【未来X 2024】最優秀の未来X賞受賞、世界の「セキュリティOS」を目指す、IssueHuntの挑戦

遅れる日本のサイバーセキュリティ事情

IssueHunt社が提供するサービスの概要を教えてください。

IssueHunt社は、ビジョン「日本のサイバーセキュリティのレベルを一段階引き上げる」の実現を目指して、バグバウンティプラットフォーム「IssueHunt」やソフトウェア開発者のための「プロダクトセキュリティ講座」を提供しています。

バグバウンティとはホワイト・ハット・ハッカーが脆弱性診断をおこない、脆弱性が見つかったことを企業に報告することで謝礼を受け取る仕組みです。サイバー攻撃を未然に防げるため、欧米の企業や政府機関が導入を始めています。

なかでも我々がサポートするのはネットバンクやECなど、エンドユーザーが使うインターネットサービスのセキュリティレベルの向上です。世界中のサイバー攻撃から企業のプロダクトを守る「プロダクトセキュリティ」と呼ばれる領域でサービスを展開しています。

とくに昨今のソフトウェアは、複雑な開発階層の上に成り立っており、セキュリティ対策も各階層に合わせた多層防御でなければなりません。IssueHunt社では、バグバウンティの他にも、アプリケーションの多層防御化を支援するサービスなどの提供も行っています。

セキュリティ対策事業を立ち上げるに至った課題感を教えてください。

日本のセキュリティ対策が、世界的に見て非常に遅れていると感じていたからです。

とくに今は、アジャイル開発と呼ばれる、サービスのアップデートを高速で繰り返す開発手法が主流になりつつありますが、それに対応したセキュリティ対策をできていない企業が多い印象です。セキュリティ先進国であるアメリカやイスラエルをはじめとした世界中の多くの企業がサイバーセキュリティに力を入れている一方で、日本の企業は出遅れており、危機感を感じています。

サイバー攻撃へのリスクは加速度的に上昇中

なぜ日本ではセキュリティ対策が進まないのでしょうか？

原因はいくつか考えられますが、その一つに開発プロセスにセキュリティ対策が組み込まれていないことが挙げられるでしょう。

本来プロダクトセキュリティ対策は「品質保証」の一環とも言え、ソフトウェアがコモディティになりつつある今の時代において、競争優位性を発揮する重要なキーであるはずです。

欧米では、プロダクト開発とセキュリティ対策を開発プロセスの中で行うDevSecOpsが発達してきていますが、国内ではまだまだ浸透していません。

また、日本特有の「横へならえ」もサイバーセキュリティ対策という新しい領域にとって、大きな障壁となっています。とくに開発を外注している大企業の担当者からは、いくら我々がセキュリティ対策の重要性をお伝えしても「脆弱性を発見されても直せないし、これまで攻撃されていないから対策は不要だ」とまで言われたことがあり、なかなか導入が進みません。他の企業が取り組んでいないなら自社でも取り組まなくていい、と考える企業が多い印象です。

一方で、CISO（Chief Information Security Officer）のようなセキュリティに関する責任者が在籍する企業や、最新の開発手法を取り入れている企業の場合、我々のサービスを評価してくださるケースが多いです。

日本でプロダクトセキュリティが軽視されているのは、なぜなのでしょうか？

大きく2つあると思っています。まず一つは「これまで攻撃を受けていないから、これからも大丈夫だろう」と考えてしまうこと。もう一つは攻撃されているのに気づかないことです。自社プロダクトの監視すらできていない企業も多く、いつの間にかユーザーの個人情報を奪われ、ダークウェブで取引されてしまっている、というケースもあります。どちらの考え方も、ユーザーに対しては不誠実だと思います。ただ、難しいのは「必ず攻撃を受ける」とは言い切れないところです。

とはいえ、リスクが高まっていることは間違いありません。インターネットを介して世界中の人があらゆるプロダクトにアクセスできる今、サイバー攻撃の数は加速度的に増えています。総務省がまとめている「令和5年　情報通信に関する現状報告の概要」によると、2022年に観測したサイバー攻撃関連通信数（約5,226億パケット）は、2015年（約632億パケット）と比較して8.3倍となっています。

サイバー犯罪に手を染める人たちは、企業がもつ個人情報の価値の大きさに気づいており、不正な手段で奪う機会をうかがっています。とくに所得の低い国の人たちにとって、サイバー攻撃は、1回につき1年分の収入が得られるような、わりのいい犯罪になってしまっています。

企業が、プロダクトセキュリティの重要性について理解をするには、何が必要なのでしょうか？

いきなり我々のようなベンダーへ相談をしなくても、Web上に溢れているセキュリティに関するガイドラインを参照するところから始めるとよいと思います。ただ、ガイドラインは数百ページあり、英語表記も多いので覚悟を持って取り組まなければなりません。リソースを割くことが難しければ、ベンダーに相談するのも手だと思います。

100点のないセキュリティ対策で、IssueHuntは「最後の砦」

日本にIssueHunt社の競合となる企業は存在するのでしょうか？

バグバウンティに限って言うと、特に存在していません。海外のバグバウンティプラットフォームを利用している日本企業も多数ありますが、IssueHuntに乗り換えていただくケースも増えてきています。
また、日本のベンダーで同サービスづくりに挑戦した企業もあったそうですが、ホワイト・ハット・ハッカーを集められないことが障壁となっているようです。

我々の場合、サイバーセキュリティ事業を始める前から世界中のエンジニアに向けたツールの提供をおこなっていました。その際に多くの優秀なホワイト・ハット・ハッカーとつながりを持っていたことが、今のサービスづくりに活きています。グローバルに活躍する一流エンジニアとのつながりは、他社が真似できない我々の強みです。

IssueHunt社のサービスは、現在どのくらい広がっていますか？

2022年7月頃からバグバウンティプラットフォームを公開していますが、これまでに楽天グループ、MIXI、日本経済新聞社などの大手企業からも導入をしていただいています。とくに2024年に入ってからはお問い合わせ件数が増えました。

お客さまからの声にはどのようなものがありますか。

日々、さまざまなうれしい声をいただきますが、とくに印象的だったのはバグバウンティプラットフォームを「最後の砦のようなサービスだ」と言ってもらえたことです。サイバー攻撃は日々進化しており、セキュリティ担当者の方々は最前線で日々対策を講じておられます。
多重の対策を講じるなか、仕上げとしてバグバウンティを使ってもらえ、ご満足いただいた結果、先ほどのようなお言葉をいただきました。お客さまのセキュリティレベル向上に貢献できたのと同時に、安心感の醸成にもつながっているのだと感じました。

セキュリティ対策だけでなく、企業の心理的な不安を取り除けることにもつながるのですね。

そうですね。
とくにセキュリティ担当者は「何も起きなくて当たり前、何かが起こればあなたのせい」という不憫なポジションに陥りやすいです。誰にも相談できず、正解のない世界で悩みを抱える方にとって、支えになるサービスになればと思っています。その一環として毎月定期的にイベントを開催し、セキュリティ担当者同士のつながりづくりにも取り組んでいます。すでに、熱量の高いコミュニティが生まれつつある状況です。

世界中の企業にとっての「セキュリティのOS」を目指す

最後に、今後の展望を教えてください。

バグバウンティを日本に広げることを継続しつつ、まだバグバウンティを実施するレベルに至っていないレベルの企業の底上げをする必要があると考えています。そのために、バグバウンティに留まらず、DevSecOpsの構築支援などを通じ、日本のプロダクトセキュリティレベルの底上げにまずは注力します。

一方、弊社の従業員は半数以上が外国籍で、将来的なグローバル展開を見据えた開発体制を取り入れています。グローバルな市場にプロダクトドリブンな会社として参入し、世界中のセキュリティカンパニーを圧倒し、時価総額1兆円を超えるような企業になりたいと思っています。

最終的なゴールは「セキュリティのOS」になることです。企業のセキュリティ対策について、最低限から最大限まで一貫してお任せいただき「とりあえずIssueHunt社に頼めば大丈夫」という存在になれるよう、努力してまいります。