そして彼は自由に、マネーフォワード木村直樹が見るセキュリティの夢

　２時間に及んだインタビューの中盤頃、「これは私の勝手な思い込みかもしれないですが」という前置きのあとで「脆弱性診断はスキルが高い人はちょっと不安があります」という言葉がゆっくりとしかし確信を持って口に出された。

　その言葉の主は株式会社マネーフォワードＣＩＳＯ室セキュリティ推進部木村直樹（きむらなおき）。

　同社が提供する、個人や法人が抱えるお金の悩みや課題を解決する約２０種類のスマホアプリやＷｅｂサービス、ソフトウェアすべてを対象に脆弱性を見つけ出してパッチをあて、そもそもの脆弱性の発生を減らす教育や開発支援まで行うことが木村が負う責任のひとつだ。

　多数のユーザーを持つ同社の人気サービス群が扱うのは、家計や個人金融資産、企業の財務情報など。重要でない情報はひとつもない。木村一人で担当しているのではないにせよ胃にアメリカ国旗がバサバサとはためくくらいの穴が空きかねない重責であることは容易に推察できる。ひとつの修羅といえる業務だ。

　企業取材として２時間は長時間の部類だが木村の脱線や無駄話に花が咲いたという訳ではまったくない。取材者が質問をすると一語一語正確さと客観性を担保しながら言葉が探され高密度の回答が行われた。そこに無駄な形容詞はなく、特に「嬉しかった」「悲しかった」「辛かった」そういった自身の感情を語る言葉はインタビューのなかで周到に排除されていた。取材後に何度かMP3を聞き返す過程でそのことに気づきギョッとした。

　「脆弱性診断はスキルが高い人はちょっと不安があります」

　この言葉は、取材の中で木村がごくわずかにせよ自身の感情（不安）を発露させた数少ない回答のひとつである。

--

　宅配便事業最大手企業のシステム子会社で、アプリケーション・セキュリティ体制構築というやっかいな仕事に初代責任者として関わったあと、４０歳を転機に木村はマネーフォワードに転職した。

　「お金を前へ。人生をもっと前へ。」という同社のミッションにひっかけて「セキュリティをもっと前へ。」が目下の木村のスローガンだ。

　金融資産情報や企業の財務情報を扱うサービスの性質上、「マネーフォワードには情報を預けても安心」、そう思ってもらわなければユーザーは増えない。また、社内でサービス開発に携わる社員が自社のセキュリティ水準に自信を持つことは、今までやったことのない新しいサービスに挑戦する文化をも生み出す。そう考えている木村は単なるセキュリティの運用管理を超えた志を業務に託す。

　同社が提供する個人や法人のお金に関わる多様なサービスに対する脆弱性診断の実施や管理も木村の重要な業務のひとつ。着任早々、木村はこれまで利用していた外部の診断サービスを継続するか、あるいは別のサービスを選定し直すかという課題に手をつけた。

　前職時代から木村は脆弱性診断に不満があった。

　一般的な脆弱性診断は、サービスの規模が大きい場合、いわば「抜き取り検査」を行い、そこで運良く脆弱性が見つかれば指摘がある、という形が多い。予算が無尽蔵ならすべてを見てもらうこともできるが、コストメリットからいくと抜き取り検査しかできない。

　木村は一計を案じ「ＯＷＡＳＰが策定している基準ＡＳＶＳに沿った検査実施」という条件で、診断サービス数社にＲＦＰを依頼する。しかし、「ＡＳＶＳのうちここまでは見れるが、この部分は内部を見る必要があるのでできない」といった回答が多く、ほとんどが「ＡＳＶＳ基準に合わせるのは別途フォーマットを作成することになるので追加費用がかかる」というものだった。

　ＲＦＰは、本誌記事で以前「診断会社ソムリエ」こと濱本常義が「スターグループ」と語ったセキュリティ診断企業トップ数社のうち２社と、株式会社SHIFT SECURITY に送られた。最も木村が納得いく回答を返したのは SHIFT SECURITY だった。

　SHIFT SECURITY のサービスは診断対象の項目が明確で価格も明瞭だった。エンドポイントの数、どの診断プランを選ぶかで価格が決まり、すべて可視化されており、木村は、探していた「コントローラブルなサービス」を見つけたと思った。

　木村は「まるっと全部お任せ。しかしどこを診断したかはあまり定かでない」タイプの診断は、エビデンス作りには有効だが、マネーフォワードには向いていないと思っており、それよりも「今回はここからここの範囲を見ました、その結果こういう結果が出ました」という報告が安心できるという。そういった形の診断サービスを提供するのは木村が調べた限り SHIFT SECURITY しか存在しなかった。なおここで語られた「安心」という言葉も、インタビューで出た木村の感情の発露の数少ないひとつだ。ちなみにこのふたつ以外にない。

　検査項目が明確になっていることの次に重視したのは脆弱性診断を実際に行う診断士のスキルに偏りがないこと。診断会社ソムリエ濱本常義も指摘したが、木村もまた、「同じサービスを診断してもらったのに、前回は出なかったのに、今回は指摘があった」たぐいの問題に何度も遭遇していた。しかし SHIFT SECURITY は、検査項目が明確になることでスキルの差が吸収されていると実感できたという。まるで工場の生産ラインからあがってくる製品のごとく毎回品質が一定だった。

　冒頭の「これは私の勝手な思い込みかもしれないですが、脆弱性診断はスキルが高い人はちょっと不安があります」という言葉はここで出てきた。

　木村は脆弱性診断に「マネーフォワードの全サービスにクリティカルな脆弱性がないことを網羅的に担保」することを求めていた。

　「ＣＴＦ等で活躍する方は、これも私の勝手な思い込みですけれども、得意不得意があると思います。たとえばＷｅｂのセキュリティでも、ＳＱＬインジェクションが得意な人もいれば、ＸＳＳを見つけるのが得意な人もいらっしゃる。『そんなところまで見つけられるんだ』という飛び抜けたスキルを持っている診断士の方にお任せして、果たしてちゃんとＸＳＳも、ＣＳＲＦも権限昇格も全部ちゃんと見てもらえるのか。何かが飛び抜けているということは、どこかが劣っているようにも思えます。もちろんすべて私の勝手な思い込みですが（木村）」

　飛び抜けた能力者に重箱の隅をつついてもらいたい場合は、バグバウンティなど別のサービスを利用するつもりだという。

　偏りがなく網羅的な脆弱性診断を属人性を排除して提供してくれる SHIFT SECURITY を見つけた木村が、次に着手したのは診断の内製化だった。内製化はマネーフォワード入社当初からの懸案事項のひとつだった。アジャイル開発の場合、毎週毎日リリースを行うので、脆弱性診断をアウトソース依頼するタイミングを取るのが難しい。内製化すればアジャイルのスピードを止めないですむ。

　かといって開発担当者にＯＷＡＳＰＺＡＰのようなスキャナーを渡して各自やってくださいと依頼するのも難しい。最終的に木村は、使いこなすための訓練がほぼいらないＷｅｂ脆弱性診断ツール「ＶＡｄｄｙ」と、SHIFT SECURITY によるツールのスキャン結果のトリアージを組み合わせたサービス「ＶＡｎｄＳ」に行き当たった。

　「理想に近い形で、内製化の仕組みが構築できる（木村）」と考え、２０１９年導入し運用を開始している。

--

　「私が大事にしたいのは、属人化しない形で、ちゃんと継続して運用できる仕組み作り。それこそ私がいなくなっても、ちゃんとマネーフォワードのセキュア開発が保たれるような状態にならないと私がいなくなれないなと思っていて」

　「私がいなくなる」

　そう語る木村のすがすがしい表情が忘れられない。真っ暗な曇り空から差し込む陽差しのような笑顔だった。

　木村が約２０年勤務した宅配便事業最大手企業のシステム子会社から転職した理由はふたつだ。ひとつは自動化などの新しい領域への挑戦とベンチャーならではのスピード感をもって仕事を進めたかったこと。

　もうひとつが、自分が構築導入した「仕組み」によって、もはや自分がいなくてもセキュアな開発体制、管理体制が回るようになったからだった。

　木村はアプリケーション・セキュリティ専任担当者として、脆弱性診断の必要性の啓蒙活動や教育のコンテンツ作り、社内ガイド策定、その定期的改定、どの部署でどんな脆弱性が出ているかの統計調査、それに基づくセキュアコーディングの仕組み作りなど、セキュリティのパイオニアとして八面六臂の活躍をした。

　「ここから自分がいなくなってももう大丈夫、セキュリティは回っていく」

　ある日そう気づいたとき木村は《自由だ》と思った。木村がセキュリティの仕事に関わってから自由の気持ちを味わったのはそのときが初めてだった。周囲の無理解もあった。順風満帆だったことは一度もない。そんな年月がはじめて報われたと思った。

　「偏りがないこと」「網羅性」と並んで木村が重視するのが「属人性の排除」だ。究極まで属人性排除を徹底し、当の自分がいなくなってもよいところまで仕組みを作ることが仕事の終着点と木村は思っている。そこまでやり遂げたときはじめて、木村は自ら飛び込んだ修羅から抜け出し、約束の地に行けるのだ。

　粉骨砕身して育てた花が咲いたときそれを自分の目で見なくてもいい。花の美しさの噂を誰かがしているのを耳にはさむことこそ最高の幸せ。そこに自分はむしろいなくていいという木村の職業倫理に胸がつまる思いがし、そのずしりとした感覚が取材後もずっと胃に残った。

　セキュリティはこういう人物によって守られている。マネーフォワードのサービスのセキュリティはこういう男が守っている。