レイが部屋に入ると彼らは笑った、
しかし説明を始めると!―
~ 業界の常識を破る
セキュリティ診断サービスの
誕生秘話 ~
2011年の暑い日だった。ちょうど大手セキュリティ診断会社の説明会が終わったところだった。和やかな雰囲気で説明員たちが立ち上がり部屋を出るところだった。それと入れ替えに若干26歳のレイが部屋に入ると、座っていた全員の顔に嘲笑が浮かんだ。
「こんな若造に何が出来るのか、ウチもなめられたもんだね~」と聞こえよがしに話す人までいた。
ここは、某大手銀行の情報システム部門の会議室。本年度のセキュリティ診断を行う業者を選定するために候補となるベンダーを数社集め、それぞれの能力を確認するための場だった。大手銀行として、当然のことながら、十分な境界防御策をはじめ、毎年のセキュリティ診断などを行っていたが、年々激化する攻撃に手を焼いていて、何か新しい施策が必要と考えて名だたる企業を招待して説明をうけることにしたのだ。
レイは招待された数社の最後に登場した。他社は既に実績を豊富に持つ企業ばかりで、新参者のレイ・イージスがこの場に割り込むだけでも大変なことだった。大学時代の友人のつてをたどって無理やり機会をもらったのだった。何しろ全く実績もなく、誰もレイ・イージスのことなど知らなかったのだから。
― レイがプレゼンを始めると ―
最初はざわついていて、集中して聞いている人は明らかに一人もいなかったが、30分もたたないうちに、説明を聞いていた10名の顔からは、魔法のように笑いが消えていた。レイが最近の攻撃のトレンドやそれに対する防御策などの知見を披露し、彼の開発したツールや彼のチームの技術力によって、堅牢に見えるシステムの脆弱な部分を抉り出し、容易にシステムに侵入することが出来ることを実演すると多くの人は話に引き込まれ、細かなメモを取り始めた。レイが行った様々なツールの説明や実演は、その高速性や精度などまるで魔法を見ているようだった。
システム部門のエキスパートたちは、
「どうやってそんなに簡単に侵入できるのか?」、
「それは米国の企業の開発したツールや手法を使っているのか?」、
「君はダークサイドの人間か?」
など様々な質問を投げかけてきたが、レイの答えはこうだった。
「これは、僕が米国の銀行でホワイトハッカーとして修業していた時に覚えたことを、留学先のカーネギーメロンのAIの権威たちと一緒に研究してツールとして仕上げたことによって実現できているのです。もちろんそれだけではなくて、世界中にハニーポットを仕掛けたり、ダークウェブを研究したりということにもかなり投資をした成果として、現実的な最新の攻撃手法などもツールには反映させて来ましたけど。」
こうしたやり取りの末、その場にいたCISO(情報セキュリティの責任者)が
「今年度はこの若い企業、レイ・イージスに診断業務を頼んでどこまでやれるか見てみようと思うがが異存のある者は?」
と問いかけると全員が拍手で答えた。
*日本でも、事務所開設したばかりのころ、まだリリースされたばかりで脆弱性が報告されていなかったRedHat7.7に、レイ・イージス社のAI技術による侵入ツールを使って、たった90分で外部から侵入してOSのルート権限を奪取するということを実演しています。
レイ・イージスの躍進
銀行での説明会でも一部を説明していますが、レイ・イージスでは、創業当初から作業の効率化を図るために以下のようなことを行っていました。
使用しているオープンソース、商用の診断ソフトへの自動化プラグインを独自開発し、診断時間の短縮を実現
独自のAIを使った脆弱性探索エンジンを使うことで、診断員の手を煩わすことなく網羅的な診断を実現
ファジング技術などを取り入れた侵入手法を自動生成させるためのAIエンジンを使うことによって、人手では困難な侵入を短時間で実現
世界中に配置したハニーポットから収集した最新の攻撃手法やダークウェブで得られた情報の各種ツールへの反映
このようなツールの独自開発や診断員の豊富な高い経験と技術レベルもあって、従来のベンダーたちが見つけられなかったセキュリティホールを次々と発見し、この銀行でのシステムの脆弱性の克服に大いに貢献し、翌年度以降も指定ベンダーとしてお付き合いいただけるようになりました。
そのころ、他の銀行ではATMから大量の現金がハッカー集団によって引き出されるなどの事故が相次いでいました。銀行協会の会長を兼ねていたこのCISOの紹介で他の銀行にも紹介され、レイ・イージスは銀行、政府機関などでの実績を増やし、順調に成長の道を歩み始めたのです。
2015年には米国や欧州などへの海外進出を果たし、欧米のメガバンクとの契約を次々と締結し、ついに2019年10月に日本進出を果たしました。
日本での診断実績も2020年の春から1年で50件以上をこなし、多くのお客様先で、
「今まで気づかなかった脆弱性をたった数日で発見してくれた」
「今までの半分以下の時間と費用で、網羅的に正確な診断をしてくれた」
「侵入あれることなどありえないと思っていたシステムに簡単に侵入してマルウェアを埋め込むことを見せられて、見逃していた脆弱点の修正が出来た」
などと多くの感謝の声が寄せられています。
レイ・イージスの
何が優れているのか
創業者のレイは、台湾大学のコンピュータ学科を優秀な成績で卒業したのち、カーネギーメロンで2年間AIとセキュリティを学びました。また、米国滞在中には、米国大手銀行で内部のホワイトハッカーとして従事し、米国の一流銀行のセキュリティに対する取り組みを実地でしっかりと経験してきました。
台湾に戻ったあとセキュリティ診断会社、RayAegis Information Security(レイ・イージス)を設立し、冒頭の話につながってゆくわけですが、最先端の銀行業界でのセキュリティに対する取り組みを理解していた上に、今まで診断員が苦労していたBurpSuite、Metasploitなどの診断ツールなどの使いにくさ、診断の都度マニュアル作業で攻撃を行うことによる時間と労力の削減を目指して、各種自動化プラグインの作成、ダークウェブの探索やハニーポットで収集したハッカーたちの様々な攻撃手法の体系化、さらにAI技術による亜種を含めた攻撃の自動生成やシステムの脆弱な場所を自動探索する機能などを作り上げました。そのため、短時間で効率的に、しかも高品質に行えるような診断サービスが出来上がったのです。最初に記したある銀行での会議では、これらについての説明や実演などを行ったものですが、長年セキュリティに携わっていたプロの目から見ても、その診断手法や使っているツールの優秀さは即座に理解され採用となったわけです。
顧客やプロジェクトが増えるに従い、徐々に優秀な学生たちを加え、開発してきた各種プラグインや診断ツールの強化に励むとともに、CISSPやCEHの資格を持った診断経験豊富な技術者を正社員として250名以上抱えるまでになりました。今の体制で、月間300プロジェクトまでストレスなくこなせる状況となり、いつでも完璧な診断を実施できる企業として知られるようになってきたのです。
なぜ
レイ・イージスの
サービスを
選ぶべきなのか
1. 予算に合わせるために、重要度が低いページや、静的ページについては診断を行わないことで診断ページの絞り込みを行う手間
2 . 絞り込みの結果、診断をスキップした場所に脆弱性が潜んでいるかもしれないという不安
3. リクエスト数が多いために診断員の手間がかかることからくる診断に要する日数
4. 診断員の経験とスキルによる診断結果のばらつき
5. 診断結果に従ってソフトウェアなどを修正した後の再確認に関する制限事項(リスクレベルの高いものについてのみ再診断を行うのが一般的)
そのため、レイ・イージスのサービスはお客様にとって、以下のような点で便利になります。
1. AI技術を含む、各種自動化のおかげで、お客様が思い立ったら最短3日で診断に着手し、最短で1日、最長でも5日程度ですべての診断が終了します(ペネトレーションテストだけは要件によって4週間から6週間ほどかかるのが一般的です)
2. 予算に併せて診断対象から特定ページをはずすというような面倒なことを考える必要はありません。診断対象サイトは端から端まで一律料金で診断します。
3. 基本的な脆弱性診断部分は、考え抜かれて作られたAIツールを含め、各種自動化ツールで行われたものを診断員が精査、あるいは追加での手動診断をしますので、品質は常にトップクラスの診断員が行ったものと同程度以上であることを保証いたします。多くのユーザから、今までのベンダーでは見つけることができなかった脆弱性を見つけてくれたとお褒めの言葉をいただいています。
4. 診断の結果お客様が対策された際には、3か月以内であれば、リスクレベルの高低にかかわらず修正箇所の再診断をいたします。ペネトレーションサービスでは、1年間何度でも再診断のお付き合いをさせていただいております。