「さみしいですね」
あるセキュリティ会社の代表からこんなメッセージを記者が受け取ったのは 2022 年初春のことだった。
ケースごとに事態は千差万別だと思うが、確かに何か青春が終わってしまったような印象を受けることが多い。さみしいとはその「青春の終わり」への感慨を言葉にしたものだろう。
企業の資本政策の話である。
具体的にはたとえば CDI が NEC に買収されたような、それまでキレッキレの活躍で業界を牽引し、かつ活性化もしていたベンチャー企業が、ある日突然大手資本の傘下になり、より盤石な財務基盤のもとで新しい事業のフェーズに入る。そのフェーズとフェーズの間で一部の人が感じ取るかもしれないエモーションであり情緒のことをいま語っている。
「さみしいですね」というメッセージは 2022 年 1 月 24 日、株式会社イエラエセキュリティ(当時)が、GMOインターネットグループに入るという報道が出た数十分後に記者のもとに届いた。
本来なら、より確かな後立てと社会的承認を得て、それまで行ってきた事業をより広くより強力に展開していくことは喜ばしいはずだ。しかし、それまで持っていた「尖った個性」等々、数々の輝きが減じてしまうのもよくある話である。キーパーソンが退職するといったことも結講ある。
しかし記者は、イエラエセキュリティの GMOインターネットグループ入りには、プレスリリースの直後に取材の機会を得たこともあり、だいぶ違った印象を持っていた。何か「多幸感」とでも言うべきものが取材で一貫して感じられたからである。それについてはすでにふたつも記事を書いているので(記事1、2)、興味があればそちらを参照して欲しいが、その思いが極まったのが昨年 GMOサイバーセキュリティ byイエラエが CODE BLUE 2022 の最上位スポンサーについた件に関して、短いコメントをもらった際のことだった。
コメントの趣旨は至極簡単。つまり「GMO のグループに入って、今までずっとやりたかった CODE BLUE の最上位スポンサーになれた。うれしいな」という、まるで森のどうぶつたちの会話のような無邪気な内容だった。
端的に思ったのは「こいつらちっとも大人になっていない」ということで、大資本グループに入ることで青春が終わり、以降は大人で慎重な行動をとっていくどころか、むしろ排気量の増えた車でより整備されたレーシングコースをエンジン全開で爆走せんとしているような遊び心がそこにあった。さみしいどころか「大丈夫? この会社」である。
分別よりは自由、慎重さよりも大胆さ、そんなベンチャーの「青春感」を体現する人物が、昨年 GMOイエラエにジョインした。NTTコミュニケーションズの SOC サービスを、APT 時代に合わせて大幅にアップデートした際に推進役として活躍したキーパーソンのひとりにして最重要人物 阿部 慎司(あべ しんじ)である。
阿部が GMOイエラエで取り組むのはもちろん SOC サービス立ち上げだ。神業(かみわざ)クラスのペンテストの腕前や、診断業務中に JVN 報告レベルのゼロデイをゴロゴロ見つけるなど、とにかく圧倒的なオフェンス(攻撃力)のイメージが強いイエラエセキュリティだったが、満を持して典型的なディフェンス(防御)側のサービスである SOC 事業を 2023 年春にローンチする。いったいどんな「GMOイエラエにしかできない SOC サービス」を構築するのか。
取材では阿部から「世界で一番自由な SOC」などという、曲の歌詞のような詩情あふれるワードすら飛び出した。本誌はこの記事において阿部を、リスペクトを込めて「青春の巨匠」と呼ぶことにする。今春新たにスタートする SOC サービスについて、そのコンセプトや目指すところについて話を聞いた。なお本取材は 2022 年 12 月に行われた。
--
──GMOイエラエの SOC を一言で表すとしたらどんな風になりますか?
阿部:GMOイエラエは診断とかレッドチーム、ペネトレーションテストなど「攻め」のイメージがあります。一方で SOC は守る側のビジネスです。GMOイエラエの攻撃力「最強の矛」に並ぶ「最強の盾」の SOC サービスとして、最初に大きなワードとして出したのが「最速防御」という言葉です。誰よりも早く守る。徹底的な自動化と圧倒的なリサーチ力で革新的な「最速防御サービス」を作ることが最初に決めたことです。
──GMOイエラエのレッドチームが見つけたゼロデイをシグネチャー化して SOC サービスに組み込んでいけば、ゼロデイな訳ですから実際に「最速」になりますね。ところで、今の日本の SOC サービスに阿部さんが感じる課題はありますか?
阿部:そもそもお客様の規模も中小からエンタープライズと違いますし、お客様自身のセキュリティのレベルだったり予算感だったり、体制の強さ、あるいはお客様の中のセキュリティ部門の経験値など、すごくバラバラなはずです。一方で SOC サービスは運用サービスという性質上、紋切り型というか「うちの会社はログ分析とアラート報告だけです」等々決まっていて、一社で一つのお客様に対応するのは本当は無理で、お客様もいろいろなサービスを組み合わせて導入しなくてはいけない感じになっています。
ある程度仕方ないとは思うんですが、柔軟性に欠ける部分は確実にあると思います。そこにうまくはまるようなパズルをちゃんと作っていきたい。いろんなお客様に適合できる形でサービスメニューが出せるようにしたい。
今の SOC サービスは、お客様が自分でやらなければいけないことの支援、「自助を支援する」形になっています。しかし、GMOイエラエの SOC サービスは「共助的」にやっていってもいいかなと。
わかりやすい例で言えば、たとえば A 社の SOC サービスを 10 社が利用しているとなったときに、その 10 社のお客様って、横では絶対会話できないじゃないですか。同じ枠にいるのに。それはすごいもったいないと。もう少し有機的に繋いでいきたいっていう思いがあります。すぐには難しいですが将来的には「共助型 SOC サービス」というか、いろんな人が混じっていける世界観を作っていきたい。「このGMOイエラエの SOC サービスに入ることで助け合っていける」みたいなところまでもっていきたいと考えています。
──GMOイエラエの SOC サービスに入ると、いわば「GMOイエラエ ISAC」のような情報共有体制の一部になるようなイメージですか?
阿部:そうですね。横の同じ業種の人たちと話ができるイメージです。
また、GMOイエラエが SOC サービスを売る先をユーザー企業に閉じる気はなくて、SOC サービスを提供するいろんなセキュリティ事業者もまたそのレベルはバラバラなのですから、GMOイエラエの SOC サービスの機能の一部を、SOC 事業者に買っていただいてお客様に出していただいてもいいと思っています。
すでにいろんな SOC サービスと契約しているお客様は多いですが、それをひっぺがして「GMOイエラエの SOC サービスを使った方がいいよ」というのでは必ずしもなくて、既にやっているなら、そこに GMOイエラエから「能力の OEM 提供」を行って純粋に伸ばす方向でお手伝いすることもできるんじゃないか、双方向でお互いの強みを混ぜ合わせてより良いものを世に出せるような、そんなパズルのピースにも僕らはなっていけると思います。
──サービスメニューはすでに固まっているんですか?
阿部:実はメニューはすぐに用意して、社内で共有したんですが「数が多くて覚えるのが大変」みたいな話にもなっていて、固定するというよりはお客様と一緒に考えながら世の中に合わせて作っていける柔軟性を担保したいと思っています。
前職で SOC を作ったときは「最強」をキーワードに、「世界で一番強い SOC」を作ろうと思ってやってたんですが、GMOイエラエに来てからは「世界で一番自由な SOC」っていうのが僕の裏テーマとしてはあって、柔軟な発想が強さを作っていけるんじゃないかなみたいな、そういうイメージがありますね。
──ありがとうございました。
--
以前、黒澤明監督の「生きる」という映画を名画座で見たとき、主人公が不治の病の宣告を受けるシーンで大爆笑してしまったことがある。観客が 2 人くらいしかいなかったのであまり迷惑はかけなかったと思う。ちなみに「生きる」は極めてシリアスなヒューマンドラマであり、コメディ的要素は一切入っていない。
それは、医師が「胃ガンですね」と、主人公に宣告すると、それを聞いて大きく動揺した主人公の顔と一緒に「ガーン」というピアノの鍵盤を複数叩くような効果音が流れるシーンで、そのとき驚いたのは、あまりにもド定番になりすぎて、その後お笑いやコントで消費されまくることになるこのベタな演出が、最初は 100 %シリアスな手法として使われていたということだった。
あまりに王道を歩きすぎたり、その後それが定番になってしまうことで、偉大な仕事にもかかわらず、何かあたりまえの退屈なことをしていたかのように後世の人に見えてしまうということがあって、阿部のキャリアもまさにそれだと思う。
2010 年代から分析型の SOC を構築するなど、弥生時代に稲作をしていたかのごとく、あたりまえのことをあたりまえにやっただけとしか見えないので補足しておくが、近い将来脅威分析型 SOC サービスが重要になることを説き、新規事業開発企画書を会社に上申した阿部だったが、まるまる一年その提案は日の目を見ることがなかった。それはなぜか。
当時の SOC とは、セキュリティ製品を仕入れて販売して、さらにそのメンテナンスとお守り(おもり)でお金を受け取るというサービスであり、それ以上でも以下でもなかった。だからその頃「分析」といえば、せいぜい攻撃の数を集計して表にまとめたり、コントロールパネルを触れば誰でもわかることを紙に書き出したりレポートにしたりして若干のオプション料金をいただく程度のサービスに過ぎなかった。そんな状況のもとで本格的な分析サービスなどを始めたら、既存の利益構造に影響が出やしないかといった懸念や判断が出るのはあたりまえだ。
黒澤が「ガーン」演出を最初に完成しパッケージ化したのと同じように阿部が、次世代型 SOC を日本で最初に作ったなどと言うつもりはさらさらないが、最も初期にその可能性に気づいて、同時多発的に全国各地で、頭の固い上司や既得利益を守ろうとする組織の壁に懸命によじ登ろうとした幾人かのうちの一人が阿部であったことには疑いの余地がないだろう。
阿部は取材の中で「NTTグループという大きな会社の中で、看板の信頼や、頼れる営業部隊などの整った体制の中で、たまたまうまくいっただけではないかという疑問をずっと持っている」という趣旨の発言もしている。
つまり、自分以外の人間だったとしても NTTグループ最高峰の SOC として立派にアップデートされたし、自分がいなくても、例の世界的なスポーツ大会を支えられるレベルにまでサービス水準を高められたのではないかという、成功した人間だけが持つ、ある意味贅沢な悩みである。
だから阿部にとって、GMOイエラエで取り組む SOC 事業立ち上げは、夢中で走り抜けた自分自身のビジネスキャリアにおける青春時代へのタイムループ、生き直しでもあるのだろうと思う。そう考えると、阿部が三十九歳という年齢でGMOイエラエに転職し、数ヶ月後に四〇歳(不惑)を迎えたというのは、何か象徴的意味すら感じられる。
SOC 事業立ち上げの活躍で阿部は、NTTグループで「最早組」と呼ばれる最も早い出世コースよりもさらに早く、最年少で部長になるという前例を作ったという。だからその後社内政治に明け暮れて、さらに最年少で事業部長や執行役員等を目指すという世界線ももちろんあったはずだ。しかし阿部はそうしなかった。保身とさらなる栄達の追求の代わりに阿部が熱心に取り組んだことのひとつが「エンジニアが働きやすい職場作り」だった。
技術者が尊敬され、給与面でも充分に正当な評価を受ける。そんな「エンジニアが輝ける環境作り」に阿部は力を注いだ。そうでなければ、そもそも分析型 SOC サービスなど成り立たなかったというのもあるだろう。
NTTグループの企業で最年少で部長。もし記者が同じ立場になったとしたらやることはたったひとつだ。すなわち、さらに上を狙うか、もしダメなら必死で地位にしがみついて定年まで居座り、退職金を満額受け取って、できれば子会社へ役員待遇で天下る。そして子会社の若者世代の給与原資と未来を奪い、高額報酬を受け取りながら人に迷惑だけをかけつつ自分だけ快適な老後を送る。イエーイ! 日本企業における「勝ち組」の方程式である。
「NTTコムを退職して GMOイエラエに転じることに迷いはなかったのか」という質問への阿部の回答が、抱かれたいと思うくらいに男前だったので、最後にここに記しておきたい。
曰く、最年少の前例を作ったのなら、同様に若い年代の部長を SOC 事業の中にふたたびみたび誕生させる道を作ることこそが最年少で部長になった自分の責務だと思った。それがたとえ自分自身がそこを去るという形になったとしても。そしてそれこそが自分が夢見てそのために力を注いできた「エンジニアの楽園」を完成させることになると思った。
