イエラエセキュリティは、ユーザー企業のセキュリティ担当者だった牧田が 2011 年に創業。ダイヤモンドすら穿ちかねない尖った技術者集団をすぐに自然発生的に形成すると、高いレベルの脆弱性診断やペネトレーションテストサービスの提供を開始した。
セキュリティ予算が大きい一部の企業は、脆弱性診断やペネトレーションテストなどを発注する際、自ら仮想の「やられ環境」をあつらえて、複数社の脆弱性診断サービス企業を選定し診断や侵入を依頼、見つからないよう見つからないよう仕込んでおいた脆弱性を、各社がどれだけ発見できたか、そして知財や個人情報等のダミーにどれだけ到達できたかを星取り表にするという、まるで採用候補のボディガード同士を格闘させるような、えげつない方法で契約先を選ぶことがある。そんな、実力だけが白日の下にさらされひとつのウソも通用しない「真実の空間」で、「またあいつらに負けた」と同業他社を歯噛みさせ、同時に「どうすればあんな風になれるのか」と畏怖と尊敬を集めるのがイエラエセキュリティだ。
同社は、売上利益ともに過去最高を更新し続け、直近の売上目標は 20 億円、営業利益は 5 億円。診断という労働集約産業の側面も持つ事業で 25 %もの営利をたたき出すのにも驚くが、それには今回は触れまい。
なぜなら、こんな企業業績からだけでは、牧田が実現した夢がいかに規格外であるかは到底伝わらないからだ。
イエラエセキュリティに在籍する技術者の数は 100 名を超える。同業他社を嫉妬させ同じエンジニアから尊敬されるクラスのエンジニアが 100 人もいるにも関わらず、2020 年は技術者の離職率ゼロを記録したという。これこそが牧田が実現した夢の中身だ。
一般的なエンジニアが離職しないのとは少々違う。一流セキュリティ企業はもちろん、Deloitte や KPMG 、EY はもちろん、Google からもヘッドハンティングが来るレベルのエンジニアがひしめくイエラエセキュリティで、技術者の離職率ゼロというのは控えめにいっても常軌を逸している。道を歩けばポケットに金の延べ棒をねじこんでくる転職コンサルタントは山ほどいるだろう。
「〇〇ドリーム」というと、事業が成功して、会社と、なにより社長自身が集中して豊かになるイメージがあるが、イエラエセキュリティと牧田の場合はまったくそうではない。
イエラエセキュリティ従業員の平均年収は 800 万円超、上場企業国内最高とされるキーエンス社の平均年収を超えることを目標とする。残業はゼロ。入社したその日に 15 日の有給休暇が付与され、夏休みは公休で 9 日、ゴールデンウィークが公休で 11 日、年末年始は公休で 17 日。401k 年金積立は会社が全額負担。年功序列ではまったくないものの、終身雇用を目指し、退職時にはすべての従業員に老後に不安のない状態で会社を去ってもらうところまでがこの会社の福利厚生の目標だ。また、これはエンジニア中心の会社では珍しいことではないが、社長の牧田の年収を超える社員の存在はイエラエセキュリティにおいて全く珍しいことではない。
会社や社長が集中的に豊かになるのではない。エンジニアが集中して豊かになる会社、エンジニアを集中的に豊かにする会社、それが株式会社イエラエセキュリティだ。
何人(なんぴと)たりとも、一度(ひとたび)技術者としてこの会社に入社できたら、高額報酬と好待遇を受けながら、日々技術者として一流の同僚達と切磋琢磨し成長しながら、定年まで充実した仕事をし続けることから逃がれることはできない。もしあなたが破滅願望のあるエンジニアなら、幸せな家庭を築いて子供をいい大学にやったり、充実した人生を安定して長く過ごすことなんてまっぴらごめんなら、絶対にイエラエセキュリティにだけは入社してはいけないと忠告しておこう。入社したら一巻の終わりである。
取材を進めれば進めるほど感じた。「なんだこの会社」と。資本主義にはまだ可能性があるとすら編集部は思った。竹中平蔵のような手合いが資本主義を運用すれば、弱者や庶民を搾取して生まれた札束をロケットに詰め込んで、富裕層に向け空高く打ち上げる発射台としてしか資本主義は機能しないが、そうではない例がこうしてちゃんと実在した。現代の日本に生きていて極めて考えにくいことだが、資本主義とは多数を豊かにする仕組みにもなりうるのかもしれない。
今年創業 10 周年を迎えるイエラエセキュリティは、現在の 100 名の 2 倍、従業員数 200 名を目標として、2021 年、新卒採用を開始した。やりがい搾取で成り立つ会社のカリスマあふれる社長なら、いくらでも空疎な話を面白おかしくしてくれるものだが、牧田のような人物に、その思いや志を語らせるのは容易なことではない。大事なことほど言葉にしてはいけないことを知っているから。だから、起業前から牧田と親交を持ち、互いに取引先として仕事をしたこともあるこの男、本誌編集長 上野 宣を聞き手にアサインした。
優れた技術者を集め彼らの生み出す高品質サービスによって事業を成長させるという技術者の夢。そんな硬派な王道を静かに爆走するイエラエセキュリティと牧田に、これまでの 10 年とこれからの 10 年、10 年でかなえた夢と 10 年後にかなえた夢について上野が聞く。
【牧田】久しぶりですね。
【上野】久しぶりです。全然お会いできませんね。
【牧田】お元気ですか? 昔は毎回アメリカで会ったりしました。
【上野】だいたいイベントで顔を合わせていましたけど、イベントもないですもんね。
【牧田】今日はお時間をいただいてすみません。イエラエセキュリティは今年 10 周年で、社員はちょうど 100 人を超えました。
【上野】おめでとうございます。すごい。
【牧田】一つの区切りかなと思いまして、上野さんと対談という形でこの 10 年を振り返りたい。そもそも起業する前にも相談させていただきました。起業直後もアドバイスをいただきました。その話を交えながら。
【牧田】あと、今 100 人なんですけれど、できたらもう 100人 採用したいなと思います。「イエラエってこういう会社なんだ」「こういうことを大事にしていて、こういうところを目指しているんだな」という会社のビジョンを、この対談の中で明らかにしたい。今まであんまり外向けには語ってこなかったですが、上野さんを通して外に発信して、その結果 100 名採用できれば嬉しいと思っています。
【上野】いいですね。牧田さんに最初に会ったのって、いつぐらいでしたっけ? サイバーエージェントにいた頃でしたっけね?
【牧田】多分そうですね。サイバーエージェントにいた時に、上野さんからまさしくセキュアコーディングとかセキュリティのトレーニングを受けた。
【上野】そのぐらいが最初でしたよね。
【牧田】そうですね。それぐらいが一番最初で、たしか何度かお仕事の発注をさせていただいた。起業の相談をしたとき、徳丸さんもいたと思う。徳丸さん、上野さんがいて、そこに参加して「起業したいと思っているんです」と相談させていただいたんですよね。
【上野】あの時代って、起業するセキュリティの人もまだそこまで多くなかった頃でしたよね。
【牧田】そうですね。2011 年でしたので、まだ今みたいな、若者が会社を作るという時代でもなかった。
【上野】徳丸さんとも起業前にお話をしたことがあります。
【牧田】そうなんですね。
【上野】皆さん立派な会社で、すごいなーって。牧田さんはサイバーエージェントの時から、学生の支援をしていませんでしたっけ?
【牧田】そうそう。sutegoma2 とかね。
【上野】CTF に行くメンバーにお金を出した。
【牧田】そうでした。あの時代、懐かしい。毎年、DEFCON の予選をしていて、予選の会場をアレンジしました。初めて予選を通って決勝に行く時に、やっぱり学生さんは 20 万 30 万をなかなか出せない。そこで CTO の佐藤さんに相談して「 200 万円使っていいよ」と言ってくれた。
【上野】すごい。200 万円使ったんですね。
【牧田】主に学生でしたっけ?
【上野】そうですね。学生でしたね。
【牧田】sutegoma2 の社会人はたぶん自費で行ってもらって、学生向けに飛行機を手配したり、ホテルのでかいスイートルームを取ったんですよね。
【上野】そうですね。すごく大きい部屋を借りて頂いて、みんなそこで詰めた。
【牧田】夜な夜なみんな集まって、問題を解いたりしていましたね。
【上野】僕とか、kana さんとか、tessyとか、よく買い出しに行っていました。
【牧田】そうですね。
【上野】若者が頑張る。
【牧田】おにぎり作ったり、味噌汁作ったり。
【上野】炊飯器買いましたもんね。
【牧田】和食ね。
【上野】そうです。和食。
【牧田】結構、面白かったですよね。
【上野】面白かったですね。
なんでそういう支援をしていただいたんですか? 当時はどういう思いでしたか?
【牧田】アレは日本初だったじゃないですか。それもあるし、昔からやっぱりセキュリティエンジニアの応援をしたかったのかな? あんまり下心なく単純にやった。結果的には会社を作ってから、その当時の方々に入社していただいたり、一緒に仕事をして助けていただいたんですけれども、その時は純粋に支援した。
【上野】ひも付きじゃない感じのお金とか支援とかでしたもんね。
【牧田】そうですね、対価なく。でも、kana さんがね、わざわざ後で来て「何で支援してくれたんですか?」と。その時も答に困りました。でも良いことだしね。
【上野】学生みんな助かっていたと思いますよ。
【牧田】日本から世界に出て行って、ハッキング競技で競り合うっていうのはすごいことだし、大事だと思っていたんですよね、その当時から。
【上野】今みたいに CTF のプレイヤーも多くなかったですもんね。
【牧田】日本にもそんなにチームがなかったですよね。本選に行くなんて・・・。
【上野】本戦出場は数えるほどしかいなかった。今も社内のメンバーとかに、そういう支援をしているんですか?
【牧田】そうですね。あまり変わらずに支援していますよ。コロナになってから海外に行くことはあまりないんですけれども、その前は「行きたい」と言えば全部基本的にお金を出して業務扱いにしてあげた。
【上野】そういうのは、やっぱりいいですよね。強い CTF メンバーに憧れて入社してくる人も多いでしょうし、それで支援してもらえるとなるのが、やっぱりいいのかな、と思います。
【牧田】そうですね。結果的にはビジネスにつながるので、お金を出して損することはないと思っています。
【上野】CTF で強い人がいることは、若者が会社を選ぶ基準のひとつにはなるみたいですね。
【牧田】最近はそうかもしれませんね。「誰々さんと一緒に仕事をしたかったから」と。CTF の問題って、すぐには役に立たないんですけれども、意外と数年後に実案件で同じ技術にぶつかったりするんですよね。QUIC が最近話題になっていると思うんですけれど、僕も参加した sutegoma2 のときの予選でちょうど QUIC の脆弱性が出て、それを解いていた。
【上野】QUICの実装、なかなか見ないですけれどね、まだ。でも、これからだんだん出てくる。
【牧田】すでに 10 年前の CTF でみんながガリガリやっていたのが、ようやく現実世界で出てきた。
【上野】CTF 的な発想・引き出しがあると、やっぱりペンテストでも役立ちますもんね。
【牧田】そうですね。守るとき、CSIRT とか社内のセキュリティをやるときも、柔軟な発想ができる。「こういうことされたら侵入されてしまうんじゃないか」という発想って、アプリ開発でも何でも役に立ちますからね。
【上野】そういう強い社員をたくさん見ますが、新卒は採っているんですか?
【牧田】今まで新卒は採用していなかった。結果的に CTF ガチプレーヤーの新卒が入ってくることはあったんですけれども。新卒一年目なのに、社長より仕事できるし、新卒なのに社長より給料高いこともあった。あんまり普通の新卒ではなかった。ただ、100 名を超えて、さらに育成プランとか育成体制もできましたので、今年から新卒採用を始めました。
【上野】社内で教育するんですか?
【牧田】そうですね。それこそセキュアコーディングをしたり、脆弱性のある「やられアプリ」をテストしたり、攻撃したり修正したりという、一般的な座学+ハンズオンの教育になるんですけれど。
【上野】ペンテストの現場があれば、OJT に事欠かないですもんね。
【牧田】先輩社員がだいぶ増えて、ようやく今年からちゃんとした新卒採用にチャレンジすることができています。
【上野】10 年経つと、色々整ってきますね
【牧田】100 人いれば、色々な才能がいる。教えるのが上手い人もいるし、背中を見せるのが上手い人もいるし、組織とか仕組みを作るのが上手い人もいれば、品質担保のための仕組みやツール作りに貢献する人もいる。いろんな才能が集まったので、チャレンジしやすくなりましたね。
【上野】100 人から 200 人になっていくと、また会社としても変わっていきますね。100 人ぐらいまでは一応全員顔もわかる、中身もわかる。200 人になってくると、だんだんよく知らない人や、顔ぐらいしか見たことがない感じの人がいるかもしれないですよね。
【上野】じつは対談の順番、編集部から何も聞いていないんです。創業直後の話から聞こうかなと思っています。創業したときは何人でしたか?
【牧田】4 ~ 5 名ぐらいでやっていましたね。上野さんや tessy さん経由で紹介してもらいました。「 sutegoma2 にこんな人いるよ」とか。Android のアプリに脆弱性があるんじゃないか、と言われ始めたのが 10 年前ぐらいでしたが、それで「goroh_kunっていう強い人がいるよ」って。
Windows ゲームだったんですけれど、リバースエンジニアリングして、チートされていて困っているんだけれどどうすればいいか、と相談を受けました。その時に、難読化やいろんなチート検知機能、耐タンパー性ツールをかけていたのに。それで千田さんに相談した。そして 1 日 2 日で、リバースして exploit を瞬殺で見つけてもらった。DLL インジェクションだったんですけれども。そんな感じで、なんだかんだサイバーエージェントで 200 万円を出して支援した人たちが、回り回って会社にジョインしてくれて一緒に始めた。
【上野】その辺のメンバーが最初からいたのは強いなあ。みんな CTF 界で有名人。
【牧田】たぶん最強。上野さんにも案件を最初お手伝いしてもらったり、相談させていただいたりした。
【牧田】(起業から)ちょうど一年経った頃に上野さんと飲みましたね。上野さんと僕とgoroh_kunがいたと思う。まあ一年目黒字だったんですけれども。創業以来黒字ではあります。
【上野】素晴らしい。
【牧田】そのとき、飲み会の前に納税しなくちゃいけなかった。税金 10 万円ぐらいだったんですけれども預金を下ろせなくて。ATM が壊れたと思ったら残高が足りなかった。10 万円もなかったんです。飲み会でそういう話をしたことを思い出します。
【上野】「会社なのかそれ」みたいな。キャッシュフロー大事だなあと。
【牧田】黒字倒産って、こういうことか、と。
【上野】お金があっても無理、売り上げがあっても潰れる、みたいな。
【牧田】まあ懐かしいですね。あれが一年目で。今はもう 100 人です。
【上野】今イエラエは、やっぱりペンテストや診断がボリュームとして多いんですか?
【牧田】そうですね。そこが多くて、後はフォレンジック、インシデントレスポンス、コンサルの人たちもちょっとずつ増えてきています。今はオフェンシブから少しずつディフェンシブな部分を増やしていっているような感じです。でも相変わらずペンテストが強い。
【上野】そういう人たちが前に立っているから、やっぱり攻撃的な事を生業としているイメージがあります。
【牧田】そうですね。そこは我々の強みなので、攻撃は今後も前面に出して行こうと思います。
CSIRT 支援やインシデントレスポンスをする時にも、なんだかんだ攻撃を知っているのが強みです。例えばフォレンジックをやる時にログを見まくるんですけれど、ログが 1 ヶ月分しかないとか、網羅的に取れていなかったとかで、全然足りていない。そうなるとやっぱりわからないんですね、どこから入ったのか。
そういう時にペンテスターを呼んできて「この環境がやられたんだけど、攻撃者目線で見てくれないか」とお願いする。そうすると、まあ本当にあっさり侵入してくれたりする。横で見ていて 30 分ぐらいで Active Directory の管理権限を取っている。そこで「これかもね」「攻撃者も同じ脆弱性を使える状況なので、ここやられたかもしれないね」という仮説が立つんですよね。
ログを 2 週間とか 3 週間見てもわからなかったものが、攻撃者目線で見ると視界が開けたりする。そういった攻撃者の強みをいかしたディフェンス、守りをやっていきたいと思っています。
【上野】僕もペンテストをやるので、対策を立てる時は「こういう狙い方をするから、次はこの対策かな」というのがある。だから「自分がやられていると嫌な環境」というのを思い出して、対策を立てます。
【牧田】やっぱりペンテスターと話していると、僕も気づかされること、驚かされることが多い。例えば一見するとセキュアな設計に見える二要素認証、クライアント証明書、IPアドレス制限を併用したアクセス制限も複数の脆弱性を組み合わせることによって突破できることもあるんだなと感動することがあります。
【上野】突破されちゃうと、後は早いですよね。
【牧田】ちょっとここで、会社のビジョンについて説明しますね。今二つ掲げています。ひとつは「世界一働きやすい環境」を作るというのと、二番目は言葉をちょっと変えていますけれど「最高品質のサービス提供」です。
【牧田】一番目は人によって「エンジニアの楽園だよね」と言ってくれる。上野さんにも何度も相談していますけれども、やっぱり「給料を高くする」とか、ブラックじゃなくて「労働時間を短く」するとか、「裁量を高く」するとか。この三つの要素で実現しようと思っています。
【上野】僕を雇ってください。w
【牧田】光栄です。
【牧田】そして結果としての終身雇用を目指しています。転職する理由である「給料を上げたい」「ブラックすぎて疲れた」「やりたいことができない」「スキルアップができない」というところを全部解決する。それによって転職しなくても給料が上がっていくし、ワークライフバランスも取れて、やりたいことはできて、スキルアップもどんどんできる。
【上野】楽園じゃないですか、本当に。
【牧田】また、退職してからもお金の心配をしなくていい、というところを目指しています。
あと、最高品質はこの一言に尽きるかな。「最高品質×最低価格」のサービス提供をする。それで、営利企業ですので、利益もちゃんと出します。
エコシステムとして、良い待遇を与えればエンジニアがイエラエに就職して、最高品質のものを最低価格で提供すれば仕事が頂ける。売上が増えて利益をまた還元していく。それでいい人が集まっていく、という循環。会社は最後に儲かればいいという考え方です。まずは社員に良い待遇、お客様に良いサービスを良い値段で売って、最終的に会社が儲かる。
来年は売上 20 億、利益 5 億で計画を立てています。
【上野】おおー。いい利益率。
【牧田】去年は 3.7 億円ぐらい利益をあげました。去年、そのうちの 1.5 億円を社員に昇給やボーナスとして還元しました。高い給与をどうやって実現するかと言うと、成果主義でやっています。売上貢献度と技術貢献度で評価するので、年齢や入社歴は関係ない。なので新卒 2 年目で社長を超えることもありました。
【上野】夢がある。
【牧田】はい、夢があります。原資については、予算を上回った利益を全て社員に還元する。去年は営業利益の予算が 2.2 億円ぐらいでした。実績の営業利益が 3.7 億円だったので、3.7 億- 2.2 億円 = 1.5 億円を全部社員に分配しました。今年は 3 月時点でもうすでに 1 億円ぐらい、社員へ還元する原資が積み立てられています。平均年収がまだ 830 万円ぐらいなんですけれど、キーエンスを超えたい。
【上野】キーエンスは一千数百万円ぐらいでしたっけ。
【牧田】全然足りていないと思っています。
【上野】いいですね、キーエンス超え。
【牧田】残業代は一応、二重に支給していて、みなし残業はあるんですけれども、1 分でも残業すれば残業代を出します。
【牧田】401k(確定拠出年金)も全額会社負担です。普通は 50%が多いらしいですが。
【上野】そうですね、そのイメージが強いです。
【牧田】うちは入社 4 年目で会社が 5 万 5 千円を 100 %負担する。だから 100 名分になると大きい金額になります。でもこれは全部社員のためにやっています。社員の老後と、結果としての終身雇用のためにも、これはやっていきたい。
【牧田】あとは CVE を取ったらお金をもらえるとか、人を紹介したら 30 万円をもらえる。
【牧田】ストックオプションも。上場を目指してやっております。上野さんが味わった辛さを、今味わっていますけれど。
【上野】「何のために仕事しているんだっけ」という風になっちゃう時もありますよね。
【牧田】社員に対して、ストックオプションを付与していますので、現金化できるようにやろうと思っています。
【上野】パブリックになると、できることも増えると思います。
【牧田】短い労働時間に関しては、エンジニアの成長に時間的余裕が必要であると考えています。ずっと、毎日終電とか休日出勤していたら、新しい脆弱性の検証なんてできませんので。
【上野】そうですね。考えられないです。
【牧田】勉強のために必要だから、入社初日から 15 日間の有給休暇が付与されます。普通は半年後に 10 日らしいんですけれども。
年末年始は 17 連休、ゴールデンウィークは 11 連休、夏休みは 9 連休という感じで公休も多めに出しています。有給との組み合わせなんですけれど、なかなかいい。
週休 3 日とか週休 4 日とか、そういう働き方ができる制度を調整しています。そもそもフルフレックスなので、今でもできるんですけれど。また、10 年前からフルリモートにしていて誰も出社義務はありません。
あとはワークライフバランスで、結婚したり子供生まれたり、病気したりというタイミングではちゃんと休んでもらって、良くなったらまたコミットしてもらえばいいと思っている。結果的に終身雇用ができるように。人生っていろいろありますよね。
【上野】終身雇用というところってあんまり聞いたことがない。良いビジョンですね。
【牧田】大企業が諦めつつある今だからこそ、ちょっと挑戦したいなぁというのはありますよね。
「人間の弱さを認めようね」というのが、我々マネージャーの考え方です。だって病気する時もあるし、モチベーションが落ちる時もあるし、頑張れない時もあるじゃないですか。そういうのは全部認めて、できないことも認めて、ただ才能があるのは確実なので。
才能ない人なんて一人もいないじゃないですか。その才能をいかに引き立てていくか、生かしていくかというのが我々マネージャーの考えですね。
【上野】牧師さんのようなことを言いますね。
【牧田】そう思えますか?
【上野】何か救ってくれそうな感じですね。
【牧田】確かになあ。まあなあ。愛に通じるところがあるかもしれないですね。
【上野】そういう事を社長に言っていただけると、社員は安心できるかもしれない。
【牧田】社員の才能によってわれわれは成り立っているので、その他の弱さについては認めていくのがフェアだ、という考え方です。やっぱりそこを認めないと、みんな辞めていったり、鬱になって病んでしまったり、潰れちゃったり、というのがある。長期的、30 年 40 年で考えると、会社にとって損なんですよね、そこだけ責めるとか「何でやれないの」とか。そうじゃない。
【上野】コスト面で考えても、人を育てるのも雇うのも大変ですもんね。そうしたら、良い人に長くいてもらった方がいい。
【牧田】そうなんですよ。すごく短期的に見るとパフォーマンスを出せてない人は、やっぱり一瞬コストになるんですね。他の人たちが頑張っていて、その人がコストになる。まあでも長期的に見たら、またその人も復活してくるし、新しく採用したり育てたりすることを考えると、まぁ全然、会社としてこういう考え方がすごく合理的だと思うんですよね。
【上野】いいですね、安心して働ける。
【牧田】感動するような成果を出す人たちと長く一緒にやってきた。彼らはかけがえのない才能じゃないですか。
【上野】そうですね、他に代わりがいないですからね。
【牧田】彼らの大事にしていることとか、やりたくないこととか、ある程度理解できるようになったので、そこを認めていく。
【上野】ああいう風に尖ったエンジニアを束ねて行くのは、なかなかすごいですね。
【牧田】ある種の多様性、ダイバーシティなんでしょうね。夜中働いて朝寝るとか、別にそういう人がいてもいいじゃないですか。彼らの才能で成果を出せれば、会社もそれで儲かるし。そんな感じで考えてやっています。去年、エンジニアの離職者はゼロだったんです。
【上野】おー、すごい。診断って辞めていく人も多いじゃないですか。診断自体に飽きるかもしれないし、その会社でやっていることに飽きるかもしれない。
【牧田】過酷すぎたり、とかね。
【上野】すごいですね。エンジニアの離職者ゼロ。
【牧田】だからある程度はワークしているんじゃないかな、と思うんですよ。
【上野】いや、それすごいですよ。ほんとに。
【牧田】裁量のところは、ベンチャーなので当たり前なんですけれど、「とりあえずやってみる」ことを大事にしています。最初からできない理由を突きつけたり、例えば課長・部長・本部長とか大企業っぽい感じで稟議をやらせるんじゃなくって、「やりたい」って言ったら、とりあえずやってみる。お金も出しますし、リソースも空けてやってもらうのを大事にしています。ただ、やってみてから成果を見て、続けるかどうかは厳密に判断していく。
新卒で入った白木君、たぶん知っていますよね。ウチのクラウド診断は彼が立ち上げたサービスです。彼はね、部署 4 つぐらい横断して仕事してます。「やりたい」「興味あります」「勉強したい」と声を上げてくれて、「じゃあ、やってみる?」ということで、ちょうど新しいサービスを立ち上げました。
あとウチは CTF やカンファレンスへの参加を推奨している。2 年前の Black Hat USA 2019 は600 万円ぐらいかかったかな。
【上野】すごくかかりますね。
【牧田】 Black Hat 高いじゃないですか、渡航費もかかりますし。DEFCON も行くので 2~3 週間くらいの滞在費もあります。
【上野】社員旅行の比じゃないぐらい、かかっていますね。
【牧田】元は 300 万円を取ってあったんですね。社員のためにお金を使いたいんで。ただ「行きたい人?」って聞いたら、なんかいっぱい手を挙げてきて、「じゃあ、いいよ」って全員行ってもらいました。
【上野】皆見たいですよね。CTF 好きなら Black Hat 行きたいでしょうし。
【牧田】それでこの辺が一番ウチっぽいのかな。「エンジニアが一番偉い」というか、技術力がある人が一番尊敬されている。だから営業ドリブンじゃないのが強みですね。
年末や年度末は繁忙期じゃないですか。繁忙期なのでやろうと思えばいくらでも仕事を取れてしまうんですけれど、やっぱりエンジニアが潰れてしまったら、元も子もない。エンジニアが「もうお腹いっぱい」って言ったら、あとは全部断るようにしています。直近だと、繁忙期に 1.4 億円分の依頼を断りました。
【上野】いやあ、なかなかそれは決断できないですね。だって 1.4 億円欲しいですよね。
【牧田】欲しいですよね。結局、最後は社員に還元するので、やっぱり経営者としてはお金をストックしておきたいというか、原資を持っておきたい。ただ、この辺はきっちりと、エンジニアが「ノー」と言えばノーということでやっています。
──
あたりまえのことだからあえてそれを言わない種類の言葉があって、たとえば飲食店なら「日本一」「世界一」などが挙げられる。「日本一のラーメン」などと看板に大書してある店に入るのはちょっとためらわれる。端的においしいとは思えないからだ。
以前から不思議に思っていたのが、今回の対談でも出てきた、イエラエセキュリティが掲げる「最高品質」という言葉だ。よりによってイエラエセキュリティがなぜこんなことを喧伝する必要があるのか(いやない)。むしろこんなことを口に出すことによって、せっかくのブランドやイメージを下げることにすらなってはいないか。ずっとそう思っていた。
牧田がふたつめの会社のビジョンを語る際に「言葉をちょっと変えているが『最高品質のサービス提供』」と表現していたことに、その疑問を解くヒントがあるかもしれない。
「言葉をちょっと変えている」つまり「最高品質」とは、何か別のことをストレートに語れないから生まれてきた、真意を隠した結果の言葉であるということだ。つまり「言葉を変えない」あるいは「言葉を選ばない」版の「本当の」ふたつめの会社のビジョンが実は存在する。
上野は牧田を「牧師さんみたい」と評した。セキュリティ業界には、役作りなしでマーティン・スコセッシ監督やフランシス・フォード・コッポラ監督の映画で、牧師と正反対の職業役でロバート・デ・ニーロと共演しても決して見劣りしないであろう強烈な魅力を放つ、大河内智秀さんや与儀大輔さんのような人物も存在するが、それとはまさに対極的な存在感である。そんな牧田だから、隠された真意について決して多くは語らなかったものの、いくつかの看過できないと牧田が感じる出来事については、ポツリポツリと話をしてくれた。
牧田は、診断やペネトレーションテストで訪ねた企業のセキュリティの実装を見れば、すぐにわかる。「必要のないものを買わされたようだ」ということが。100 万円 200 万円のセキュリティ対策ですむのに、予算が 1,000 万円あれば、きっちり 1,000 万円取りに行く会社があるのだ。しかもそれをするのは信頼できるブランドとみなされている会社も少なくない、というかそれがほとんどだという。また、営々と築いたブランドネームで仕事を受注はするが、実際に診断等を実施するのはオフショアや派遣社員ばかり。そんな「低品質×高価格」なセキュリティサービスが横行するさまを語る牧田の目は、全く優しくなかった。
牧田には「牧師」のままでいてほしい。だからここから先は編集部の臆測になるが、「最高品質のサービス」とは、「イエラエセキュリティが高品質なサービスを適正価格で市場に供給することを通じて、低品質×高価格なサービスを、ユーザーに嘘をつくことを辞さず提供する、もはや社会悪とすらいえる企業の市場からの早期退場を、積極的に断固として促進していく」といった決意に他なるまい。そうでも考える他に、これだけの技術者集団が、こんなわかりきったことをわざわざ掲げる理由は思い当たらない。「あんな輩と同じセキュリティ企業とは呼ばれたくない」まさに良貨をもって悪貨を駆逐する。イエラエ得意の正論を有言実行するストロングスタイルだ。
一方でそれはイエラエセキュリティ自身への戒めともなる。つまり、もしいつの日か「最高品質のサービス提供」ができなくなるときが来たら、イエラエセキュリティ自身が市場から退場しなければならなくなる「キルスイッチ」ともなりうる。この物騒な覚悟を共有できた者にのみ「エンジニアの楽園」への扉は開く。
