クラウドセキュリティの高峰五合目まで行くエスカレーター～ Cloudbase 岩佐晃也

　近年、日本のサイバーセキュリティ産業は何度目かの転機を迎えています。

　多くの組織にとってサイバー攻撃被害は、「めったに起こらない」「例外的」出来事ではなく、「いつか起こる」「いずれ現実化する」経営リスクに変わりました。それによって企業は、どう守るか、どう実体のある運用を行うかが大事になりました。

　経済産業省は 2025 年 3 月 5 日、日本のサイバーセキュリティ産業・技術基盤を強化するための包括的な政策パッケージ「サイバーセキュリティ産業振興戦略」を取りまとめ発表しています。

　しかし振興戦略に先立つ数年前から、大企業に就職せずスタートアップを起業し、受託やサービスではなくオリジナルの骨太のセキュリティプロダクト開発に挑戦する優秀な若者が日本に増えてきた印象を本誌は持っていました。本稿で紹介する Cloudbase株式会社が提供する CNAPP 製品「Cloudbase（クラウドベース）」もそのひとつです。

　Cloudbase は代表が大学在学中に立ち上げた創業 6 年のベンチャーながら、日本の大企業に支持され、導入企業を増やしている点に特徴があります。

　この記事は、本誌上野宣が Cloudbase株式会社代表取締役岩佐晃也（いわさこうや）に取材し、Cloudbase 開発の舞台裏と思想について話を聞く・・・はずだったのですが、技術者を父に持ち小学生時代からコンピュータに親しんでいたことにはじまって、次から次へと二人の共通点が出てきて対談は一時制御不能に陥りました。その証拠に、製作段階での本記事のタイトルは『Cloudbase 岩佐晃也と上野宣同一人物説』でした（本当）。

　というわけで本記事における多少の脱線等々は何卒ご容赦ください。

（文中敬称略）

上野宣：
　編集長対談は、会社の代表や、プロダクト開発者の方とお話しすることで、セキュリティ課題を浮き彫りにしたり、プロダクトやサービスの独自性を私ならではの切り口で引き出していく、という趣旨でやらせていただいています。今回はこのような機会をいただきありがとうございます。

岩佐晃也：
　こちらこそありがとうございます。実は上野さんとは京都という共通点があると編集部の方から伺っていまして。私は京都の大学に在籍していました。4 回生の夏ぐらいに起業しまして。出町柳あたりに住んでいました。

Cloudbase株式会社代表取締役岩佐晃也（左）、ScanNetSecurity 上野宣（右）（撮影：宮川舞子）

上野：
　そうなんですか。私は生まれが京都の山科で、その後、伏見に住んでいました。実は私の父が 45 年ほど前に、伏見で「ハッカーズ」というパソコンショップをやっていたんです。

岩佐：
　45 年前に「ハッカーズ」とはすごいネーミングセンスですね。まだ世の中の誰もハッカーなんて言葉を知らない時代ですよね。

上野：
　そうなんです。MSX や PC-88、PC-98 が出るか出ないかくらいの時代で、パソコンを売るというよりはコインを入れて 30 分 100 円とかで貸し出す、今でいうゲームセンターのような場所で、プログラムを組む子供やいろんな人が集まる場所でした。もともと父は無線技術者で、羽田空港の管制塔のようなところで働いていた人間です。

岩佐：
　コンピュータ資源の時間貸しとは AWS みたいですね。私の父も技術者で、四年に一度開催される国際スポーツ大会でネットワークの構築などで遅くまで働く姿を見て育ちました。

　Cloudbase の大企業の皆様と話していると、昔の国産パソコンが活況だった時代の話が出てくることがあるんですが、私はその時代を生きていないのでわからなくて、少し悔しい思いをすることがあります。その時代を生きてみたかったと。

（編集部註：ここで二人が、互いの小学生時代に、ドーパミンが出まくるようなゲームの特殊な楽しみ方をしていたことが判明するのですが、それを詳らかには書かない方がいいと判断したので該当部分全部を削除します。「いまさらSCANがそんなことを気にするのか」と言われそうですが、ScanNetSecurity はともかくとして、将来のある若者に配慮しました）

岩佐：
　上野さんがセキュリティに興味を持たれたきっかけや、起業に至るまでの経緯について、ぜひお聞きしたいです。

上野：
　セキュリティをはっきりと意識したのは、豊橋技科大にいた 20 歳か 21 歳の頃です。それまではロボコンなど、ロボット一筋だったんですが、1995 年頃からインターネットが普及し始めて、そちらに興味が移りました。当時は Web サイトを作れる人がほとんどいなかったので、簡単なページを 1 ページ 1 万 5,000 円くらいで作って車やバイクを買えるくらい稼いでいました。

　大学の端末を触る中で、IRIX という OS のバッファオーバーフローで root 権限が取れるという海外のニュースを見つけました。コードを実行してみたら本当に root になれて。「何だこれは！」と衝撃を受けてハッキングの世界にのめり込みました。小学生の時と同様にドーパミンが出た感覚があって、ロボットへの興味は一瞬で冷めましたね。そのままセキュリティの道に進もうと、奈良先端大の山口英（やまぐちすぐる）先生の研究室へ進学しました。

岩佐：
　そこでセキュリティに繋がるんですね。

上野：
　ええ。ただ、そこからすぐにセキュリティで起業したわけではありません。大学院の時にハッカー系のコミュニティで知り合った人に誘われてＥＣの会社を立ち上げました。2000 年頃の IT バブルの最後期で上場して 13 連続ストップ高を記録するくらい勢いがありました。その後、その会社のメンバーとゲーム会社へとスピンアウトし、そこを辞めて 2006 年に今の会社を一人で立ち上げたんです。

岩佐：
　それまではセキュリティはずっと趣味で？

上野：
　そうです。技科大時代から『ハッカージャパン』という雑誌に 15 年間ずっと寄稿していて、半分趣味のような形で続けていました。4 社目になるので、今度は自分が好きなセキュリティを仕事にしてみようと。ただ、2006 年当時はまだセキュリティの仕事はあまりなく、とりあえず脆弱性診断から始めました。

岩佐：
　2006 年頃の脆弱性診断というと、SQLインジェクションやクロスサイトスクリプティングがまだ脆弱性として議論されていたような時代ですよね。

上野：
　その通りです。私は雑誌記事などで知見をまとめていたので、それをベースに診断ガイドラインや要件定義書の雛形のようなものを作っていました。それがきっかけで業界のワーキンググループなどに呼ばれ、私の持っていた情報も元にして、公的なガイドラインとしてブラッシュアップしていくことになりました。日本のセキュリティ文化の黎明期に、他のレジェンド的な方々と一緒に、様々な整備に関わっていた、ということかもしれません。

岩佐：
　その時代から現在まで、多くの国産セキュリティプロダクトが生まれてきました。Cloudbase もその一つですが、この変化をどうご覧になっていますか？

上野：
　セキュリティビジネスの多様化が止まらない、と感じます。昔のセキュリティ屋は、ネットワーク、Web、フォレンジック、マルウェア解析、インシデントレスポンスと、何でもできて当たり前でした。まだ各分野が浅かったからできたことですが、今はクラウドひとつとってもとても専門性が高い。CSPM のような言葉も 4、5 年前に出てきたばかりですし、さらに CNAPP（Cloud Native Application Protection Platform）なんて、もう覚えるのが大変です。

岩佐：
　サイロ化が進んでいる感じがしますね。僕がクラウドセキュリティの領域で起業しようと思ったのは、ある会社から AWS のセキュリティを見てほしいと相談されたのがきっかけです。その会社が AWS のためにコンサルティング企業に数百万円も払っていると聞いて、セキュリティというものが世の中でこれほど求められているのかと驚いたんです。クラウドの構成管理はしっかりやっているもの、という思い込みがあったので。その時に、小学校時代に感じたドーパミンと同じ興奮があり、世の中の課題を解決できるという思いがリンクして、この道に賭けようと決めました。僕が好きなことでみんな困っていることを助けられるんだって。

上野：
　なるほど。岩佐さんの場合は最初からクラウドがあったわけですね。

岩佐：
　はい。だからこそ、業界の歴史とは関係なくスタートできました。アメリカでは Wiz のような企業が急成長していて、日本でも絶対にニーズがあるはずだと。ただ、日本の大企業のお客様と接していると、特有の課題を感じます。一人の担当者にあらゆるセキュリティ業務が集中していて、そこにクラウドセキュリティも加わる。非常にハードな状況です。

上野：
　それは文化の違いが大きいでしょうね。アメリカ人は「自分の身は自分で守る」ですが、日本人は「水と安全はタダ」で、誰かに守ってもらう文化。だから開発者一人ひとりがセキュリティに責任を持つ「セキュリティチャンピオン」のような考え方も、日本ではなかなか浸透しません。「それは誰かがやる仕事でしょ」となってしまう。これが、日本で DevSecOps が普及しにくい一因だと考えています。

岩佐：
　まさにその通りで、僕らが提供している価値は、単なるツールだけでなく、お客様と一緒にセキュリティ文化を醸成していくことにあると思っています。セキュリティ担当者が修正依頼をすると、開発現場から嫌がられてしまうこともある。だから、敵と味方ではなく、一緒に船の穴を塞ぐ仲間だという意識を共有して文化を創っていくことが僕らの役目だと考えています。

上野：
　文化の醸成は本当に重要で、かつ難しいテーマです。私も DevSecOps の教育講座では、最後に「セキュリティ文化の作り方」というのを 1 時間かけて話しています。いかにして興味のない人にセキュリティを自分ごととして捉えてもらうか。

岩佐：
　アメリカのセキュリティスタートアップ創業者に聞いた話ですが、アメリカでさえ CISO への売り込みは基本的にアウトバウンドで、問い合わせが来ることはほとんどないそうです。セキュリティは待っていても広まらないということを痛感します。

上野：
　日本のセキュリティ業界は、ロビー活動も非常に弱い。たとえば「情報処理安全確保支援士」の資格がないとやってはいけない、たとえばマルウェア解析のような業務を作るとか、そういう働きかけがもっとあってもいいと思うのですが。法律を動かすような動きがなかなか起きません。

岩佐：
　投資家から「なぜこのサイバーセキュリティ領域に他のスタートアップが出てこないのか」と聞かれたことがあります。もっと多くのプレイヤーがいてもいいはずなのに、と。

上野：
　プロダクト開発はやはり大変ですからね。私も自社製品を開発している企業の社外取締役をしていますが、プロダクトを軌道に乗せるのは本当に骨が折れる。海外製品と直接競合する場合特にそれは難しい。しかし、国産プロダクトがもっと増えてほしいという思いは、経産省なども持っていて、そういう流れを後押ししていきたいですね。

岩佐：
　優秀なエンジニアが日本にいるのに、海外に流出してしまうのは本当にもったいない。僕らもプロダクトを中核に、日本から世界に通用するソフトウェアを生み出せるような、そういう時代を作りたいと強く思っています。

上野：
　日本の企業は、技術を内製せずにとにかく SIer に任せてしまう傾向が強いですよね。技術は蓄積すればすごい資産になるはずなのに、外に出してしまう。

岩佐：
　まさにその「主権」を取り戻すことが重要だと考えています。これは、私が起業前にインターンをしていた、ある金融系の会社での経験が原体験になって生まれた考えです。

　その会社ではシステム開発を全て SIer に任せていました。たとえば、海外のプラットフォーマーが非推奨とした仕様でスマホアプリを開発して、その数年後にアップデート費用を請求されるといったことが日常的に起きていました。また、さまざまな修正依頼をすると、まず見積が来るだけで数週間かかって、開発が行われて実装するのは数ヶ月先、発注者ではあっても技術に関する主導権が存在しませんでした

　そこで私がインターンとして取り組んだことのひとつが、申し込みフォーム改善でした。ゴチャゴチャと理解しづらくて、いろいろ註釈も多くて、何より表示速度が4秒とか5秒かかっていて、改善点を書き出したら 50 項目を軽く超えました。私ともう一人のインターン生で、UIと表示速度の改善に取り組みました。2時間もかからずに申し込みフォームのモックができあがって、それを見ていただきながら改善を進めていきました。

　「申し込みフォームのここの文字ですがこうなりませんか？」そんなご要望をいただいて私たちがその場でどんどん直していくと「社内にエンジニアがいるといままで1週間かかっていたことがいまこの場で終わるんですね」と、とても喜んでいただいた顔がいまでも記憶に残っています。何よりも技術やテクノロジーがこんなに人の顔を明るくできるんだということが嬉しかった。

　UI を全部改善して表示速度も 0.1 秒以下にしたところ、コンバージョン率が向上して顧客獲得コストも下がりました。年間の売上にもプラスの影響があったということです。その成功体験をきっかけにその会社は、エンジニアを大量採用するようになって、今では金融会社というよりも IT ベンチャーのような組織に生まれ変わりました。

上野：
　すごい転換ですね。

岩佐：
　この経験から、小さな成功体験を作って積み重ねることの重要性を学びました。私はCloudbaseを使ってそういう体験を一人でも多くのユーザー企業の方に味わっていただきたいのです。壮大な計画は必ずしもうまくいかない。だからこそ Cloudbase はお客様が小さな成功を積み重ねられるような体験を重視しています。

上野：
　Cloudbase について、他の類似製品にはない強みを挙げるとしたら、それは何ですか？

岩佐：
　一言で言うと Cloudbase は「エスカレーター」のようなサービスでありたい、ということです。セキュリティは長い長い「百段階段」のように見えて、最初の一歩を踏み出すのが億劫になりがちです。そうではなく、プロのセキュリティエンジニアでなくても、乗っているだけで自然と重要なリスクから解決していける。いつの間にか富士山の五合目に着いていた。そんな体験を提供することが、我々 Cloudbase の根源的な価値だと考えています。

岩佐「いつの間にか五合目に着いているエスカレーターのようなサービスでありたい」（撮影：宮川舞子）

　たとえば Cloudbase は、スキャンで検出された膨大な設定ミスの中から、本当に危険な「即時対応が必要なリスク」だけを自動で抽出します。単に SSH ポートが開いているだけでなく「インターネットに公開されたサブネットにあり」「パブリック IP が付与され」「インスタンスにアタッチされている」といった複数の条件を満たした攻撃者が本当にリーチできるリスクだけを提示します。

上野：
　それは素晴らしいですね。トリアージする側の負担をかなり減らすことができます。脆弱性診断のレポートを渡されても、どれから手をつけるべきか判断するのは専門家でも大変です。その判断基準をツール側が示してくれるのは、一歩進んでいると感じます。

岩佐：
　ありがとうございます。その後の修正手順もコンソールのスクリーンショット付きで、日本語で丁寧に解説しています。ユーザー企業の方に「AWS のドキュメントよりわかりやすい」と言われることもあります。また、CVE ベースの脆弱性についても、悪用コードの有無などを加味する SSVC の考え方を取り入れ、自動で優先順位付けを行っています。

上野：
　診断ツールというよりもユーザーが「安全に運用したい」という本来の目的を達成するための支援ツールという思想が明確ですね。エスカレーターとはそういう意味なのでしょう。プロ向けの尖ったツールではなく、使う人に寄り添う「優しさ」を感じます。これが多くの企業に受け入れられている理由なのでしょう。

岩佐：
　日本のセキュリティ担当者の方々は、本当に多くの業務を抱え、インシデントが起きれば責められ、何もなければ感謝もされない。私の父も SE でしたが、休日も電話対応に追われながら大変そうにしている姿を見てきました。だからこそ、そういう方々を助けたいという思いが根底にあります。

　実は私、サッカーをやっていたのですが、ポジションがキーパーだったんです。それがいまの仕事にも活きていると感じています。

上野：
　ほう。キーパーですか。

岩佐：
　はい。キーパーとセキュリティ担当者はすごく似ていると思っていて。ミスをすれば点を失って責められる。ボールに飛びついてファインセーブをすれば賞賛されますが、実は本当に上手なキーパーって、ポジショニングが良くて、派手なプレーをせず淡々と正面でボールをキャッチするんです。でも、その地味な仕事はなかなか評価されない。

上野：
　非常にわかりやすいたとえです。インシデントが起きて、それを防いで初めて評価される、という危うさがセキュリティにはあります。

岩佐：
　そうなんです。だから僕は、その淡々とこなしている偉大な仕事を、経営層や他の部署の人にも分かるように翻訳し、スポットライトを当てられるような存在になりたい。そして「セキュリティは面白い」「技術って面白い」そういう文化を日本に作っていきたいんです。

上野：
　キーパーのたとえは初めて聞きましたが、深く納得しました。ご自身がキーパーだったからこその説得力がありますね。実は私もフットサルでキーパーをやっていたことがありまして。

岩佐：
　本当ですか！