脆弱性検査ツール「Nessus」開発者が考える、セキュリティが成し遂げるものとは:Go AbekawaのGo Global!〜Renaud Deraison編(前)(1/2 ページ)
セキュリティへの関心がまだ低かった約20年前、画期的な脆弱(ぜいじゃく)性検査ツールを発表した若きエンジニアがいる。ユーザーコミュニティーの多くの支持を受け、成長を続けている企業を先導する彼が考える「セキュリティが成し遂げるもの」とは?
世界で活躍するエンジニアの先輩たちにお話を伺う「GoGlobal!」シリーズ。今回は「Tenable Network Security」(以下、Tenable)の共同設立者 兼 CTO(最高技術責任者)であるRenaud Deraison(ルノー・ディレイソン)氏にご登場いただく。
「メガドライブ」でプログラミングに興味を持つ
阿部川“Go”久広(以降、阿部川) ディレイソンさんはフランス育ちですよね。どんな子どもでしたか?
ディレイソン氏 はい、フランスのパリで育ちました。どちらかといえば内向的な子どもだったと思います。
阿部川 「屋内で遊ぶことが多かったのでコンピュータとの出会いが早かった」ということはありますか?
ディレイソン氏 そういうわけでもありません。コンピュータとの出会いは確か8歳のときでした。どちらかといえば遅い方だと思います。最初に触ったPCは「IBM PC」でしたが、子どもには複雑過ぎてあまり好きではありませんでした。どちらかといえばその後にはまったセガのビデオゲーム機「メガドライブ」の印象が強いと思います。初めはゲームをすることが面白かったのですが、次第にゲームのプログラムそのものに魅了されました。
阿部川 ディレイソンさんの最初のモダンコンピュータ体験はゲーム機だったのですね。
ディレイソン氏 それまで私が持っていたコンピューティングの概念を変えてくれた存在です。その後、Appleの「PowerBook 140」に出会いました。このマシンのおかげで、プログラミングの素晴らしさやコンピューティング、ユーザーエクスペリエンス(UX)といった概念を「発見」できたのだと思います。
大学を中退して、Nessus開発に没頭
阿部川 ディレイソンさんは17歳のときに脆弱(ぜいじゃく)性検査ツール「Nessus」プログラムを完成させ、18歳のときにコンピュータセキュリティに関するメーリングリスト「Bugtraq」で発表しています。
ディレイソン氏 当時、私は「ネットワーク」「プログラミング」「UNIX」の3つに興味を持っていました。特にUNIXのプログラムそのものが私にとっては神秘的で、これら3つが全部やれるようなものはないかと考えていました。
阿部川 それがNessusだったわけですね。なぜ、Nessusのような「ホワイトハッカー(参考記事)的なプログラム」を作ろうと思ったのですか。
ディレイソン氏 良い質問ですね(と言いながら考えるしぐさをする)。私が素晴らしいと思うのは「たくさんの人々がシステムの力で何かを成し遂げる」ことです。今はネットワークが世界中に行き渡っているので、例えば今ここで私がコマンドを1つ実行すれば、海外のサーバを動かせます。その結果、ここに居ながらにしてたくさんの人にサービスを提供する、といったこともできるわけです。
阿部川 なるほど。そういった考え方から、ネットワーク利用の安全性を高めるNessus開発がスタートしたということでしょうか。
ディレイソン氏 そうですね。Nessusを開発した当時のUNIXは、セキュリティやネットワーク関連の良いソフトウェアが少なく「自分で作るしかなかった」という理由もあります。競合が少なかったことはNessus成功要因の一つといえるでしょう。
17歳でNessusを世の中に発表したディレイソン氏は、その後大学を辞めてNessusの開発に専念するようになる。Nessusの人気が徐々に上がってきて、頻繁にセキュリティに関するカンファレンスなどに招待されるようになり、学業との両立が難しくなったことが理由だという。当時は「エキサイティングな企業や製品が続々と登場していた」ため、大学の授業どころではなかったとディレイソン氏は笑う。もちろん大学からの引き留めはあったが、業界のスピードの速さを知った同氏にとって大学の4年間は「とても長い時間」だった。
はっきりしていなかった「セキュリティ」や「脆弱性」の概念
大学を中退してNessusの開発に没頭するディレイソン氏。だが、全てが順調だったわけではない。同氏が大学を辞めたのは「もうソフトウェアの時代は終わった」ともいわれていた時代だった。ソフトウェアそのものの価値がどんどん下がり、主な収益はサポートによるものだったという。そうした背景からNessusのサポートを請け負いたい企業からのオファーが殺到していた。
しかし、ディレイソン氏はそうした従来型のビジネスモデルに確信が持てなかったため、オファーを全て断り、自身でコンサルティング会社を設立した。その後、Ron Gula(ロン・グラ)氏とJack Huffard(ジャック・ハファード)氏に出会い、3人でTenableを創設した。2002年のことだった。
阿部川 2000年の段階でNessusは「世界でも有数のセキュリティ脆弱性発見ツールの一つである」という報告があります。当時はまだ「セキュリティ」や「脆弱性」といった概念もしっかり固まっていなかったと思います。
ディレイソン氏 はい、当時はセキュリティ関連のコミュニティーといってもほんの100人前後しかメンバーがいないような、とても小さな世界でした。そのため、市場に参入できたということはとても幸運でした。
阿部川 今日までNessusが発展するに当たって、何が一番大切な出来事だったとお考えですか?
ディレイソン氏 2つあると思います。一つは、UNIXとMacベースだったものをWindowsにも拡張したこと。もう一つは、いわゆる企業ユーザー、あるいはプロフェッショナルなユーザーが増えたことで「ビジネス面での成長が加速されたこと」です。それまでは出資する価値が分かりづらかったTenableの企業価値が、明確になりました。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ITシステム全体の衛生状態を向上させ、免疫力を高めるソリューションとは――テナブル
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、テナブルネットワークセキュリティの講演「サイバーエクスポージャープラットフォーム:Tenable.ioご紹介〜時代はゼロデイアタックからワンデイアタックへ」の内容をお伝えする
システム内が見えないこと、分からないことこそ「リスク」
「自社内にどんな端末がどのくらいあって、どれが脆弱なのか」という単純な問いに答えられない企業は多いと、セキュリティスキャナー「Nessus」の開発元、米テナブル・ネットワーク・セキュリティは指摘する
拡大を続けるアタックサーフェースのセキュリティリスクに対応するには――テナブル
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、テナブルネットワークセキュリティジャパンの講演「IT/IOT環境で実施する継続的脆弱性管理―サイバーエクスポージャー」の内容をお伝えする
複数のNessusを一元管理し結果を共有、「Nessus Enterprise」
東陽テクニカは、米テナブルネットワークセキュリティが開発した脆弱(ぜいじゃく)性スキャナー、「Nessus」の集中管理を行える「Nessus Enterprise」の販売を開始した- 脆弱性スキャナで実現する恒常的なセキュリティ管理
無料で利用でき世界中で広く利用されている脆弱性スキャナソフトウェアである