【インサイト】　三好・Synackカントリーマネージャ

Synackは、ソフトウェアの脆弱性を発見するためのセキュリティーテストを提供。金融界で採用される理由は、100％の安全対策はなく「できる対策は全部やる」の観点がある。みんなの銀行やNASDAQなどのほか、米国国防総省も採用する。日本事業を統括している三好一久カントリーマネージャ（44）に話を聞いた。

――セキュリティーテストの特徴は。

「82カ国1500人のエシカルハッカー（EH）と呼ばれる、プログラムのバグや脆弱性の専門知識を持つ善良な技術者と契約している。EH互いに競いながら検索・発見するバグ報奨金制度を導入して脆弱性を探している。疑似攻撃的な取り組みを安全に、発見数にかかわらず一定の価格で提供しているのが最大の特徴だ。検出した脆弱性は、対処の優先順位付けや修正のアドバイス、パッチ検証まで顧客に伝える伴走型でサポートする」

――ハッカー活用の安全性は。

「参加するEHの採用には、2カ月にわたる審査プロセスがある。実技・筆記テストのほか、言動調査や専門機関による身辺調査を経て、最終的に約1割が採用になる。その後も不審点がないか、継続的にモニタリングを行う。また、プロジェクト参加時の通信はすべて記録している」

――国内金融機関での利用状況は。

「金融機関では、みんなの銀行が顧客向けサービスの提供開始前に3回、スマートフォンアプリやAPI（データ連携の接続仕様）のテストで利用。従来の脆弱性診断をしたうえでのテストだったが、新たな脆弱性を発見した。今後はメガバンクや大手地方銀行の半数での採用を目指す」

――セキュリティー対策で重要な点は。

「悪意ある攻撃者は常にサイバー攻撃のチャンスを窺っている。海外では、世界に散らばるEHの高度なスキルを利用することが主要なセキュリティーのアプローチになった。国内金融機関でも、DX時代に合わせ、EHを活用すべきでは」