2024 年春「オンラインで見た御社の社長の講演に共感したのでぜひ自分を GMOサイバーセキュリティ byイエラエで働かせてほしい」という趣旨の連絡が同社の公式サイトの問い合わせフォームに寄せられた。
その求職者は 40 歳代男性。本人曰く「セキュリティの仕事には多少経験がある」という。
どう見ても困ったおじさんとしか思えない得体の知れないこんな中年からの問い合わせにもきちんと対応した担当者は素晴らしい。その結果、どんなエージェントを使ったとしてもヘッドハンティング不可能な人材を同社はチームに加えることに成功した。
自称「セキュリティの仕事は多少経験がある」という男の名は福森 大喜(ふくもり だいき)。
学生時代セキュリティの面白さにはまって、新卒でセコムトラストネット(当時商号)へ入社、IDS 製品や脆弱性診断サービス事業に携わり、Webアプリ診断事業立ち上げの主要メンバーとして活躍した後に(もっぱら攻撃コード等を書いていたという)、仲間を集めて Web アプリ診断を行うセキュアスカイテクノロジーの創業に執行役員CTOとして関わり、SST 在籍中には、年間最多の JVN への脆弱性報告件数という記録を残した。
その後 CDI に転身、仕事のかたわらでCTFチーム sutegoma2 に所属し、世界最大のハッカーカンファレンス DEF CON で毎年開催されるサイバーセキュリティ技術競技である DEF CON CTF の決勝戦に複数回出場、日本チーム最高位を更新し続けた。
CDI が NEC へ M&A されて以降は、国際刑事警察機構(インターポール)の世界初のサイバー犯罪捜査部門技術協力者としてシンガポールに渡り、2022年に任を離れるまで、世界各国の警察やサイバー犯罪に対処する法執行機関の関係者に向けた技術支援や協力を行ってきた。
Webアプリ診断事業の立ち上げ。ネットワーク診断メインの時代に Web アプリ診断事業会社を起業し軌道にのせたこと。JVN の年度最多報告者。そして日本人の予選通過者すらゼロだった時代に DEF CON CTF に仲間を集めて参加し、決勝戦に参加したどころか、上位入賞にまで食い込んだこと。さらにインターポールサイバー犯罪部門への民間から世界初の出向。
この男のキャリアは人間 4 人か 5 人分くらいの厚みがある。というか Netflix でドラマ化できるかもしれない。11 月に開催される「GMO Developers Day 2024」に登壇し話をする予定だというが、福森はまるで小説のようなエピソードの宝庫でもある。特に印象的なものをいくつか紹介したい。
●ダブルエコノミー
DEF CON で優勝するために文字通りコンビニ弁当「だけ」を栄養としながら、土日 お盆 大晦日 正月関わりなく、毎夜毎晩、東の空が明るくなるまで exploit を書くという生活を続けた結果、飛行機に乗ってもいないのにエコノミークラス症候群と同等の症状(肺や足の血管に血栓ができた)になった話は、以前詳しく書いた通りだ。
ある日福森が、それほど広くもない会議室の席を立って数メートル先の出口まで歩こうとしたところ、数メートルのはずが 50 メートルにも 100 メートルにも遠く感じられた。すぐに病院に行ったところ、心臓の専門病院へ救急車で緊急搬送され、そこで肺の血栓が見つかった。「 CTF だかなんだか知らないが、海外になど行ったらおまえは必ず死ぬ。必ず」と同年代の医師から診断を受けたという。考えてみれば既にエコノミークラス症候群の症状になっている人間が、エコノミークラス(おそらくは)で 16 時間なりの時間をかけてラスベガスの DEF CON CTF 会場まで移動することになるのだから、これは世界の医学雑誌がほっておかないようなケースになった気がする。
●世界の警察の中心で脆弱性を叫んだ診断士
もうひとつ、欧州のインターポールへ脆弱性診断業務に福森が赴いた際の「脆弱性報告」のエピソードもまた絶品である。
到着直後、ご挨拶代わりに当のインターポールの公式ウェブサイトの脆弱性診断を実施した福森は脆弱性を発見。すぐに管理者に伝えたものの「は? 公式サイトの診断なんて頼んでないし」「今日来たばかりのアジア人の若僧が何をほざくか」程度の扱いしか受けなかったという。しかも翌日以降もその脆弱性は放置されつづけた。そこで福森は、よりにもよって世界の法執行機関の中心的な場所で「その脆弱性が放置されることによって、どのようなリスクが起こりうるかについて、誰でも視覚的かつ直感的に理解できるようなプレゼンテーション(このぐらい抽象度を上げて書いておきます)」を行うことで、すぐに脆弱性の修正を行わせることに成功したという。
言葉のたとえになるがこれはまるで、署内で銃を発砲するような、何か映画『ランボー』第一作の警察署脱走を彷彿とさせるようなほっこりエピソードである。これほど気持ちが明るくなり心温まるセキュリティに関わる話を記者はかつて聞いたことがない。おそらく今後もないだろう。この行動で福森は「使える奴」と短期間で周囲に認めさせることにも成功した。
しかも大事なことだが、これらのエピソードは何一つ盛られていないのである。そこらのおっさんの自称「武勇伝」とはそこが違う。実際に会うと福森はむちゃくちゃ謙虚な人物だ。最後に会ったインタビューから約 8 年を経て、まさか CDI ではなく GMOサイバーセキュリティ byイエラエのメンバーとして、記者が再び福森のインタビューをする日が来るとは思いもよらないことだった。
● オープンソース活用で FBI を超えるフォレンジックを
インターポールでの仕事についてもいろいろ話を聞いたが、その中で、概要だけでもどうしても記しておきたいエピソードがあったので、メモとしてここに残しておきたい。
組織規模も予算も大きい FBI のような組織と異なり、わざわざ インターポールを頼って訪ねて来るような国は、GDP の低い、決して豊かではない国が多いという。アフリカの各国やバングラデシュなどのサイバー犯罪捜査支援を行うことが、インターポール時代の福森の業務の重要な一部であった。
豊かではない国のサイバー犯罪捜査官たちの多くは、同時に引け目や劣等感を持っていたという。単に FBI が使っている EnCase(高価なフォレンジックツール)を買えないという事実だけでなく、その事実と国家としての自己肯定感の低さが結びつく回路が心に焼き付いているのだ。福森はだから、たとえおまえらが EnCase のライセンス料など払えなくても、オープンソースを活用することで、同水準あるいはそれ以上の調査を行うことは誰にでもできるという事実を証明して見せた。「オープンソースで誰でもできる 福森大喜 フォレンジック講座 in ガーナ」堂々開講である。EnCase に頼り切って思考能力が低下している FBI エージェントが見落とすような証拠を見つける技術をあえて体験させた。ときに有給をとって休んでまで彼らの指導にあたったこともあるという。なんだか、金属バットで打たれた野球ボールが快音とともにアフリカのガーナの青空に向かって飛んでいくシーンが浮かんでくるような胸のすく話である。
フォレンジック調査技術を習得させることはもちろんだが、各国のサイバー捜査官たちが技術習得によって、それまで失っていた自信を獲得し尊厳を取り戻していったであろう過程こそが素晴らしい。聞いていて少し泣けてきた。このエピソードはいつか追加取材で深掘りして、6,000 文字ぐらいの原稿にまとめてみたいと考える所存である。
● キャリアを一気通貫するもの
キャリアを通じて一貫している福森の行動原理は「どうすれば本質的な解決に繋がるか」である。どうすればサイバー攻撃によって損害を受ける国家や企業、個人をなくすことができるのか。
共同創業者として立ち上げた SST が軌道に乗ったとき福森は「ここにい続けても Web アプリの課題しか解決できない」と考え、それが CDI に転じるきっかけとなった。そして、CDI で様々なインシデントや事案に対応した福森はやがて、犯人の IP アドレスまでしっかりわかっているのに海外にサーバーがあるという理由で 1 ミリも動くことができない日本の警察に対する苛立ちを持ち、それはやがて世界の警察が集合した インターポールのキャリアへと繋がった。
2023 年 12 月、福森はたまたま GMOサイバーセキュリティ byイエラエ代表の牧田 誠が講演する動画に釘付けになった。牧田が語った趣旨は以下の通り。
「GMO は日本の 8 割のドメインと日本の 6 割のウェブサイトやサーバを持っている。GMO の顧客を守ることがすなわち日本のインターネットを平和にするための最短経路と信じて、我々はこの仕事に取り組んでいる」
なるほど。その手があった。深く腑に落ちた福森は、以前ラスベガスで会ったことのある牧田の名刺を探してすぐにメールを送ったが「アドレスが存在しない」というエラーで戻ってきたという。牧田がまだサイバーエージェントにいたときの名刺だったというからあたりまえである。
共通の知人を頼って紹介してもらうことは十分可能であったが、福森にはそんなやり方が迂遠に思えた。今は性急であるべき、そう感じて、公式サイトの問い合わせフォームに自分の思いを書き連ねた。このようにして冒頭の「御社の社長の講演に共感したのでぜひ自分を働かせてほしい」おじさんが誕生した。
本取材を実施したのは 9 月上旬。まだ 3 ヶ月の試用期間内でもあり、何より日本に関しては「浦島太郎状態」の福森は、GMOサイバーセキュリティ byイエラエでの今後の自身のミッションについて詳しい言及は避けたが、取材では ACD(アクティブ サイバー ディフェンス)といったいくつか重要なキーワードが口にされたことを記しておく。また福森は将来的に、全世界の GMO のパートナー、つまりサプライチェーン全体のセキュリティを担うという構想を語った。
ジョインしてみた GMOサイバーセキュリティ byイエラエの印象について尋ねると「恐ろしいところに来た」という言葉が返ってきた。
●「優勝以外すべて負け」CTF チーム
恐ろしいとは何か。
それはたとえば GMOサイバーセキュリティ byイエラエの CTF チーム(GMOイエラエ)の妥協のなさだという。福森は彼自身も大ベテランとして同社の CTF チームに参加し競技に取り組んでいるが、チームの「圧倒的な一位へのこだわり」に日々震撼しているという。
福森がある日、とある CTF に参加したところ GMOイエラエチームは 2 位の成績で終わった。終了後、福森が家族に 2 位になったと報告すると、それはすごいねと言われたが、その直前、意気消沈したチームメンバーの様子を目の当たりにしていた福森は、その言葉を素直に受け取ることができなかったという。
「葬式のような雰囲気だった」 福森は 2 位で競技を終えたときのチームの様子をこう表現した。
「はたから見れば 2 位は銀メダルかもしれないが、この人たち( GMOイエラエのメンバー)は違っていて、1 位以外は全て敗北であり負けなんです。よくオリンピック選手で、一回戦で敗退するのも銀メダルをとるのも1位になれなかったという理由でどちらも同じ負け、と語る人がいるが GMOイエラエの メンバーはそれとまったく同じ(福森)」
取材の最後に記者は、キャリアを重ね数々の業績を積み、後進を育てる年齢を迎えつつある福森に、同社の若い技術者たちに向けたコメントを求めた。この回答のみ以下に全文を収録したい。
--
── このインタビュー記事は GMOサイバーセキュリティ byイエラエ社内の人たちにも読まれる機会があると思います。最後に若い技術者に向けたメッセージがあればお願いします。
僕がインターポールでいろんな犯罪捜査をした中ですごく印象に残っていることがあって、それはバングラデシュをサポートしたときです。2016年ぐらいだったかな。北朝鮮からバングラデシュ中央銀行が攻撃を受けて 80 億円くらい盗まれる事件が起こったんです。そのときバングラデシュがインターポールに助けを求めてきて、何をやったらいいのかわからないので来てくれ、という依頼を受けて行くことになりました。
当初は盗まれたということしかわかっていなかったので、正直インターポールもどこから手をつけたらいいのかわからない状態でしたが、僕はマルウェア解析もやれるし、フォレンジックもわかるし、ネットワークのペンテスト的なこともわかっているので「福森がいいんじゃないか」っていうことで選ばれました。
バングラデシュに赴いて FBI と合同で調査をしてシンガポールに戻ったんですが、もう一回バングラデシュに行かないと、という話になりました。ちょうどその時です。バングラデシュでテロが起こったのは。日本人も巻き込まれたということもあって、これはさすがに、もう一度行くのはやめた方がいいんじゃないかっていう話になりました。
そのときにふと考えたのが、バングラデシュの 80 億円と日本の 80 億円とではやっぱりそれは全然違っていて、平均年収とか比べれば、本当に日本の 10 分の 1、20 分の 1 くらい違うような国で、そんな国で 80 億円盗まれて困っている。それなのに僕はこうして助けに行かないって判断をしようとしている。そのときに僕の中に「リトル福森」が現れてきてですね。
── リトル福森。
そのリトル福森から「お前は自分のプロフィールに『DEF CON CTF で決勝に出ました』とか『コンテストで何番とりました』とか偉そうに書いてるけど、いざというとき何の役にも立たないじゃないか」って言われたんですよ。
── リトル福森に言われたと。
そこでハッとして、自分が CTF とかやってるのって、いったい何のためにやってるのかなと考えたんです。もちろん楽しいからやっていたって側面もあるんですが、やっぱりこの CTF で身につけた能力を、世の中のために役に立てなければ何の意味もないじゃないかって気づいて、改めてそこで自分のなすべきことがわかった気がしたんです。
それからは、いろんな、たとえば難しい案件の支援依頼が来るたびに、そのつどリトル福森が僕の中に現れてくるんですけど、やっぱり CTF でものすごい能力ある人がたくさん GMOサイバーセキュリティ byイエラエにはいますけど、そこをいかにお客さんや世の中に結びつけるかっていうのは今後の命題と思っています。
僕は運がいいことにバングラデシュのことをきっかけにして、自分でそういうことに気がつけました。かといってチームGMOイエラエの CTF プレイヤーが、個別にいちいち同じような経路で同じ考えに至る必要は全くないんですが、でも本当にすごいメンバーがここには揃っているんですよ。
これまで在籍してた会社にも凄いメンバーが 2 ~ 3 人いたんですが、ここだと 2 ~ 3 人じゃなくて、20 人も 30 人もいるんです。20 人 30 人もとんでもなく凄い技術者がいるんだったら、これは牧田さんとも話しているんですが、やっぱりその潜在能力をまだまだ生かしきれていないと思っているので、それを世の中と繋げていくっていうところを考えていきたいと思っています。
── ありがとうございました。
--
福森には NEC 傘下の CDI に居続けるという選択肢もあった。いずれ「フェロー」などという肩書をもらって髪が白くなっていく日々を送ることもできたはずである。それだけではなく、理工系の名門大学等のアカデミアから誘いがまったくなかったということもちょっと考えられない。学生に愛される先生として「准教授」といった肩書をつけて髪が白くなっていく日々を送ることも(以下略)。
Deloitte や KPMG、EY などのグローバルファームで高額報酬を食む(はむ)という、ガッカリするような末路というか選択肢あるいは誘惑もこれまで常に福森には存在し続けたと思う。「エグゼクティブシニアパートナー」などといったたいそうな肩書をつけてファーストクラスにふんぞり返りながら髪が白く(以下略)。
こういうことになると思う。今回の転職の判断もまたリトル福森の助言だったに違いない。ここが肝心である。つまり本誌がかつて取材した熊谷正寿や阿部慎司のように、成し遂げた成功や業績の守りに入るのではなく、むしろ積極的に不確定なフィールドでリスクを取っていくという決意、世界を変えていこうとする意思だ。リトル福森は読者の中にも必ずいることだろう。
今後の福森の活動に大いに期待したい。
追伸
とはいえ大事な仕事の一方で「DEF CON CTF 日本チーム優勝」なんて世界線が実現する日を生きているうちに是非迎えてみたいとも思う
