、会社を良くするか」こそが業務範囲である。
「社内に専任チームを置けるような体制を持つ組織をのぞけば、セキュリティに関わる高度なファンクションは外部の力を活用する必要が出てくる(近藤)」
こうした考えのもと、最高の製品を、深い知識や経験を持つオペレータが運用した結果「だけ」を顧客が享受できる SOC サービスを同社は立ち上げた。ほどなくしてパロンゴは、セキュリティの製品や運用サービスに目の肥えた大手企業を中心とする顧客を、次々と獲得していく。
一方で株式会社TwoFive は、Sendmail 日本法人立ち上げに関わった主要メンバー、末政 延浩(すえまさ のぶひろ)が 2014 年に立ち上げた。メールの運用やセキュリティに特化した国内ほぼ随一ともいえる企業であり、メールにまつわるどんな厄介な課題にも対応できる/してきたメールセキュリティのエキスパート企業である。一方で「PHISHNET/25」や「DMARC/25」シリーズなどの自社開発製品の展開も積極的に行い成功している。(余談だが末政はいつもストラップの無いエンジニアブーツを履いている)
近藤と末政が出会ったのは、インターネット黎明期の西暦 2000 年前後にさかのぼる。当時 IIJ (株式会社インターネットイニシアティブ)で海外事業やメールサービスの開発に従事していた近藤と、まだ日本法人すらなかった当時の Sendmail の技術を支えていた末政は、極めて新規性の高い、メールに関連するシステム開発のプロジェクトに携わることになる。
「こんなすごい人がいるとは」 「IIJ の中でもすごく光っていた」これは、それぞれのお互いへの人物評である。
二人はプロジェクト終了後も、当時増加の一途をたどっていた迷惑メール対策の団体設立に尽力するなど、同じプロジェクトに関わることはないものの、相互に影響を及ぼしながら、同じ方向を目指す、いわば盟友関係を続けてきた。
近年パロンゴの近藤は、顧客への SOC サービス提供を行いながら、サイバー攻撃の重要なアタックサーフェスのひとつであるメールや SMS への対策が外せなくなっていると感じていた。TwoFive が行っているような、メッセージング領域の対策までカバーしなければ、顧客の安全は守ることができないかもしれない。また、自社開発製品を積極的に展開し、開発チームを持つ TwoFive の組織体制にも魅力を感じた。
一方で TwoFive の末政は、現実世界に存在する犯罪やリスクが続々とデジタル環境にコピーし移植され、インターネットやネットワークが日々危険な場所に変貌しつつあることに危機感を持っていた。だが、それに対応できるような SOC や CSIRT を自前で持つことができる企業は、ごく一握り。そう考えたとき、パロンゴの SOC サービスのような、マネージドセキュリティサービスの需要が今後さらに高まると考えた。このようにして両社の提携の機運は高まった。
とりわけパロンゴの近藤が注目した TwoFive の製品は「PHISHNET/25」である。サイバー攻撃の標的となった電子メールのフィッシング詐欺に対応するサービスで、自社組織に関わるフィッシングメール送信を、準備段階やごく初期の段階から検知することができる。
それによって、少し先の未来を先取りしたオペレーションを SOC やカスタマーサポートは実施できる。類似製品は海外にいくつか存在はしていたが、日本語のフィッシングメールに圧倒的に強く、自社開発製品ならではの行き届いたカスタマーサポートも提供される。「パロンゴが強みを持つ金融業界等のハイエンドな顧客に対しても、PHISHNET/25 なら、納得してもらえる結果を提供できる」と近藤は語った。
それと同様に、TwoFive の末政がとりわけ関心を持つパロンゴが取り扱う製品のひとつが「Bitsight」である。Bitsight は、外部に公開された企業の広義のデジタル資産や関連する情報を、さながら Google のようにクロールして、いつでも顕在化しかねないサイバーセキュリティリスクを可視化し、スコアリングするサービスだ。
「従来のセキュリティは、自社をいかに堅牢にするかに力を注いできたが、Bitsight は『外から攻撃者にどう見えるのか』を知ることができる。その点では、導入することでそれまで見えていなかったメールサーバ等が可視化される DMARC のような技術と共通点がある」と末政は語った。
取材では Bitsight の特徴や機能について近藤にさらに詳しい話を聞いたのだが、このとき Bitsight について語る近藤の生き生きとした表情と口調こそが記者に、Kawasakiにまたがったかつての同僚の技術者を思い起こさせたのだった。
通常、取材でセキュリティ製品について話を聞く場合、広報なり プロダクトマーケティング なり営業部長なりのインタビュー対象にとってその製品とは畢竟(ひっきょう)99 %の確率であくまで「商材」であり、売上目標やノルマ等とひもづく点で、雇用契約に従って納品を完了させなければならない成果を生み出す手段であって、それ以上でも以下でもない。
ところが長く取材していると、ごく稀にそれこそ 100 人に 1 人ぐらいの確率で「惚れ込んでいる」という点でまるで恋人のようにセキュリティ製品について語ったり、全国大会を目指すスポーツ選手のマネージャーのような憧れと献身の姿勢で製品を見守っていたり、あるいは、まるで次元大介の拳銃のようにプロ意識やプライドと製品や道具が一体化しているようなケースに出会うことがある。今回がそうだった。こういう取材はアタリである(他がハズレという意味ではありません)。
「これだよこれこれ。こういうものが欲しかった!」と顔を輝かせて、Bitsight を使う喜びを語った近藤は、同製品の特徴として「継続性」「網羅性」「客観性」の三つを挙げてくれた。
せいぜい年に一回、システムやアプリケーションの脆弱性を診断するやり方は過去のものである。外から見えるシステムやアプリケーションのリスクを「継続的」に把握することに Bitsight は有効だという。
また Bitsight は、デイリーで合計 4,000 億件超と、類似製品の 5 倍から 10 倍の情報を高い「網羅性」で収集する。そのクロールの範囲は、更新された whois 情報や、顧客企業が発信したプレスリリースの本文にまで及ぶ。たとえば Bitsight の監視対象である A 社が B 社と資本提携を行うというプレスリリースが出されれば、A 社のリスクに影響を及ぼす因子のひとつに B 社を含めるアルゴリズムが稼働開始する。
また、同種のスコアリングサービスの多くが、ドメイン数や IP アドレスの数によって課金される体系であるのに対し、ドメインや IP アドレスではなく、企業規模や利用する機能によってライセンス体系が整理されている点も Bitsight がクラウド時代によく適合している長所であると近藤はつけ加えた。
最後の「客観性」について近藤は、印象に残る話を語った。管理者には皆、ある種の「思い込み」があるという。しかしサイバー攻撃を行う側は、そんな思い込みからはどこまでも自由だという。
近藤は、今月で終了することが決定しているサービスのパッチマネージメントを例に挙げた。「廃止が決まっているサービスにパッチを適用するなんて人とコストの無駄」そう考える管理者の「気持ち」はわからなくはない。だが攻撃者にそんな「気持ち」への配慮は当然あろうはずもない。だから、終了が決まっている旧サービスにパッチを当てることがもし後回しにされ、それが攻撃側のクローラーに検知されたら、そこが攻撃の侵入口となる。
個社名をあえてここでは書かないが、旧サービスを起点に信頼の大手企業が攻撃されたインシデントを、本誌読者ならすぐに思い起こすに違いない。客観性とはすなわち、偏見から自由で、どこまでも合理的かつ利己的な、攻撃者の視点とイコールでもあるのだ。
--
今回取材した株式会社パロンゴと株式会社TwoFive の提携のもう一つの注目ポイントは、じつは両社ともそれほど大きい規模の会社ではないことで、これはむしろメリットとなるかもしれない。なぜなら、技術を愛する社長同士が互いに意思疎通を行い握ることができれば、大企業が何社集まってもできないような価値創出や品質向上が、疾走するようなスピード感を伴って実現できる可能性があるからだ。
