「セキュリティエンジニアが世界一働きやすい環境」を目指すイエラエセキュリティと純国産のWebアプリケーション脆弱性検査・診断ツール「Vex」を展開するユービーセキュア。両社のビジョンの根底に共通する「エンジニアを大切にする」ことへの思いや、セキュリティ人材の採用・育成について、株式会社イエラエセキュリティ代表取締役社長 牧田誠と株式会社ユービーセキュア代表取締役社長 観堂剛太郎が対談しました。

株式会社イエラエセキュリティ 代表取締役社長 牧田 誠氏株式会社イエラエセキュリティ 代表取締役社長 牧田 誠氏


ソフトバンク及びサイバーエージェントでセキュリティチームの立ち上げを行う。2011年にイエラエセキュリティを創業。脆弱性診断は学生時代から実施。


株式会社ユービーセキュア 代表取締役社長 観堂剛太郎氏株式会社ユービーセキュア 代表取締役社長 観堂 剛太郎氏


アプリケーション開発ベンダで開発に従事し、2000年のNRIセキュア創業年度に合流。セキュアプロダクトの開発を経て、脆弱性診断やインシデント対応等のテクニカルコンサルテーションを担当。2017年7月より、ユービーセキュアの代表取締役に就任。

日本の企業の課題に寄り添うために、純国産の診断ツール「Vex」を開発 ―ユービーセキュア

interview_kando01

観堂:15年ほど前、日本の企業が使っていた脆弱性診断ツールを含むセキュリティソリューションは、そのほとんどがアメリカ製もしくはイスラエル製でした。先進的なセキュリティソリューションがもたらされる中、海外からその製品を調達するのは合理的な選択でした。ただし、欧米と日本ではソリューションに求められる水準が異なります。欧米では80点取れれば合格だとしても、日本だと100点でなければなかなか採用されません。これは、世界的なテンプレートに自社業務を合わせようとしない日本特有のパッケージカスタマイズ文化のせいともいえますが、日本人が求めるきめ細かいレベルには世界で戦えるヒントがあると思っています。当時は、日本のソリューションに対する要望を、海外の遠い開発現場に届けることや、迅速に反映させることは困難でした。
そういった状況の中で、ユービーセキュアが自社開発のWebアプリケーション脆弱性検査・診断ツール「Vex」を打ち出したのは、日本の企業の声を反映させられれば採用されるはず、という勝算があったからとも言えますが、怖いもの知らずとも言えますね。

牧田:御社は早くから先駆者として取り組まれていますよね。すごいなと思うのはノウハウをオープンにされていることです。脆弱性診断ツールを独自で開発し、内部的に利用するセキュリティベンダーは多いですが、外販までしているベンダーはなかなかないですよね。その背景には「ノウハウを出したくない」ということがあると思います。しかしVexはシグネチャも公開していて、どんなロジックで脆弱性を検出しているのかも見えてしまいます。他社のように「ノウハウを見せることで自分たちの仕事がなくなるのではないか」という不安はないのでしょうか?

観堂:日本はブラックボックスであることを嫌がりますよね。「何をしているのかあらかじめ明らかにしてほしい」、「検出したものだけを表示するのではなく、検出しなかったものも出してほしい」といった要望です。逆にいうと既存の製品にはそういうものが無かった。要望に応えることで採用されてきたと考えると、オープンであることで採用されてきた面もあると思います。逆に良いこともあり「何故こうなるのか?」といった質問から、ロジックの改善に発展することもあります。逆手にとって、セキュリティベンダーの英知が結集できるようなオープンプラットフォームを提供できるようになれれば、とは思います。
また、念のために付け加えておくと、すべてオープンでさらけ出している、ということはないです。

セキュリティエンジニアが世界一働きやすい環境で、最高品質×最低価格のサービス提供を ―イエラエセキュリティ

対談風景 牧田氏

観堂:イエラエセキュリティは「セキュリティエンジニアが世界一働きやすい環境」を目指していらっしゃるんですよね?

牧田:はい。セキュリティに関するエキスパートたちを大切にしたいという思いから、そのようなビジョンを掲げています。セキュリティエンジニア、ホワイトハッカー、セキュリティオタクと呼ばれるセキュリティエキスパートたちは、スーツを着て満員電車で通勤することが苦手だったり、朝決まった時間に起きるのが苦手だったり…。一般企業の中で普通のビジネスマンとしては評価されにくいような一面を持つことも少なくありません。そのせいで「高い技術を持っているのに給料が低い」といような不遇の時代がありました。その後、セキュリティニーズの拡大とともに、「評価はされないのに仕事だけが増えた」結果、就労環境はブラックになりました。
私は「この人たちを大切にしなければ」と思い、エンジニア目線で「世界一働きやすい環境を作る。」というビジョンを掲げ、給与面で評価され、残業も少なく、裁量が高くて、スキルアップできる、そんな環境づくりに取り組んでいます。

成長ストーリーのコアに共通するのは、エンジニアを大切にする思い

対談風景 観堂氏

観堂:現場のセキュリティ担当者を大事に、というのはまさにその通りだと思います。数年前に大企業のセキュリティインシデントが相次いで発覚した頃、各社がCSIRTを構築しましたが、週明けの朝イチの役員会で報告しなければならない、ということで土日の突貫調査の上に、「なんでこんなことになっているんだ」と指摘され、疲弊しているチームを多く見かけました。私も「こんなことを続けていたら日本を守るセキュリティ人材がいなくなる」と危機感をもち、担当者が能動的に取り組めて、評価されるチームを作るにはどうすればいいのかについて考えるようになりました。中でも特にエンジニアは翻弄されがちなので。

牧田:多くの現場で、エンジニアがビジネスを成長させるための犠牲になっていたんですよね。それでは社員はどんどん辞めていってしまいます。また、企業が犠牲になっているケースもあったと思います。インシデントが起きてすごく困っているのに、よく知らないがために品質の悪いサービスを高く売られたりして…。社員やお客様を犠牲にした短期的な成長には意味がありません。そこでイエラエセキュリティでは「世界一働きやすい環境」の次に「最高品質×最低価格」を掲げています。一番いいものを一番安く買えるようにして、「安かろう、良かろう」の両立なんてできない、という観念を覆したい。

観堂:企業がセキュリティパートナーとして、どこを選んでよいかわからない、という問題ですね。情報セキュリティサービス基準といった登録制度もありますが、100社前後の名前が並んでいると選ぶのはなかなか難しい。ベンダー側もバリュープロポジションが曖昧で表現しきれてない、という課題もあります。その中で、最高品質x最低価格、というのは目を引きます。掘り下げてお伺いしたいところです。

牧田:はい。ただ、私たちのような労働集約型ビジネスに限界を感じることもあります。私たちはエンジニアが「受けられない」と言ったら案件はお断りしています。会社のビジョンとしては間違っていないのですが社員数以上の価値提供はできません。セキュリティ人材不足でセキュリティニーズが高い現状において、Vexのような多くの人が使用することのできる診断ツールの社会貢献度は非常に高いなと感じています。

観堂:ありがとうございます。ツールは適切な設定を施すことで、診断対象が大量であっても、一定のベースラインをきっちり担保してくれることに価値があると思います。ヒトでなければ検出できない脆弱性があることも確かですが、逆にヒトが診る以上、ミスや漏れがつきものですからね。対象が膨れ上がるほど、見逃せない問題になってきます。多くのセキュリティチームの現場で、レバレッジが効くツールとなれるように進化し続けていければと思います。
また、おっしゃる通り、セキュリティ人材不足は業界全体の課題ではありますが、御社では採用に成功していらっしゃる印象があります。

牧田:そうですね。働きやすい環境にこだわった結果、業界トップクラスの著名なエンジニアやホワイトハッカーたちが入社してくれました。彼らがいることで「トップクラスの人と仕事がしたい」という志の高いセキュリティエンジニアや、「セキュリティキャンプを卒業しました」、「CTFで優勝しました」というようなセキュリティ好きな方が引き付けられるように集まってくれています。ただ、掲げている理想と比べるとまだ30点くらいしか取れていないので、もっと改善していかなければと思っています。

観堂:技術を追求したいセキュリティエンジニアが憧れを抱くようなトップエンジニアが求心力となって人が集まってくる。トップ層がいきいきと働けていないと求心力にはなりませんからね。
働きやすさを追求した結果、人が集まってくる組織、という考え方は非常に共感できます。
会社を選ぶ基準はいくつかあると思います。そこに所属するヒトが好き・会社の雰囲気が好きといったものから、自己実現の可能性、解決したい社会課題に共感するというもの、またはステータス、などでしょうか。世界的に有名な巨大プラットフォーマーに一度は所属してみたい、と思うこともあるでしょう。コロナ禍で優先順位に変化もある気がしますが、「自身が尊重され、大切にされているか」と感じられるかどうかは、唐突に取り繕えるものではないと思います。

牧田:はい。エンジニアの仕事って趣味を兼ねているところもありますけど、仕事にするからには「生活のためにお金を稼ぐ」という目的もあると思います。それなら世界一高い報酬を払えれば、その会社に応募する動機は一つ増えますよね。しかし、多くの会社はそれができません。邪魔しているのは「社員をなるべく安く、たくさん働かせたい」という経営者の欲望です。
エンジニアの犠牲の上に成り立っているような会社は、結局は続かない。無理な成長目標を設定し続けたとして、2年目まではなんとか達成できたとしても、3年目からは人が辞めていき崩壊します。アスリートと同じで、目標に向けて適切な負荷をかけたら、その分きちんと休みながら成長するということが必要だと思っています。

重視すべきは、数値目標よりも、会社があるべき状態。
未経験採用~育成を通じて、新たなイノベーションのフェーズへ

対談風景 牧田氏

牧田:もう一つ、短期的な数値目標は正直どうでもいいと思っているんです。うちの営業からは「何言ってるんだ」と思われるかもしれませんけど(笑)
時間軸は会社都合で営業年度に合わせて設定しているだけなので、1カ月、3カ月、半年単位でショートしていたとしても、長い期間で成長してさえいればいいと思うんですよね。短期的な結果を追い求めるあまり社員やお客様を犠牲にするよりも、理想の状態を維持できていることを死守すべきだと考えています。例えば、数年前に1,000万円ショートしていた月があったとするじゃないですか。でも事業が成長すれば、あの時はあんなに苦しんでいた金額を今はたった1日で生み出せる、という日が来るわけです。

観堂:なるほど、それは確かに。むしろ、会社の成長ストーリーが適切に維持されているか? というところにフォーカスする、ということですね。ストーリーを定義したのが経営側だとして、そこ以上に短期的な尺度を優先しているように見えると会社の軸がぶれてきます。そのココロは、ストーリーを信じていないのか、ストーリーが実は存在しないのか。

牧田:はい。「エンジニアやお客様を大事にしているか」、「お客様に対して最高品質のものを最低価格で提供できているか」、その状態さえ良ければ絶対に成長するし、結果的に経営者や株主にとっても良い状態になるはずです。短期的な数値目標も、未達成になってしまったらその理由は分析しますが、それで評価を下げることはありません。あくまで状態の確認に使っているだけです。とはいえ、市場が伸びていることもあり、予算を達成できなかったことは一度もありませんが(笑)

観堂:それがバリュー、イエラエセキュリティが市場に対して約束する価値、ということでしょうか。ミッションやビジョンなどの重要性が改めて問われた気がします。
ユービーセキュアは今改めてミッション・ビジョン・バリューの再構築を行っています。元々あったもの、今に受け継がれているもの、を凝視しながら未来を見据えてスクラップ&ビルドの最中です。当社のこれまでの成長ストーリーは、脆弱性診断の現場で顧客が求めるものを追求し、恐れずに自社開発製品に落とし込んだことです。2007年の設立から15年目の今、これからを見据えた「不易流行」で臨みたいと思っています。
さて、ここは理想と現実のギャップの埋めどころかもしれません。理想を実現させるためのオペレーション上の工夫もお聞かせください。一定の報酬を維持しながら、最高品質×最低価格を実現できるのはどうしてでしょう。

牧田:最高品質×最低価格×高利益率を生み出すための工夫をしています。例えば、お客様に10日間の脆弱性診断を提供する場合、普通ならテレマ~商談に平均5日、診断後もクレーム対応やアフターフォローなどに5日間ほどかかりますよね。そうなると10日分の診断費用として請求する額の中には、合計20日の稼働にかかる費用が含まれていることが多いと思います。しかし、イエラエセキュリティの場合は、前後の工程が最小限になっています。お客様から声をかけていただくので営業にかかる工数は最少にできますし、高品質なのでクレームが発生することはほとんどありません。

観堂:リピーターや口コミによる販路の拡大によって販管費を圧縮し、従業員に還元している、ということでしょうか。まだまだ秘密がありそうですが、理想を実現させるために不断の努力をされているんだと思います。成長ストーリーが随所で仕掛けとして組み込まれている印象です。このあたりは採用においても効いてきますね。
ユービーセキュアでは、社員数が20名ほどの頃に経験者採用がうまくいかず、なかなか定着につながらない時期がありました。それらを経て「人に投資し、人を通じてイノベーションを生み出す」という方向性を目指し、人財開発に注力し、新卒採用や未経験者採用も進めてきています。成長した社員が新たにやりたいことを見つけ、挑戦していく中で新しいイノベーションが生まれてくるのを感じています。会社としては、そういった部分を支援していけたらと考えています。

牧田:イエラエセキュリティは現在100名ほどの社員規模ですが、200人規模を目指して今年からは新卒採用~育成にも取り組んでいこうとしています。今は、理想よりも忙しい状態が続いてしまっているのですが、「1週間案件をやったら、次の1週間は研究に没頭する」くらい余裕あるサイクルを実現し、セキュリティエンジニアにとって世界一の環境を実現していきたいと思います。

interview_image01