彼は2年前まで、都内のコンビニエンスストアで雇われ店長をしていた。店長当時はとにかく朝起きるのがしんどかったことを思い出す。目が覚めると布団のなかでグズグズしながら、何か休める理由がないか探すことが彼の一日のスタートだった。その目的を達成するために、倒れたり他界したりした「架空の祖父母」は、のべ15人では足りない。
その男、大井 正輝(おおい まさてる)は自分を「ナマケモノ」と自称する。しかし、たとえ精彩を欠いていたとしても、他者を傷つけず争わないその動物を嫌いではないと思っている。そんなナマケモノの大井が、その日は午前6時30分に起床し、最寄り駅から電車に乗って渋谷で乗り換え、目的地に向かっていた。
「せっかくのお誘いなのですが、やはりお断りします」
2016年11月、大井はある人物に電話でそう告げた。通話相手は、大井の趣味である競馬の世界のコミュニティで知り合った、大井よりだいぶ年下の会社経営者だった。若いのに競走馬の馬主で、その世界では少し有名な人物だった。大井は、彼が2016年6月に新しく立ち上げた新会社にしつこく誘われており、その返事だった。
断るのも無理はない、その会社はITベンチャー企業だった。販売や飲食など、大井はこれまで接客業を中心に働いてきた。パソコンはメールを打ったりアマゾンで買い物をするくらい。ITに関する知識は皆無でありそもそも興味もなかった。
しかも大井が誘われていたのは、ITベンチャーのなかでも、接客の才能を活かせるようなカスタマーサポートや営業職ではなかった。社長は大井に、Webアプリケーションの脆弱性診断を行う診断員になれという。「おまえを脆弱性診断員にしてやろうか」という訳だ。ひとつも嬉しくなかった。
そもそもできるはずがない。いや、それ以前の問題だ。「Webアプリケーションって何?」「きじゃくせい診断って何?」
大井は理数系は大の不得意で大学は文系だったし、英語が大の不得意でそれが原因で留年すらしていた。そもそも勉強が苦手で嫌い、大の不得意なのだ。いまから新しいことなど始めるつもりがない自信だけには自信があった。また、いまのコンビニを辞められない理由があった。
自分は「コンビニ店長」ではなく単に「コンビニエンス(便利)な店長」だったと大井は言う。どんなに無茶なシフトでもオーナーに頼まれると断れなかったからだ。そんな大井が経営者の誘いを断った最大の理由は、そのITベンチャーの社長に、新しい事業にかける意気込みを感じたからだった。これまでやってきたことの延長線上ではなく、過去の経験を活かしながら、まだ誰も取り組んでいない挑戦を行うという。
かつて大井は友人に誘われ、何度か新しい店舗の開業などに関わった。いい思い出はなかった。いつも計画はキラキラした夢からスタートして、いずれ光を失い、トラブルと仲違いの末、胃の底に残る冷えた灰色の落胆で終わった。5年前にはかなり苦い経験を嘗めてもいた。新しく作った会社が社長にとってそんなに大事なら、なおさら自分が関わってはいけないとすら思った。
「申し訳ないのですがお断りします」そう言って電話を切った。
翌日、その社長本人から再び電話があった。
「昨日はおつかれです!! ところで大井さんの就職の面接日なんですけど! ○日と△日と□日があるんですけど、いつだと来ていただけますか! 他の日でも調整できますよ!」まるで昨日のことなど何もなかったかのようなもの言いだった。
その社長の辣腕と強引さには、定評と、ときに同じくらいの逆の評価もある。だがそのときは強引さが吉と出た。大井がその会社への入社を決心したからだ。
「こんなアホな人やったら、信じて自分を預けてみてもええか」何年か大阪で働いていた大井は、今回だけは吉本の芸人のように心でそう思って進路を決めていいような気がした。底抜けに明るい電話の声には他人を利用しようとする影は感じられなかった。勤務先のコンビニのオーナーと話をするのは気が重いが、すでにある程度義理は果たしている。裏切ることにはならないだろうと思った。
その企業は株式会社SHIFT SECURITY。ソフトウェアテストで急成長する上場企業である株式会社SHIFT が子会社として設立し、まだわずか半年足らずの時だった。メンバーは、社長と執行役員の2名を、本社から出向する1名が補佐する、約2.5名体制の極小規模だった。41歳の大井がその3人目のメンバーとなった。
●頂上はひとつ
「中村さん、ちょっとこの報告書に目を通していただけませんか」
のちに執行役員として株式会社SHIFT SECURITY の創業に携わることになる中村 丈洋(なかむら たけひろ)が、そう声をかけられ、A4サイズの書類を手渡されたのは、2015年3月、中村が32歳のときのことだった。
中村は大学院で学んだ研究者で、専門は「高信頼性ソフトウェア」だった。人間がソフトウェアを作れば必ずバグが内包される、そこで、バグが存在しないことを数学的に証明したソフトウェアのパーツをいくつも作り、人の手を介さず完全に自動でソフト開発を行う。パーツを組み合わせる方法も、バグがない=仕様通りにできあがることを、事前に数学的に証明する。中村はこの研究で工学博士号を取得した。
学者としてのキャリアも考えていた中村だったが、「違うルートで同じゴールを目指してみよう」と考え大学を去り、30歳のとき株式会社SHIFT に新卒入社する。高信頼性ソフトウェアの研究は、ソフトウェアの仕様や設計段階などの「入口」でバグをなくすアプローチだが、SHIFT社のソフトウェアテスト事業は、完成したソフトが市場に出荷される直前の「出口」でバグを見つけ出す。
理論とプログラムが相手だったこれまでのやり方と異なり、今度はバグを生み出す「人間」という存在と向き合うことにきっとなるだろう。これまでとは真逆の泥臭い仕事だが、中村には後悔のひとかけらもなかった。登るルートは違うが、目指す頂上はこれまでと何ら変わっていない。
中村は、ソフトウェアテストの管理を行う「CATツール」の開発と改善業務を希望し配属される。CATツールとは、テスト対象となるソフトウェアの検査手順の設計を行ったり、チームの役割分担を決めたり、具体的なテスト項目を検査員に順に指し示したりしながら、全工程の進捗管理も行う、SHIFT社の競争力のコアとなるツールである。SHIFT社は、このツールを用いて、これまで熟練職人の経験と勘で実施されてきたソフトウェアテストの分野の標準化(熟練職人でなくとも実施できるレベルまで作業や判断をブレイクダウンすること)に成功した。熟練職人による労働集約産業だからスケールさせることなどできないと信じられてきたソフトウェアテスト事業で急成長し、2014年には東証マザーズ市場に上場した。
CATツールが示すとおりの手順を踏むことで、テスターは経験と勘を持つ熟練職人水準のソフトウェアテストを実施することができるようになっていたものの、そもそものテストの設計手法やテスト結果の評価方法等の、ツールの心臓部に改善の余地を見いだした中村は、いくつかのバージョンアップを行った。
CATツールの向上に取り組んだ約3年間に中村が得たものは「本来誰でもできることを誰でもできるようにすることが大切」という気づきだった。たとえばバグを見落とさない検査手順は、あたりまえの事柄の積み重ねの先にある。しかし、誰でもできるあたりまえな事柄の積み重ねを人間は、いや人間だからこそ、容易にできないのだ。何か突出した天才やひらめきも社会の向上には不可欠だが、一方で誰でもできるあたりまえな事柄を何度も繰り返し誰でも再生産できるツールや仕組み、基盤ができたらどうなるだろう。しかもその基盤の完成度がもし高かったら。そのとき人間の社会はどれだけ豊かになるかわからない。
「中村さん、ちょっとこの報告書に目を通していただけませんか」
そう言われて中村に手渡されたA4サイズの書類は、とあるセキュリティ企業が実施した脆弱性診断のレポートだった。当時株式会社SHIFT は、伸長著しいサイバーセキュリティ分野への新規事業展開をもくろんでおり、情報収集を行っていた。これはと思う企業に診断を発注して入手した報告書だった。
「セキュリティ業界というところはこれを報告書と呼ぶのか」
高信頼性ソフトウェア分野の研究で工学博士号を取得した中村が、脆弱性診断レポートを一読したときの偽らない正直な感想である。
まず、見つかった脆弱性しか報告書に書かれていない点に違和感を持った。どの範囲や項目をどの程度の深さで診断するのか最初に定義しなければテストとは呼べないのではないか。たとえ針の穴の一点を通すような独創的で深い診断が行われていたとしても、全体を面としてとらえていることの担保がされていないなら、もう一度同じ診断を行ったとして、同じ結果になるのか怪しいものだ。
また、報告されている脆弱性に「危険度 高・中・低」のスコアリングがされている点も謎だった。どうやってこれを算定したのか、そもそも数学的な計算式があるのか? その式の根拠は?
受け取った脆弱性診断レポートに、気がつくままにコメントをした結果中村は、その着眼点を買われて、SHIFT社が立ち上げる新しいセキュリティ子会社の創業メンバーにいつのまにかアサインされていた。新しい中村のミッションは、セキュリティ診断業務の標準化である。
●大井と中村
創業から約半年が経過した2016年の冬、中村は、代表が満面の笑顔で連れてきた、外部からの診断員採用としては第一号となる人物に驚いた。どこからどう見てもあまり冴えないおじさんだったからだ。セキュリティ業界に人脈を持つ代表なら、もっと気の利いた人材をいくらでも連れてこれるはずだった。
そのおじさんはセキュリティどころかITの基礎知識すらなく、聞けば年齢は40歳を超えているという。博士課程を経て社会に出るのが遅かった自分よりもさらにひとまわり近く年上の人間が、下地もなく新しいことに挑戦することなどできるのだろうか。
しかし、大井の少し気の弱そうな優しい笑顔を見ながら、中村はすぐに思い出したことがあった。
「誰でもできるようにする」
CATツールの改善を担当していた時代の中村の気づきだ。大井が脆弱性診断をできるようになったら、誰でもできるようになった証明になることは疑いの余地がない。
大井こそ、記念すべき株式会社SHIFT SECURITY 診断員採用第一号にふさわしい人物だ。むしろ脆弱性診断の経験やセンスがあるような人間であってはならない。それは中村が、代表の志を共有した瞬間でもあった。
IT知識皆無、経験ゼロ、41歳。大井という剛速球が直球ど真ん中のストレートで向かってきたそのとき、脆弱性診断を「誰でもできるようにする」という「希望」は、中村のなかで形のある「目標」へと姿を変えた。
●あらためて上野宣
渋谷で乗り換えた大井が乗った電車が目的地に停まった。そこはSHIFT SECURITYのオフィスがある最寄り駅ではない。多くの通勤客と一緒に、ノーブランドの黒いウォーキングシューズを履いた大井は改札を抜けた。
「うちの会社の脆弱性診断は簡単ですよ! 僕と、ものッ…すごく優秀なエンジニアでふたりで作ったマニュアル的なツールが完ッ…璧にできてますから! 基本それを順番通りにやればいいんです!」そう代表に聞いていた大井だったが、聞いていたことと実際はだいぶ違っていた。「HTTPSって何?」「リクエストってどういうこと?」「『押下』ってなんと読むの?」わからないことだらけの業務で、もがくだけの日々が数ヶ月は続いた。しかし、不思議に会社へ行きたくなくなることはなかった。
職場にはどんな質問でも気軽に聞ける雰囲気があった。どんな低レベルな質問でも標準化担当の執行役員 中村はまったく嫌な顔をしない。面倒見のいい大学のゼミの教官のような中村の笑顔に見守られ、大井は少しずつ経験を積んで、体で業務を覚えていった。
大井が SHIFT SECURITY社に誘われていた当時、「これで勉強するように」と代表からもらった専門書がまだ自宅にあった。その本とは「Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術」2016年 翔泳社刊、である。隠しようもなく本誌ScanNetSecurity編集長上野の著書だが、大井の取材時の発言を文字にしているだけだ。
代表から「大井さん! このまえ僕があげたあの素晴らしい本、読んでいただけましたか!?」入社前、そう聞かれるたび大井は「大丈夫です! バッチリです!」と、小気味よく親指を立てながら答えていたが、もちろんほぼページを開いてすらいなかった。大井は読者の期待をも裏切らない男だった。しかしそれも仕方ない。たとえ「スタートガイド」と銘打っていても、大井のような読者は最初から対象と想定されていない。
しかし、やられサーバを使った研修で実際の診断を経験したあとになってから「Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術」にあらためて目を通すと、整理されわかりやすく書かれており、いくつもの腑に落ちる感覚を味わい、多数発見があった。大井は必死で仕事に食らいついていった。
●中村の勝算、セキュリティ診断こそ標準化すべき領域
執行役員の中村が、診断経験を持つ代表の知見をブレイクダウンしながら進めていた、Webアプリケーション脆弱性診断作業の標準化は、大井が加わったことでスピードが加速した。日に何度もメッセンジャーあるいは直接、大井から質問が中村に届いた。「まだこの観点が抜けていたんだ」大井の質問のひとつひとつが中村にとって新鮮な発見をもたらした。
2016年6月の会社設立から約半年、2017年新春頃には、中村が進めた標準化プラットフォームは、株式会社SHIFT でテスターの研修を受けた人物が診断実行者であれば、誰でも一定レベルで脆弱性診断ができるという水準まで到達した。1個目の頂の登頂成功である。
そのおかげで創業からたった2年で診断員を70名まで増員することができた。診断員の人数だけでみれば、もはや診断業界中堅あるいは準大手である。しかもその70名はそれまで診断経験がない全くの外部人材だけである。セキュリティ人材の不足などと言われるが、要はA社の診断員がたとえば5人増えたとしたら、下手するとB社から5人減っている、やや極端な言い方になるが現在はそういう状況と遠くない。中村が到達した頂の価値である。
中村はセキュリティ診断業務の標準化に「必ず勝てる」という確信をごく初期に持った。
株式会社SHIFT が行うソフトウェアテストでは、たとえば特定条件下でソフトが動作しないバグを見つけて報告したとしても「それは仕様なんです」とクライアントに言われることがあった。つまり「何が正しいかという基準」を、あくまでクライアント側が持っており、そこが案件毎に変化するのだ。
一方、脆弱性診断においては「何が正しいかという基準」を検査を行う側が持つことができる。SQLインジェクションの脆弱性があるなら、どんな特殊な会社が開発したどんな限定的用途のソフトであろうが、SQLインジェクションの脆弱性は必ずそこにあるのだ。セキュリティ診断は、むしろソフトウェアテストよりも標準化が向いている領域であり、セキュリティ診断こそ標準化すべき領域である。
これが中村の勝算だった。セキュリティ診断標準化は、たとえ険しくても中村にとって「必ず登れる山」だった。
中村の目には次の頂が明確に見えている。現在は「SHIFT社でテスターの研修を受けた人」という条件がついているものの、いずれすぐに大井のようなITの基礎知識のまったくない診断員でも診断実施が可能となるレベルまでプラットフォームは到達する。遅くとも2020年には、大井が最初にしたような苦労をすることはなくなる。スケジュール通りに中村の仕事は進んでいる。
●走らない馬、正反対の夢
停車駅で地下鉄の改札を抜けて大井が向かった先は、小さな子供から老人まで社名を知っている、日本を代表するインターネットサービス企業だ。建設からまだ比較的日が浅い特徴的なビルが見えてきた。都心に近いのに広くて視界が効いて少し空気のいい場所である。大井はここに、常駐の Webアプリケーション脆弱性診断員として今月は毎日通い、約1ヶ月の予定で診断業務を実行していた。
「なぜ自分が SHIFT SECURITY 社に誘われたと思いますか?」
取材時に大井にこう尋ねた。
「まったくわからない」
「たぶん毎日コンビニの夜勤で死にそうな顔をしていたから」
とお茶を濁した。
しかし、取材者と一瞬目を合わせると、大井はうっかり以下のような話をした。それは、社長が馬主の世界で有名な理由だった。ちなみに競馬が趣味で苗字が「大井」。フィクションの登場人物のようだが完全なる本名だ。
社長が所有していた馬は弱い馬だった。まったく走らない走れない。レースでは負けてばかり。ごくたまに勝っても賞金は雀の涙。しかしそれでも育成費として毎月最低で十数万円は固定費として発生する。しかも彼は自ら騎乗する馬主だった。そんな弱い馬に心底嬉しそうに騎乗する姿が競馬ファンのコミュニティで評判になるまでにはあまり時間がかからなかった。「こんな弱い馬はつぶして肉にしてしまった方が…」そう親切で言う人もいたという。しかし「本人が納得していればそれでいい」といつも嬉々としてレースに臨んだ。
馬主になるような人間は社会的成功者だから、そういう輩は合理的にものを考えるはずだ。そう思っていた大井に、のちに株式会社SHIFT SECURITY の代表取締役社長となる松野真一の姿は、度を超したクレイジーなものに思えた。大井はその姿に心をつかまれた。
IT企業社長で馬主といえば、ディープインパクトなどを所有し競馬の歴史を何度も塗り替えた株式会社図研 代表取締役社長 金子真人が有名だ。それとは正反対も正反対だ。しかし歴史を塗り替えるような偉業とはほとんどの人生が正反対だ。
それが誘われた理由なのか、何か大井の心の励みだったのか、あるいはその両方だったのか。取材後の今もよくわからない。わからないまま書いた。「男同士の友情」などというデリカシーのない言葉よりいくぶんましであれば幸いである。
SHIFT SECURITY社に入る約5年前、大井は大阪で仕事をしていたが、知人から新しい事業の立ち上げに誘われた。そこで「ちょっとしたトラブル」があって大阪にいづらくなった。2011年に東京に舞い戻った直後しばらくは、池袋駅の曜日別始発と終電時刻を暗記していた時期すらあった。雨風と寒さをしのいで命をつなぐことが目的だった。「ちょっとしたトラブル」だったはずはない。コンビニ店長の仕事はそのときに紹介された。コンビニをどうしてもやめる訳にはいかなった理由である。
いまの仕事についてから、大井は毎朝6時30分になると測ったように自然に目が覚めて7時15分には自宅を出て仕事に向かう。入社以来2年を経た2019年の現在も、大井の「仮想祖父母」は、まだ一人も倒れていないし他界もしていない。大井の社会人生活史上、極めて希なことである。
職場にはたまに「いるだけで価値がある」人物が存在する。明るさや親切さ、素直であることはもちろんだが、会社が達成しようとしている理念や目標を体現する何かを、先天的または後天的に持った人のことだ。大井が在籍し、ごく普通に Webアプリケーション脆弱性診断業務を実施していることが、SHIFT SECURITY社の目指す価値そのものだ。まったくの未経験だった大井が「普通に」診断員として働くことに価値がある。「普通」が偉業だ。
大井が存在するだけで脆弱性診断の敷居は下がり、人は挑戦しようという気になる。「あんなおじさんでもできる」と安心して、たくさんの人に SHIFT SECURITY の診断員の門をたたいて欲しいと大井は思っている。そしてどんどん自分を飛び越えて成長したら…、きっと嬉しくて仕方ないだろう。
クライアント企業の、脆弱性診断の作業フロアがある階にエレベーターが到着した。今日の大井にはある期待があった。天気が良い日は、デスクの背後の窓から富士山が見えることがあるのだ。自分の目の前に見えないのは残念だが、大井は仕事中、その山の頂を意識しながら診断業務を行っていることがある。
