(編集部註:本記事の文字数は全部で 8,943 文字あります)
訓読みなら「蔓延る(はびこる)」、音読みすると「蔓延(まんえん)」。通常この言葉がポジティブかつジャスティスな文脈で使われることなどまず無いと言っていい。
「~が蔓延る」「~が蔓延する」と言う場合、「~」に入るのは正義ではなく悪だし、あるいはコロナウィルスのような駆逐すべき対象である。このようにネガティブかつ広義にイリーガルな文脈御用達の言葉である。
だからこそ、かつて取材の中で Cloudbase株式会社の大峠 和基(おおたお かずき、写真)が、満面にさわやかな笑顔を浮かべながら「日本のセキュリティ市場には、外資系セキュリティ企業や老舗セキュリティ企業が蔓延っていて、独特な閉塞感を生み出しているので、それを変えていきたい」と語ったときは心底ギョッとしたのである。
発言の内容とは裏腹に、ネガティブなトーンは微塵もなく、まるで世直しのためにこれから諸国漫遊の旅に出る時代劇の若侍のような晴れ晴れとした表情だった。青い空そして白い雲。
大峠は Cloudbase株式会社に入社後、プロダクト開発の責任者を務め、現在は Cloudbase の導入・運用コンサルティングを行っている。
爽やかな笑顔には明確な根拠あるいはエビデンスがあった。大峠は「ミスター筑波大学」に選出されグランプリを獲得したというセキュリティ業界では異色中の異色中のさらに異色の経歴を持っている。ちくしょう。
話を戻すが、彼によればなんでも Cloudbase というプロダクトは、まるでタイムマシンのように機能するのだという。記者の理解をおおざっぱに書くと、Cloudbase に乗って過去へさかのぼって諸国の悪代官を成敗して歴史を改変し、日本の未来に輝きをもたらすらしい。??
断言してもいい。ScanNetSecurity 読者諸氏は何のことかさっぱりわからないに違いない。だが安心してほしい。俺も最初はさっぱりわからなかった。最後まで読めばきっとわかってもらえるはず。そう祈りながら書いている。
「自分はいつも、ひとつのテーマの研究を 2 ~ 3 年やっていると、その道の専門家と議論できるぐらいにはなるんですが、そこで満足して飽きてしまうのが悪い癖だと思っています」大峠が取材中に語った言葉だ。ちょっと待った。ヤバくはないかこの発言。なぜなら大峠が Cloudbase に来てもう 2 ~ 3 年は経っているはずだ。大丈夫かこの取材?
大峠が筑波大学で師事した教授がこんなことを言ったという。すなわち、学部の卒業論文を書けばその領域で日本の中で 10 名ぐらいには入り、修士論文を書けば日本の中で 5 名ぐらいには入れる。そして博士論文を書いて査読を通り学会で発表したり国際専門誌に掲載されれば、世界の中で 5 名ぐらいしかいない研究者になれる、と。
これは、学者として研究を進めるほど、領域が特化して希少性が高まるという一般的な法則である。通常は世界の中で 5 名ぐらいになったら、その後ポストドクター、助教、講師、准教授、教授とハシゴを登っていくのだが、大峠は何しろ途中で飽きてしまうのだから、天分がいかにあっても学者研究者の進路はなかった。
大峠は広島県出身の山口県育ち。高専でコンピュータサイエンスを学ぶも、地方で先端の学問を修める限界を感じ筑波大学に編入した。さきほど書いたが師事し所属したのは落合陽一研究室。
大峠は、落合教授の「鬼コース」と呼ばれる、通常の 10 倍の件数のレポート提出が課される授業を自ら選択する。そして、授業が終わった後も日々研究室に残り、野心的なテーマを設定して(どちらかというと教授に設定「させられ」)他の学生よりも過酷に実験や論文執筆に明け暮れる毎日を送った。
落合陽一が会社を作ると、まるであたり前のことのように初期メンバーとして声がかかり、学業だけでなく、R&D 会社の社員として研究や特許出願に明け暮れる日々を送った。大峠が関わった主な研究について尋ねると、人間の網膜に映像を投影する光学デバイスの開発を挙げた。まるでウィリアム・ギブスンやニール・スティーヴンスンの世界である。
もし大峠が研究者としてのキャリアを本気で追求できていたら、きっと国内外の大企業のラボや大学教員などいくらでもその道は開けたに違いない。しかし「飽きてしまうのが悪い癖」の大峠が選んだのは、新しい技術やコンセプトをビジネス化して、社会に、そして日本に、より大きなインパクトをもたらす道だった。
小学生の頃から動画編集をやっていたという大峠は、SNS にアップロードする動画に自動で文字テロップをつけるアプリケーションを開発、独立行政法人情報処理推進機構(IPA)の未踏IT人材発掘・育成事業に二度採択された。採択金額合計 1,230 万 4,000 円。福本伸行の世界ならこのお金を手にする過程で 5 人ぐらいはもうこの世にいなくなっている額である。
採択された研究の開発と製品化のために株式会社を立ち上げた大垰は代表取締役に就任する。これが 2020 年 1 月のことだ。ちょうど世界が何年間かそれこそ物理的閉塞をはじめた時期である。
アプリは一定の評価と手応えを得たものの、コンシュマー向けのサービスは爆発的にスケールしない限り、事業として継続的に利益を出し続けるのは難しい。「スケールするサービスとは一体何なのか?」それを学ぶために入社した IT 企業で出会った技術者が、のちに Cloudbase株式会社で VPoE を務めることになる人物だった。
「CTO や CPO として当社に来てぜひ腕を振るってほしい」大峠には一年中そんな声が多数の企業から寄せられる。その中でも Cloudbase にとりわけ大峠が興味を持ったのは、これまで大峠が開発してきたコンシュマー向けではない、企業や法人向けのプロダクトであることだった。
当然のことだが、B 向けのセキュリティプロダクトは、一定の単価で提供され、競合比較や検証を経て一度導入すれば(面白くなければその日のうちに顧みられなくなるコンシュマー向けアプリと違って)短くても二、三年の運用が行われる。
Cloudbase なら 自分の力のみでは実現できなかった事業成長の限界が越えられる。そんな実感を大峠は持ち、2023 年 1 月に Cloudbase にジョインする。だが実は、この挑戦は大峠にとって「セキュリティ三度目の正直」だった。
「たいていのジャンルで 2 ~ 3 年本腰を入れれば専門家と充分に議論できる」そんな大峠だったはずだが、彼に唯一と言っていいほど挫折の経験を与えたのがセキュリティの分野だった。それも二度も。
高専時代、大峠はセキュリティキャンプに書類を揃えて応募し、なんと落選している。
大峠はこれまでの人生でおおむね、自分がやってみよう取り組んでみようと思ったことなら、いつもすぐに頭角を発揮して、上位 1 %の評価をずっと受けてきた。大峠にとって、自分を落とすという仕組みがこの地球に存在することを知ったおそらくこれが初めての経験だったろう。
インタビューで大峠は「セキュリティは自分にとって、たくさんある興味の対象のひとつに過ぎなかったからそれほどショックではなかった」と精一杯強がって答えたが、だとしたら次の年にまたもう一度キャンプに応募したのは理屈に合わない。
選考の何かの間違い、あるいは非常に優れた応募者がたまたまその年に集中した、そんな理由で落とされた可能性もあるのでは。そう考えたのか考えなかったのか、翌年もう一度セキュリティキャンプに大峠は応募し、しっかり再び落とされている。屈辱の上塗りである。
もしキャンプに通るようなセンスや才能が大峠にあったなら、きっと今頃素晴らしい CTF アスリートとして活躍していた世界線に我々がいたのかもしれない。同じ筑波大学の先輩、福森大喜が憧れる「DEF CON Finals 優勝」という見果てぬ夢をともに追いかける。そんな別の青春もあったかもしれない。
だがキャンプに二度落ちたことは明確に大峠に良い作用をもたらした。「真の天才がゴロゴロいるセキュリティ領域や競技プログラミングではなく、自分はアプリケーション開発能力で戦おう」と早い時点(高専時代)で割り切って資源をそこに投入できたことだ。メキメキと成長し未踏プロジェクトに選ばれたのはこの判断によるところが少なくないだろう。
セキュリティで二度目の挫折感を味わったのは、その未踏プロジェクトの中だった。自分よりも何歳も若い高校生が、ソフトウェアの脆弱性を自動で見つけるソフトウェアを開発し、海外企業からたくさんのオファーが寄せられているのを大峠は横で見ていた。「自分には到底かなわない」と感じた。そんな、セキュリティの「真の天才」達に対して、自然な尊敬の念を大峠が持つようになったのもこの頃からだ。
Cloudbase は、クラウドコンピューティングまわりのセキュリティ対策管理製品として明確に「CNAPP」と標榜して自社開発プロダクトを作り始めた日本最初期の企業と言っていいだろう。Wiz のような優れた CNAPP プロダクトを生み出してユーザー企業を増やしていこう。そんな決意のもとで大峠は開発に加わったが、実状は大きく想像と違っていた。
以前の Cloudbase の取材で得たコメントにもある通り、そもそも日本には楽天やリクルートのような IT 企業を除けば、社内に専門の「クラウドセキュリティエンジニア」はまず在籍していない。日本のセキュリティ人材不足は深刻で、たった 1 人の担当者がオンプレからクラウド、端末管理までを兼任しているということも珍しくはない。彼らは複数の業務を兼務しているから一日中セキュリティ製品のコンパネを見ているなんてことはもちろんできない。
ここで、Cloudbase株式会社は企業としてかなり大胆な舵を切る。それはすなわち、セキュリティセンサーとしての精度やカバー範囲を向上あるいは拡大するより前に、リスクのある設定等が検知されてから、それが修正されるまでの間に存在する、日本企業ならではの様々なハードルや障害物を Cloudbase の UI や UX で解消していくという、プロダクトアイデンティティの再定義である。
そもそも日本企業の IT やセキュリティ管理者は、クラウドにもセキュリティにも詳しくない場合がある。にも関わらずハイブランド製品の多くは、クラウドにもセキュリティにもとても詳しい人向けに開発されている。たとえばアラートの詳細欄は、詳しい専門家に向けてあえて無駄な前提を省き、簡潔を旨として記述されている。そのため、詳しくない者の目にはとことん不親切なものに映る。そのアラートに対応するには何をどうしたらいいかさっぱり分からない、といったことが起こる。そこで Cloudbase は、アラートごとに具体的な確認方法や対処方法などをスクリーンショット等をまじえたドキュメントを準備した。また、テクニカルサポートではユーザーからの個別の質問受付も行う。
デザインも配慮されている。海外のハイエンド製品には、暗めの背景でコントラストの高いフォントを用いるような、一部のエンジニアにはとてもフレンドリーな UI も存在するが、Cloudbase は日本企業が使うブラウザに寄せたトーン&マナーにデザインを統一した。基調色は気持ちを明るくするオレンジ。さらにデスクトップなのかラップトップなのかタブレットなのか等、ユーザーの作業環境のウィンドウサイズまで明確に意識して、最適で見やすい UI になるように設計している。
この Cloudbase のデザインは、独立行政法人情報通信研究機構の「DAEDALUS」や、セキュリティ堅牢化競技会の「ハードニング競技会」などと並んで、グッドデザイン賞を受賞している。グッドデザイン賞審査委員の評価コメントは「従来複雑で専門家向けであったクラウドのセキュリティ管理を、誰でも行える工夫が高く評価された」である。
正直言わせてもらうが「対処のドキュメント」も「見やすく使いやすい UI 」も別に何ら新味などない。どんなプロダクトも頑張ってやっていることだ。ただしこれを Cloudbase株式会社は、全社員が滝に打たれるように徹底的かつ執拗にやった。また、明確にターゲットを「日本の大企業のセキュリティ管理者」に絞った。結果的にこれが当たった。
第一号顧客となった自動車会社は、セキュリティスキャナーとしての機能は他社製品と比較するべくもない(スキャン機能がそれほど高くないという意味)が、社内で DX を推進するにあたって、セキュリティ運用内製化のための利便性がかつて見たことがないほど高いことを理由に、スキャナーとしての未熟さをも「未来の伸びしろ」として評価し契約している。これは新しいビジネスモデルといっても、必ずしも大げさではないかもしれない。
これまで日本企業においてセキュリティプロダクトとは極めて「員数(いんずう)合わせ」的にスペックを評価されて、選定もされてきた歴史を持つ。
「員数(いんずう)」とは、その組織が満たすべき「メンバーの数」「設備や機器の数や種類」等のことで、員数合わせ的な発想だけにとらわれると、質の相違を吟味せず、スペックだけ必要とされるものを揃えてとりあえずつじつまを合わせる行動を生む場合がある。
たとえば、「検知できる脆弱性は多ければ多いほどよい」というのが、員数合わせの典型だ。対応している製品の幅、照合しているハッシュ値の数、そういった目に見える「数」は、売る側にとっては説明しやすいし、買う側は上申の根拠にしやすい。だが、検知できても容易に直せないものや、優先順位を判断できないものをいくら数えても、セキュリティは一歩も前に進まない。その結果、将来の運用が大事なのにも関わらず、表層上の目に見える項目だけで選定が行われ、導入現場でミスマッチが起こる。
正直ここの力学には、たとえ猛烈に忙しいのは事実だとしても、発注側がサボっているという事情もある。しかしそれには本稿では触れまい。
とにかく買う側がこういう状況であるからして、商社やリセラーは、カタログスペックが高く網羅的に機能を提供する製品でないと扱わない、というか扱えない。売れないから。だからどうしたって Palo とか Tenable のような超高性能のセキュリティにおける LVMH のごときグランメゾン(大規模で歴史と影響力のある高級ブランド)の製品を主に扱うようになる。
しかし先に書いた通り Palo の、情報がぎっしりのコントロールパネルを眺めて意味がわかる、あるいは眺める時間の余裕のあるセキュリティエンジニアがいるのは、楽天やリクルートなどごく一部のトップクラス企業に過ぎないのである。
よりいっそうの高額な固定費が必要となるマネージドサービスを除くと、そのギャップを埋める製品なりサービスは日本にほとんど存在しない。それにそもそもマネージドサービスに依存するとデジタル領域における主権確立の障害となる。
以上が Cloudbase が掘り当てた「金鉱」の正体である。
箇条書きで整理しておくと、
・ 大手外資コンサル等に大枚はたいて作らせた製品やサービスの横並び比較表を見てしまうと、どうしたって会社の偉い人は Palo とか Tenable のような高級品を採用しがち
・しかしそういう高級品は CDI や HISOL から引き抜いた超腕利きのセキュリティ技術者でも社内にいない限り、まともに運用するのは困難
・実際の攻撃被害がほとんど起こらずに要はアリバイ工作だけをしていれば事足りた時代はそれでも良かったのだが、現在はちゃんと運用しないと、いつ我が社の工場やビジネスが止まるかわからないといった差し迫った状況にある
・しかし運用につきあってくれるようなセキュリティ企業は外資には少なく、大手町 平河町 水天宮等のマネージドサービスを利用できるのは一握りのブルジョワだけ
・そのため、たとえ性能が高級品より見劣りしても、UI や UX で運用を支援する製品があったらきっとニーズがある
こうして、高いスペックでは必ずしもない製品でも、目の肥えた大企業を顧客とすることが可能だということを Cloudbase は証明してみせた。これはブルーオーシャンと呼べるかもしれない。付記しておくと、Cloudbase は自社開発プロダクトだから、顧客からリクエストされた機能のアップデート速度は海外製品と比べ物にならない。
そして、大峠がプロダクトの改良と進化を進める過程で気づいたことが、日本の大企業に存在する「空白地帯」と「空洞」の存在だった。たとえば「高性能な脆弱性検出製品を導入したけれどちゃんと運用できているとは到底言えない」これは、よく大峠が顧客から聞いた言葉だ。これは管理上の「空洞」である。また「導入を検討はしているが通常業務で手一杯でできていない」とも言われたという。これはそもそも必要性があるとコンセンサスが取れているのだが、諸事情で製品が導入されていない「空白地帯」である。
今後 Cloudbase は、既存機能と親和性が高いセキュリティ対策領域を取り込んで、現在の CNAPP 製品としての Cloudbase をいずれプラットフォームとして機能させていくことを目指していくという。つまり、クラウドセキュリティ「以外」の領域のさまざまなセキュリティ対策のカテゴリを取り込んでいくということだ。2025 年秋に追加された SBOM 機能はそのような観点から選ばれたものである。SBOM に見えるが機能的には検知した脆弱性のトリアージ機能を備えており、SBOM であると同時に脆弱性スキャナーとして機能する製品である。
「Cloudbase に任せれば、たとえ外資製品と比べて網羅性や検知機能が限定的でも、きっちりセキュリティ運用を自社で内製化してセキュリティの主権を自社の手に取り戻すことができる」顧客から勝ち取ったこの圧倒的な支持を足場として Cloudbase は、過去 30 年営々と積み重ねられた、さまざまなセキュリティ領域に対して、時間をさかのぼりながら侵襲を試みる。これが Cloudbase のタイムマシン経営の正体である。
インタビューの中で語られた該当部分を、最後にそのまま引用する。
「そもそもセキュリティベンダーというのは、閉塞感というか、閉じた感覚が私の中でもともとイメージとしてありました。昔からいる大手がはびこっている世界という印象です。それこそ Palo Alto さんとか Tenable さんとか、そういったもう何十年もやっているような老舗が日本でも市場としてシェアを持っていると」
「その中で Cloudbase の良さは、クラウドという切り口から入っているのが非常に面白くて、それまではサイバーセキュリティ分野にゼロから入ろうとすると、なかなか歴の長い外資に打ち勝つというのは難しかったんです。弊社の創業エンジニアはクラウドネイティブ世代で、オンプレサーバを運用した経験もなかったくらいです。でも、それが功を奏して、クラウドに関する知識は群を抜いて豊富だった。だからこそ、比較的まだ新しい技術のひとつであるクラウドセキュリティから、サイバーセキュリティの世界に挑戦することができたんです」
「今度は、そこからタイムマシンを逆に行くように、脆弱性管理やネットワーク診断のような従来やられていたセキュリティ領域に踏み込んでいく。このやり方が非常に面白いと思いました。当然、クラウドの部分でちゃんと土台を作らないと、横の分野に染み込んでいくのは難しいんですが、クラウドセキュリティで一定のプレゼンスが出せてきたというところを軸にして、今度はこれまで 30 年外資がやってきたところに対して徐々に染み出していくというところが面白さとしてありますね」
大峠に朗報があるとしたら、セキュリティにはまるで、高級ホテルの朝食バイキングのように山ほどの対策領域が存在することである。冒頭で「諸国漫遊の旅に出る若侍」と書いた理由だ。各地の名産品食べ放題である。いかに大峠といえども当分飽きることはあるまい。
取材中、終始明るいさわやかな笑顔で対応してくれた大峠だが、こうした聡明な、聡明すぎる若者に今の日本や日本社会がどう見えているのか怖くて想像できない。親や先輩世代が「社畜」と呼ばれるほど虐待的に働かされた結果は、30 年間にもわたって時給も給料もほとんど上がらないディストピアだった。出生数が上向く兆しはなく、戦後に整備された各種インフラは次々と耐用年数を迎える。GDP はかつての世界 2 位から、まるで肩を落としてとぼとぼと階段を下りるかのごとく、ゆっくりと下降を続けている。
恐らく大峠にとって現在の日本は、どちらに進んでも「死に筋」しか見えない無理ゲーのダンジョン、あるいはデスゲームに映っているのではないか。だからこそ大峠和基 29 歳が本誌取材に目を輝かせて語った「勝ち筋」に記者は心を動かされた。共感しないでいることが非常に難しかった。
Cloudbase の導入企業一覧を見ていると、錚々たる日本の大企業のロゴがズラリと並んでいる。その大企業の顧客達はひょっとしたら、セキュリティ内製化を支援する Cloudbase の新しい力以外にも、大峠が確信している「 DX 時代の日本企業の勝ち筋」という未来をも買っているのかもしれない。もしそうだとすればサイバーセキュリティ史上おそらく初の「ユーザー企業に夢をも売るセキュリティプロダクト」がここに誕生したことになる。
