台湾のセキュリティ企業 CyCraft の CEO 兼 共同創業者 ベンソン・ウーをインタビューしていると、ポジティブなエネルギーがマグマのように伝わってくる。どちらかというと日本のセキュリティ業界では、オラオラ系の営業の人を除いて、おおむね情熱とは「心の中に秘めるもの」であり、だからこういう人はとても珍しい。
勝手にこんなことを書くと、本誌編集長上野宣に怒られるかもしれないが故山口英先生のパワーやエネルギーを少しだけ思い出した。
何しろ「台湾は世界で一番級に天然資源に恵まれており、それを超有効活用して作った最高最強のセキュリティプロダクトが CyCraft である」というのが CEO としての彼のセールストークなのだ。
天然資源とは何か?
● 優れたサイバー攻撃の教師データが集まる台湾
各種センサーが検知した情報を分析して、脅威ハンティングやインシデント対応を AI で自動化するのが CyCraft 製品だが、ベンソンのいう天然資源とは、その AI に教師データとして与える、高度で洗練された、なんなら長期間持続し執拗ですらある様々なサイバー攻撃のことだ。良い教師データは AI プロダクトの成長と進化に不可欠である。最も重要な材料のひとつと言ってもいい。
これがマルウェアの検体なら、たとえば Avast のような無料アンチウイルスを世界中に配付して収集している会社から、一定の手続きを経て購入することができる。しかし、高度で継続的なサイバー攻撃のデータを売ってくれと探しても、そんなものが買えるお店は世界のどこにもありはしない。
売ったら意味がなくなるし、時としてすごい国家予算や人的工数をかけて製造されている。もし値をつけるとしたら間違いなく貴金属やレアメタルの十倍、百倍、千倍になることもあるかもしれない。なにせ場合によってそれは国にとって一種の「防衛装備品」ですらあるのだから。
つまりこういうことだ。
一円も払わずただ座っているだけで、お金と時間とおそらくは情報工学の秀才や博士の頭脳を惜しみなく注ぎ込んだサイバー攻撃の教師データが手に入るなんて、棚からぼた餅、いやさ、まるで空からダイヤが降ってくるようなもの。なんて世界は素晴らしいんだ。What a wonderful world !
ネガティブに受け止める以外道がないと一般的には考えられている現実に対して、技術的にそして製品や組織を用いて、ここまで正反対にポジティブ側に裏返してみせたベンソン・ウー、そして CyCraft という会社には暗いトンネルを突き抜けた爽快感を禁じ得ない。
● 株式店頭公開とその後のロードマップ
しかも CyCraft は企業としての成功をもつかみ取ろうとしている。2025 年の年末、同社は TSMC、ASUS、ACER、Foxconn、HTC などデジタル先進国台湾のハイテク企業がひしめく台湾証券取引所に株式を店頭公開する。株式公開を機に同社は、日本市場にこれまで以上の投資を行い、株式会社CyCraft Japan の採用人数を増やすほか、これまでの NTTグループや日立システムズなどと進めてきた大手日本企業との協業の強化を行う。
また、日本のセキュリティスタートアップとの協業、そして他国と比べると多いとはいえない日本のセキュリティスタートアップへの投資や支援を行うことも視野に入れているという。
近年、GSX によってセキュリティ事業に特化した投資ファンドが作られたり、GMOグループが全グループ的にセキュリティファーストの企業姿勢を猛烈に示すなど、日本のセキュリティ業界に新しい風が吹きつつあることは喜ばしいが、現在のアメリカとイスラエルのセキュリティ企業や製品を太い中心軸とする日本のサイバーセキュリティの枠組みや選択肢に、新しいプラスのインパクトを与える日が近づいている。
2025 年 5 月 16 日、株式会社CyCraft Japan は同社にとって節目となるこの 2025 年、東京銀座の GINZA SIX で、ユーザーとパートナーに向けたプライベートイベント「CyCraft Day」を開催した。
CEO 兼 共同創業者のベンソン・ウーをはじめ、CISO 兼 共同創業者の PK・ツンが登壇し、日本市場と日本の顧客への感謝と今後のロードマップ、そして進化を続ける CyCraft プラットフォームのアップデート、そして今後のパートナー連携などについて情報共有が行われた。
● 台湾駐日経済文化代表処 副代表が登壇
CyCraft Day では、台湾駐日経済文化代表処から蔡 明耀 副代表が来賓として登壇し、台湾政府が重点的に育成するサイバーセキュリティ領域を代表する企業である CyCraft と今後の日台関係の発展への期待をこめた挨拶を行った。
さて「どうやらこの記事はここらあたりから少しつまらなくなるな」ときっと ScanNetSecurity 読者なら思ったことだろう。なにせ会社の節目を記念したイベントである。登壇する人物はたとえネタを持っていたとしてもあまり攻めた講演はできない。
ところがそうではなかったので記者も少なからず驚いたのである。
● CODE BLUE 皆勤賞と、日本の顧客やパートナーを年間 200 社訪問
基調講演に登壇したベンソンは、2017 年に台湾で CyCraft を友人のハッカー 3 人(編集部註:ベンソンと PK とバードマンの 3 名)で起業して、2019 年に日本に支社を立ち上げた際、林 彦博と出会いすぐに友人になり、林から「日本でセキュリティの会社をやっていくんだったら CODE BLUE っていうイベントがあるから、絶対そのスポンサーになるといいよ」と教えてもらい、それ以来 CODE BLUE の支援企業に名を連ねるようになったことを、講演の冒頭の冒頭で語ったのであった。ハートのあるアイスブレイクだった。
試みに調べてみたところ、2019、2020、2021、2022、2023、2024 と、2019年以降見事に CODE BLUE スポンサーの皆勤賞を果たしている。こうしたコミュニティ活動を、記念すべき(同社としては日本で初の)プライベートカンファレンスで CEO が述べるなど、通常はあまり見かけない姿である。CODE BLUE 事務局の kana さんが泣いて喜ぶに違いない。比喩ではなく間違いなくあの人は本当に涙を流す。
日本でのコミュニティ活動、そして事業活動の中で、SecureBrain(当時)COO 山村 元昭と出会ったベンソンの話も印象に残った。ベンソン曰く「山村さんとは完全なバディになった」という。
単なる業界への大文字の「貢献」ではなく具体的な人と名前と顔、そして共に取り組んだ数々の挑戦が彼の目に浮かんでいることが講演から伝わってきた。
日本のセキュリティコミュニティへの貢献だけではない。カンファレンス開始前の時間を調整して実施された本誌による対面インタビューで得た情報によれば、ベンソンは日本企業の顧客やパートナーの要望に合わせて製品を改良していくため、平均で 1 年に約 200 社(!)の顧客やパートナーを、ベンソン自身が訪問して話を聞く機会を持っているという。
一年 365 日といえど営業日は約 220 日程度しかないわけで、営業なり何らか足で稼ぐ仕事をしたことが一度でもある人なら、年 200 訪がそれなりに重い数字だとわかると思う。2025 年に新卒で入社した日本人の社員に年 200 件顧客訪問しろなどと指示したら、その日の午前中のうちに退職届が退職代行サービスから届きかねない。
品質の高さで世界的定評のある日本企業の意見を聞くことで、日本の文化や企業文化を吸収し、CyCraft 製品が良くなったとベンソンは語った。
製品そのものには十分な自信が最初からあったのだが、それを顧客に有効に活用してもらうためのインターフェースや、サービスを向上させるための工夫に、日本企業の意見が役に立ったという。特に取扱説明書の構成や書き方などについて、日本のユーザーやパートナーからの指導があったことで格段に改良されたと例を挙げた。
● “台湾有事、日本無事”
既知の人も多いと思うのだが改めて書いておくと、CyCraft は 2017 年に、国際的に認知されている国際セキュリティカンファレンス HITCON の創設メンバーであった Benson Wu(CEO 兼 共同創業者)、Birdman(CTO 兼 共同創業者)、PK Tsung(CISO 兼 共同創業者)の 3 人のハッカーによって立ち上げられた。
生成 AI の大ブームが訪れる以前から AI に着目し、2020 年には MITRE ATT&CK フレームワークに沿って行われた世界各国の 21 のセキュリティ製品の評価で、検知分野で最高スコアを獲得するなど、一等地を抜けた技術力を見せつけている。
「次の TSMC」すなわちグローバルで圧倒的存在感を示す台湾の半導体産業に続く産業としてサイバーセキュリティを位置づける台湾政府は、CyCraft を高く評価し支援しており、会場のスクリーンには蔡 英文 前総統と頼 清徳 総統という 2 人の台湾の総統とベンソンらのツーショット写真がスライドに投影されていた。台湾が猛烈に推すセキュリティスタートアップ、それが CyCraft である。
台湾も韓国同様に、国産のセキュリティプロダクトを政府や大企業が積極採用することで、攻撃の一次情報を収集蓄積し、加えてユーザーからの声を反映しそれを積み重ねて製品を改良していく方針を明確にとっている。現在、CyCraft 製品は、中華民国外交部のような「公共機関や重要インフラ」、台湾銀行のような「銀行及び金融インフラ」、そして TSMC のような「半導体産業」に、それぞれ 300 を超える組織への導入を果たしている。
勘違いしないで欲しいが、これは必ずしも CyCraft の普及率やシェアの話だけをしているのではない。そうではなく、こうした選りすぐりの知財や機密が集積する組織や機関に対して、豪雨のように降り注ぐさまざまなサイバー攻撃が AI によって学習され、製品に検知ロジックとして反映され、それがすぐ日本を含む世界中の CyCraft 製品ユーザーに水平展開されるということをこそ言いたい。ベンソンはこの仕組みをややユーモラスなニュアンスを込めて「台湾有事、日本無事」とスローガン的に呼んでいる。
CyCraft によれば台湾で検知した新しい攻撃が数週間後、あるいは 1 ~ 2 ヶ月後に日本で検知される現象が確認されているというが、台湾では最初の攻撃でも日本では2度目以降なので、その攻撃は防げるという意味である。
「だから台湾の不幸は日本の幸福なんです」と笑顔で語るベンソンの姿を見ていると、ネガティブをポジティブに瞬時に変換してみせる持ち前の発想力とセンスを再び感じずにはいられなかった。
●都内中小企業 100 社への導入
MITRE ATT&CK フレームワークの評価で検知分野で最高スコアを獲得した技術力と、日本だけでも年間に顧客 200 社を訪問する企業姿勢のふたつに加えて、CyCraft 製品の 3 番目の強みは、米・イスラエルのハイエンドプロダクト等と比較した一定の「値頃感」である。
講演でも紹介されたが、それこそパートナー企業と「バディ」を組んで、東京都内の約 100 社の中小企業に対して CyCraft 製品をマネージドサービスとして導入することが成立した理由のひとつには、間違いなく CyCraft 製品の価格帯の優しさがある。
● CyCraft Academy 他のパートナー支援内容
次に登壇した CISO 兼 共同創業者の PK・ツンは講演で、攻撃が起こる前に対応し「戦わずして勝つ」というコンセプトのもと、CyCraft XASM AI の先制的リスク管理について紹介し、一部デモも行われた。
また、販売パートナー向けの取り組みとその成果についても、顧客数が増加しているにもかかわらずサポートチケットが切られた数が、前年比約 2,000 件減の 3,473 件であったことを、サービス効率向上の証左として挙げた。
今期の第一四半期からは、パートナー向けトレーニングプラットフォーム「CyCraft Academy」を開始している。また、EDR、IASM、EASM をひとつのプラットフォーム XCockpit に統合したことなどが報告された。
● 自然言語対応 LINE チャットボット「Crafty」
また、CyCraft Day 開催にあわせてお披露目されたばかりの、同社開発「 AI セキュリティサポーター Crafty 」も紹介された。Crafty は自然言語に対応する LINE チャットボットで、セキュリティに関わる質問を投げると、特定の機器に関わる脆弱性情報や、セキュリティ関連ニュース要約などを提供する( Crafty リンク:https://go.cycraft.ai/craftyjp ※LINE友だち追加のQRコードが開きます)。
本稿執筆時点での Crafty の性能はまだ発展中のようだが、代理店にそそのかされてさして役にも立たないマーケティングのオモチャを CyCraft のような会社がわざわざ作るとは考えづらいから、今後の機能拡充に期待したい。それこそ山村の SecureBrain が Web で提供するサービス「GRED」のように、セキュリティ業務にバリバリ使えるツールにいつか成長する日が来るかもしれない。
--
2020 年にオンラインで取材して強く記憶に残ったベンソンに、5 年後の 2025 年にフィジカルで対面して取材する機会を得て抱いた感想は、この人は必ずしもセキュリティを、ビジネスだけとして考えてなどいなかったのではないかということだ。
「自分の国は自分で助けなきゃ」
「わたしが起業しなければ現状は変わらないと思った」
カンファレンス開始前の本誌による個別インタビューの冒頭で記者が投げた「起業のきっかけは?」という質問に対して即座にベンソンから返ってきた回答がこれだった。
つまり「将来の成長領域産業はどれかな」「どれにしようかな」と選んでセキュリティをピックアップして、さらに「企業価値を高めるプラスアルファはないかな」と情報収集して「そうだ AI だ! AI を活用してサイバーセキュリティの会社を作ったら、その会社の株は『サイバーセキュリティ銘柄』でもあり『AI 銘柄』でもあるからもうウハウハだぜ!」そんな計算とは別個にして真逆の、志なり決意が 3 人にあったに違いない。
AI を製品のコアとして採用したのは 2017 年当時、蔡英文総統が AI を国防に活用していくことを決定し、組織や体制づくりに動き出していたことがひとつの理由だ。
しかしもうひとつの理由は、どんな素晴らしい名医がいても世界中の人を診察することはできないように、サイバーセキュリティの世界では専門家の数は有限である。しかし頼りになる AI のエージェントを作ればセキュリティ専門家の数は無限になる。資源も人も必ずしも豊富ではない台湾(ちなみに日本もこの条件にかなりあてはまる)だからこそ生まれた、ベンソンらしい逆転の発想だった。
そもそも設立 2 年で日本に支社を作るという発想が単なるビジネスでの成功の野心しか持ち合わせのない者にはなかなか出てこない発想だ。設立直後の海外展開などまっとうな判断なら両方ダメになるリスクが考慮されて実行されることは少ないだろう。
日本で上場して、さしたるアイデアも戦略もそもそもやる気もないまま、ただ機関投資家に攻め立てられ海外に進出し米国支社などを設立するも、鳴かず飛ばずで傍目にもションボリしている日本企業を見かけるが、CyCraft はここのところの順番が逆である。
設立 2 年で東京に支社を設け、日本と台湾のセキュリティコミュニティ活動にも積極的すぎるほど連携する。ここには「東アジア圏にサイバーセキュリティの安全なエコシステムを立ち上げる」という明確かつ積極的な意思を感じる。
今後 CyCraft が日本にどんな新しい風を吹き込んでくれるのかについては、CyCraft のユーザー企業でなくとも、CyCraft のパートナーでなくとも気になることに違いない。
対面インタビューの最後でベンソンは、現在セキュリティプロダクトには約 50 程度のカテゴリーが存在しているが、CyCraft が AI で自動化できているのはまだ 4 から 5 の製品カテゴリーに過ぎない。いずれ 50 領域を全て CyCraft が AI で自動化して、あらゆるセキュリティ運用を人間がいらない世界にしたいと語った。
「わたしの仕事がこの世からなくなるのが夢です」CyCraft CEO 兼 共同創業者 ベンソン・ウー
