Cloudbase株式会社 代表取締役社長 岩佐 晃也(いわさ こうや)を取材していた記者は、思わず「 YouTuber かよ!」とツッコミたくなるのをぐっとこらえた。
同社は来る 3 月に開催される Security Days Spring 2026 に「社運を賭けて」臨んでおり、大きい予算を投じてそれに見合った目標を設定していると語り、もしその目標を達成できないときは「経営陣がみんな坊主になる気概で臨んでいる」と岩佐が真顔で宣言したからだ。
これは、取材慣れした企業トップが使う「全社一丸となって」「総力を挙げて」といった、覚悟がありそうで実は何も言っていないのと同じの空っぽな定型句ではない。「坊主になる」とは、妙に生々しいがユーモラスでもあり、しかし本気度が伝わる表現だ。
Cloudbase株式会社は 2019 年 11 月、当時京都大学に在籍していた岩佐らが創業した国産 CNAPP(Cloud Native Application Protection Platform)ベンダー。AWS、Azure、Google Cloud、Oracle Cloud などのパブリッククラウドのセキュリティリスクを検出し、修復までを支援する「Cloudbase」を開発・提供している。
スズキ、ENEOS、キリンホールディングスなど日本の名だたる大企業が続々と採用し、「日本企業による日本企業のためのセキュリティ製品」として存在感を急速に高めている。
● コンセプトは RPG(ロールプレイングゲーム)
今回の Security Days Spring 2026 で Cloudbase は、RPG(ロールプレイングゲーム)というコンセプトを打ち出すという。セキュリティ担当者を RPG の冒険の勇者になぞらえるというコンセプトだ。
取材で会う社長の中には気難しい人もいるため「RPGとは最高ですね! 世界観が一気に立ち上がる感じがします!」と、まるで生成 AI のような全肯定コメントを脊髄反射で放ってはみたものの、この手のコンセプトに記者は猛烈な既視感があった。
これまでもロールプレイングゲーム的世界観を受容した、パソコンやソフトウェア、IT サービス等の PR キャンペーンをどこかで一度か二度くらい見たことがないだろうか。
たいていは企画者なりの「情報システム部門なんて全員、どうせ小中高大と日陰者だったオタクなんだから、こういうのを出しておけば喜ぶんだろ」という軽侮(軽んじて小馬鹿にすること)の念が、ありありとすけて見える底の浅いものばかりで、クリエイティブのクオリティが高ければ高いほど逆に「ああ嫌なものを見た」「ほんたう(本当)に嫌なものを見た」と、後からじわじわ来るものばかりだった。
そもそもそうしたキャンペーンの多くが、RPG の面白さを十分に理解していないと感じることが多い。思いも寄らぬ方向から弾丸が飛んでくる気がしつつも、記者なりにRPGの楽しさをまとめると、物語や世界観、仲間との出会いとチームワーク、ミステリー要素や謎解きなど多層的だが、とりわけプレイヤーをゲームに没頭させ続ける快楽のコアにあるのは、レベルが上がったり装備が更新されたりすることで、それまではできなかったことが可能になる瞬間の高揚感ではないか。装備や成長によって戦局が一変するあの痛快さを再現しようと努力しない限り、単なる記号消費に終わってしまう。
そうはいっても Cloudbase がやるのだから、情報システムやセキュリティ担当者へのリスペクトがないなどということは絶対に無い。だがいずれにせよ「セキュリティ担当者が勇者」で「セキュリティ企業は盾などの防御装備を提供」するという、新鮮味のかけらもない聞き飽きた退屈な話が続くことを予想した。
だが岩佐の話は想定の斜め上をいく内容で、記者の予想を完全に裏切った。
● 「武器屋」という立ち位置の美学
「僕たちは盾のような防具を提供するんじゃないんです。Cloudbase は勇者に(ここで 1 秒くらい間があって)、武器を提供する『武器屋』なんです(岩佐)」
趣旨を整理すると、多くの英雄譚などの物語で主人公は、最初は自分の資質に気づいていないことが多い。それどころか村の中で「不吉な子ども」「災いを呼ぶ存在」などとされて忌み嫌われていることすらある。しかしある日、何らかのきっかけによって育った村を出て、仲間に出会い、世界を巡り、段階的により大きなモンスターを倒したり、より大きな課題を解決していき、最終的に世界を救う。
岩佐によればそれこそがセキュリティ担当者の姿なのだという。
情シスやセキュリティ担当者は確かに、事業部門の効率を落としかねない面倒くさいセキュリティ運用を現場に課してきたりする点で「災いを呼ぶ存在」と同僚から見られることもあるかもしれない。
また、「一人情シス」だなんだと消耗しきっているし、たとえ 100 回インシデントを全力で防いでも、それは「起こらなかったインシデント」だから当然誰からも評価されず、しかし 101 回目にインシデントがたった一度でも起こると「あいつが悪い」とばかりにスケープゴートにされる。これが世に言う「 CSO とは Chief Scapegoat Officer の略だ説( by 神吉敏雄)」である。
「セキュリティ担当者は、普段は誰からも感謝されないけれども、何万人、何十万人が働く会社を支えています。たとえば自動車を作るような会社なら、社員やサプライチェーンの企業群、時にエンドユーザーまでも間接的に支えていると言えます(岩佐)」
● 成長に合わせ「最適なタイミング」で「最適な武器」を届ける
その勇者たちに対して武器を渡すという真意は一体何なのか。
「たとえば僕らが回復魔法を使う仲間として勇者の旅に加われたらいいんですけど、それはおこがましい。セキュリティは運用が一番大変で、それは勇者にしか成し得ないことです」
「僕たちは武器屋で、最初の村では『棍棒』のような武器を、少し進んだら『ちょっといい棍棒』を、もっと進んだら『鉄の剣(つるぎ)』のような武器を段階的に提供します。勇者の成長に合わせて最適なタイミングで最適な武器を届けるのが Cloudbase です。たとえば旅に出て訪れた最初の村で、いきなりレベル 99 の勇者向けの『聖剣エクスカリバー』のような武器を売りつけられても装備できませんからね」
「盾」ではなく「武器」。知らず知らず話に引き込まれた。そう考えるとなぜか気持ちが明るくなる。なぜだろうか。
世の中の「セキュリティ=盾」という比喩は思考停止の産物ではないかと長らく薄々思ってきたがそれが本稿で言語化できたのはこのインタビューを経たからだ。盾の比喩が好まれる理由は単純明快で「安心に聞こえ耳ざわりが良い」からだ。要は「守ってくれそう」「受け止めてくれそう」であり、イコール「責任を肩代わりしてくれそう」ということだ。
だが、現実のサイバー攻撃の相手は、盾の前に正対して一礼して正面から切り込んでくるような礼儀正しい騎士でもサムライでもない。犯罪組織だったり、ときには PISA ランクで日本の名門大学よりもはるかに上の大学で情報工学を学んだ国家公務員( State Employed Hacker )だったりする。
攻撃者が狙うのは、背後、側面、内部、誘拐身代金要求 等々、あらゆる隙を突く非対称戦だ。だからある意味で、盾を構えた瞬間そこにはすでに負け筋が内包されている。
● セキュリティは被害者の物語ではない
岩佐の言う「武器」という比喩がフレッシュに響いたのは、セキュリティ対策を通じて「攻撃者の行為を変質させる」という点を捉えていたからだ。RPG における武器は単にダメージを与える道具ではない。相手の攻撃力を下げたり、自分の手数を減らして体力を温存したり、最終的に敵が戦う意欲そのものを奪う道具である。
サイバーセキュリティは攻撃が非対称であるため全ての方向に盾を構えることなどできない。だからやるべきことは、攻撃を全部防ぐことではなく、「攻撃に時間がかかり」「成功確率が低く」「途中で検知され」結果的に「成果が割に合わない」ような自分に有利な戦場の地形を設計し作ることだ。
かなり大げさな言い方をあえてすると岩佐は日本のセキュリティを再定義しようとしているとすら感じた。岩佐が気づいた「セキュリティは被害者の物語ではない」という視点を記者が取材で手渡されたからだと思う。「盾と武器の違い」を通じて、セキュリティが受動から能動へ引きずり出された。
もっとも大事なのはここからだ。「武器」という比喩が成立するには、当然のことながら武器を振る「主体」が存在しなければならない。自動で全部やってくれる防御壁や魔法の盾ではなく、意思と判断力を持つプレイヤーが装備し活用(運用)する武器、すなわちしっかりと手でホールドして振り回して、敵に狙いを定めて急所を貫く。主体はあくまでユーザーにあるのだ。これは責任の所在を曖昧にしない岩佐の考え方でもあろう。
● 挫折を量産する産業
セキュリティ製品を売るセールスパーソンは、予算があると見るといきなり「聖剣エクスカリバー」のプレゼンテーションと見積を机に叩きつける(必ずしも全員がそうではありませんが)。重量、切れ味、聖剣にまつわる数々の伝説( Magic Quadrant などの評価、受賞歴等々)。とにかく強そう。実際強い。ホントに強い。テクノロジーもすごい。楽天とかリクルートテクノロジーズのセキュリティ部門の人ならきっとバッサバッサと強力な魔物を斬りまくる。
しかし、世の誰もがそれを装備して戦えるかどうかは別の話だ。かくして大枚払って購入してもろくに装備できないし持ち上げるのもままならない(運用が回せない)かわいそうな勇者が誕生する。それを見るやいなや「熟練の剣士がかわりに戦う(マネージドサービス)」という次の見積が出てくる。このように責任の置き場所は常にセキュリティ企業が決める。
岩佐の勇者と武器のたとえのもうひとつの優れた点は、能力の向上と成長曲線を前提にしている点だ。冒険に出たばかりの勇者は、筋力も、命中率も、戦闘経験もない。その段階で聖剣エクスカリバー級の高度な武器を渡したとしたら、それはもはや「成長の支援」ではなく単なる「挫折の量産」である。これが現在エクスカリバーの稟議を出せる予算を持つ、少なくない企業の現場で起きているかもしれないことだ。
● 弱くてもダサくても勝つことが最高の経験
聖剣に比べると棍棒は「弱い」「安い」「ダサい」「モテない」。だけど、まだ細い自分の腕でも振れるし、たまには敵に当たるし、弱い敵が相手なら稀に勝てる。この「勝てた」という経験、昨日までできなかったことが可能になった瞬間の高揚感を得て初めて人は、「より強力な次の武器」が欲しくなる。初めて自然な成長への意欲がわいて自走を始める。もっと強い剣(つるぎ)を。遠隔から攻撃できる武器を。一度に複数の敵にダメージを負わせる武器を、と成長が進んでいく。
岩佐が「 RPG と勇者と武器屋」というコンセプトで日本のセキュリティ管理現場に創出しようとしている「適切な段階でより強力な武器を装備することはワクワクする体験なんだ」という価値観は、セキュリティ業界が長年顧客に提供することを夢想すらしなかった感情であり価値である。そもそも「感情」や「経験」を提供するなんて考える Cloudbase みたいな変なセキュリティ企業はかつてなかった。
「ワクワク」のかわりにあったのは「セキュリティは苦行」「セキュリティはコンプライアンス要件」「セキュリティは有価証券報告書記載事項」。間違ってはいないがこうした物語ばかりが流通されてきた。だからせいぜいその世界観からは「業務負荷軽減」程度の発想しか出てこない、その結果、なぜか成長が耐えることと同義になり、新しいセキュリティ製品を導入することは人手不足の管理現場に科される「罰ゲーム」と化す。
岩佐のコンセプトはこうした状況を逆転させるポテンシャルがある。武器が更新されることは「昨日までできなかったことができるようになる」「戦い方が増える」「視界が広がる」要は「自分の手でグリップしてセキュリティ運用が回せる」「未来が明るくなる」というポジティブな変化なのだ。「苦行」が「成長の快楽」に変わるかもしれない。
だがこれは決して甘い話ではない。RPG で強い武器を手に入れるには「経験値を稼ぎ」「失敗し」「時に命を失い再び復活する」必要がある。つまりこの比喩は、日本のセキュリティ担当者や情報システム部門に向けた「成長しないまま強い装備だけを欲しがるな」という厳しいメッセージも同時に含んでいる。耳ざわりのいい安心と「ちゃんとやっていた」というアリバイのみを高額で購入したいだけの人にはきっと Cloudbase は合わない。
● 生成 AI の DLP 機能と Cloudbase の進化
またしてもやってしまった。本稿は講演の予告記事だったのである。ここまでですでに約 4,900 文字。製品や講演にまったく触れないと問題なので最後に書いておく。むしろここからが面白い。
Cloudbase(ここでは社名ではなく製品の方)は着実に進化を続けている。3 月にローンチ予定の「Cloudbase AI」は、ChatGPTや Gemini、Microsoft Copilot などの生成 AI 利用におけるデータ漏洩を防ぐ、生成 AI の DLP 機能を持つ製品だ。
多くの企業が「個人情報をプロンプトに入力するな」とルールを定めながら、実際の活用シーンをモニタリングできず、日本の多くのセキュリティ担当者が「今日も何も起こらないでくれ」と祈っている。
そんな現状に対して Cloudbase は、ブラウザ拡張機能で個人情報を自動マスクし、安全に AI を活用できる環境を提供する。プロキシ方式と異なり、部分的なマスクが可能なため、利便性を損なわずにセキュリティを確保できる。詳細は Security Days Spring 2026 で開催されるワークショップで。
そもそも Cloudbase は「クラウドサービスの」セキュリティを管理する製品だから、「生成 AI というクラウドサービス」のセキュリティ管理にも一頭地を抜く使いやすさと網羅性等を発揮できることだろう。恐らくここから(生成 AI のガバナンス需要で)Cloudbase のユーザーになる企業が今後増えるかもしれない。
● 日本企業の成長物語を語る講演へ
岩佐 晃也の 3 月 24 日の東京会場での講演「日本企業の事例から学ぶ、クラウドセキュリティ攻略のロードマップ」では、実際に Cloudbase を導入した大手企業が、セキュリティ「文化」がゼロの状態からどのように 100 名以上の関係者を巻き込み、リスク対応を進めていったかが語られるという。岩佐晃也や同社の大峠和基の話を聞いていて飽きないのは、彼らが一見製品を語っているように見えて、実は人や組織、未来を語っているからだと思う。
Security Days Spring 2026 では、基調講演とナイトセッションで「武器屋」コンセプトの詳細が、ワークショップで「 Cloudbase AI 」のデモンストレーションが行われる。整理すると、東京と大阪で講演が、東京・大阪・福岡でブース出展による来場者向けデモが行われる。
「坊主になる気概」で挑む若き経営者が、日本のセキュリティ文化にどんな変化をひき起こすのか。その答えを会場で確かめてほしい。
--
Security Days Spring 2026
東京講演(JPタワーホール&カンファレンス)
3.24(火) 12:05-12:45|Room A(軽食付き・限定300食)
日本企業の事例から学ぶ、クラウドセキュリティ攻略のロードマップ
Cloudbase株式会社
代表取締役 CEO
岩佐 晃也 氏
3.24(火) 18:30-19:30 | RoomB
日本企業と歩むCNAPP ― 継続利用企業が語る「Cloudbaseを選び続ける理由」とは
Cloudbase株式会社
VP of Engineering/セキュリティSaaS事業責任者
成瀬 真 氏
3.25(水) 13:20-14:20 | 5F
実践ハンズオン!新製品「Cloudbase AI」によるAIガバナンス運用
Cloudbase株式会社
VP of Engineering/セキュリティSaaS事業責任者
成瀬 真 氏
大阪講演(コングレコンベンションセンター)
3.10(火) 11:05-11:45 | RoomD
日本企業の事例から学ぶ、クラウドセキュリティ攻略のロードマップ
Cloudbase株式会社
代表取締役 CEO
岩佐 晃也 氏
福岡会場(ONE FUKUOKA CONFERENCE HALL)
3/12(木) ブース出展
