レイが部屋に入ると彼らは笑った、しかし説明を始めると…
業界の常識を破るセキュリティ診断サービスの誕生秘話
2011年の暑い日だった。ちょうど大手セキュリティ診断会社の説明会が終わったところだった。和やかな雰囲気で説明員たちが立ち上がり部屋を出るところだった。それと入れ替えに若干26歳のレイが部屋に入ると、座っていた全員の顔に嘲笑が浮かんだ。
「こんな若造に何が出来るのか、ウチもなめられたもんだね〜」
ここは、某大手銀行の情報システム部門の会議室。本年度のセキュリティ診断を行う業者を選定するために候補となるベンダーを数社集め、それぞれの能力を確認するための場だった。大手銀行として、当然のことながら、十分な境界防御策をはじめ、毎年のセキュリティ診断などを行っていたが、年々激化する攻撃に手を焼いていて、何か新しい施策が必要と考えて名だたる企業を招待して説明をうけることにしたのだ。
― レイがプレゼンを始めると ―
最初はざわついていて、集中して聞いている人は明らかに一人もいなかったが、30分もたたないうちに、説明を聞いていた10名の顔からは、魔法のように笑いが消えていた。レイが最近の攻撃のトレンドやそれに対する防御策などの知見を披露し、彼の開発したツールや彼のチームの技術力によって、堅牢に見えるシステムの脆弱な部分を抉り出し、容易にシステムに侵入することが出来ることを実演すると多くの人は話に引き込まれ、細かなメモを取り始めた。
システム部門のエキスパートたちからの質問:
- 「どうやってそんなに簡単に侵入できるのか?」
- 「それは米国の企業の開発したツールや手法を使っているのか?」
- 「君はダークサイドの人間か?」
「これは、僕が米国の銀行でホワイトハッカーとして修業していた時に覚えたことを、留学先のカーネギーメロンのAIの権威たちと一緒に研究してツールとして仕上げたことによって実現できているのです。もちろんそれだけではなくて、世界中にハニーポットを仕掛けたり、ダークウェブを研究したりということにもかなり投資をした成果として、現実的な最新の攻撃手法などもツールには反映させて来ましたけど」
レイ・イージスの何が優れているのか?
創業者のレイは、台湾大学のコンピュータ学科を優秀な成績で卒業したのち、カーネギーメロンで2年間AIとセキュリティを学びました。また、米国滞在中には、米国大手銀行で内部のホワイトハッカーとして従事し、米国の一流銀行のセキュリティに対する取り組みを実地でしっかりと経験してきました。
台湾に戻ったあとセキュリティ診断会社、RayAegis Information Security(レイ・イージス)を設立し、冒頭の話につながってゆくわけですが、最先端の銀行業界でのセキュリティに対する取り組みを理解していた上に、今まで診断員が苦労していたBurpSuite、Metasploitなどの診断ツールなどの使いにくさ、診断の都度マニュアル作業で攻撃を行うことによる時間と労力の削減を目指して、各種自動化プラグインの作成、ダークウェブの探索やハニーポットで収集したハッカーたちの様々な攻撃手法の体系化、さらにAI技術による亜種を含めた攻撃の自動生成やシステムの脆弱な場所を自動探索する機能などを作り上げました。そのため、短時間で効率的に、しかも高品質に行えるような診断サービスが出来上がったのです。最初に記したある銀行での会議では、これらについての説明や実演などを行ったものですが、長年セキュリティに携わっていたプロの目から見ても、その診断手法や使っているツールの優秀さは即座に理解され採用となったわけです。
顧客やプロジェクトが増えるに従い、徐々に優秀な学生たちを加え、開発してきた各種プラグインや診断ツールの強化に励むとともに、CISSPやCEHの資格を持った診断経験豊富な技術者を正社員として330名以上(2024年9月時点)抱えるまでになりました。今の体制で、月間300プロジェクトまでストレスなくこなせる状況となり、いつでも完璧な診断を実施できる企業として知られるようになってきたのです。
レイ・イージスの躍進
銀行での説明会でも一部を説明していますが、レイ・イージスでは、創業当初から作業の効率化を図るために以下のようなことを行っていました。
創業当初からの取り組み:
使用しているオープンソース、商用の診断ソフトへの自動化プラグインを独自開発し、診断時間の短縮を実現
ファジング技術などを取り入れた侵入手法を自動生成させるためのAIエンジンを使うことによって、人手では困難な侵入を短時間で実現
独自のAIを使った脆弱性探索エンジンを使うことで、診断員の手を煩わすことなく網羅的な診断を実現
世界中に配置したハニーポットから収集した最新の攻撃手法やダークウェブで得られた情報の各種ツールへの反映
このようなツールの独自開発や診断員の豊富な高い経験と技術レベルもあって、従来のベンダーたちが見つけられなかったセキュリティホールを次々と発見し、この銀行でのシステムの脆弱性の克服に大いに貢献し、翌年度以降も指定ベンダーとしてお付き合いいただけるようになりました。
そのころ、他の銀行ではATMから大量の現金がハッカー集団によって引き出されるなどの事故が相次いでいました。銀行協会の会長を兼ねていたこのCISOの紹介で他の銀行にも紹介され、レイ・イージスは銀行、政府機関などでの実績を増やし、順調に成長の道を歩み始めたのです。
2015年には米国や欧州などへの海外進出を果たし、欧米のメガバンクとの契約を次々と締結し、ついに2019年10月に日本進出を果たしました。
日本での診断実績も2020年の春から1年で50件以上をこなし、多くのお客様先で、
などと多くの感謝の声が寄せられています。
成長の軌跡
米国や欧州などへの海外進出を果たし、欧米のメガバンクとの契約を次々と締結
日本進出、10月10日に東京都新宿区にオフィス開設
日本での診断実績も春から1年で50件以上を達成
日本での年間診断実績合計数が1018件を記録(全世界では3,000件以上)
レイ・イージス全社の診断員(ホワイトハッカー)の総数が330名に
レイ・イージスのサービスを選ぶべき理由とは?
レイ・イージスのサービス体系は、日本の一般的なセキュリティベンダーとは若干異なっています。
弊社では自動化の恩恵により、一般的に使われているリクエストあたりいくらという計算方法は取らず、FQDNあたりいくらという固定料金制になっております。
また、高度な自動化ツールを多用することで、優秀なエンジニアを、彼らでなければできないポイントに絞って使うことで、極めて高い効率性を保っています。従って、お客様が不便に感じられていた以下の要素を取り除くことに成功しています。
予算に合わせるために、重要度が低いページや、静的ページについては診断を行わないことで診断ページの絞り込みを行う手間
絞り込みの結果、診断をスキップした場所に脆弱性が潜んでいるかもしれないという不安
リクエスト数が多いために診断員の手間がかかることからくる診断に要する日数
診断員の経験とスキルによる診断結果のばらつき
診断結果に従ってソフトウェアなどを修正した後の再確認に関する制限事項(リスクレベルの高いものについてのみ再診断を行うのが一般的)
そのため、レイ・イージスのサービスはお客様にとって、以下のような点で便利になります。