国内外のハッキングイベント・大会にて好成績を残したホワイトハッカーたちが多数在籍し、その圧倒的な技術力の高さによりセキュリティ業界にその名を轟かせているGMOサイバーセキュリティ byイエラエ株式会社。「世界一働きやすい会社」を目指し、給与・働き方の自由度などの面でエンジニアたちを徹底的に厚遇する、まさに「エンジニアの楽園」ともいわれる環境であることでも知られる。2022年1月には、GMOインターネット株式会社との資本提携を電撃発表。同年4月から社名を「イエラエセキュリティ」から「GMOサイバーセキュリティbyイエラエ株式会社」として新たなスタートを切ることをアナウンスし、業界を騒然とさせた。
今回のITプロフェッショナル対談では、このイエラエの創業社長である牧田誠氏を、自身もセキュリティ業界出身であるリーベルのコンサルタントが直撃! まだまだベールに包まれた部分のあるイエラエの全貌に、業界出身者ならではの鋭い視点で迫っていく。全3回のうち第1回は、イエラエの成り立ちや業務内容、そして気になるGMOとの資本提携の狙いについて、牧田氏自身の口からじっくりと話を訊いた。
プロフィール
- GMOサイバーセキュリティ byイエラエ株式会社
代表取締役
牧田 誠 氏 - 群馬大学工学部情報工学科を卒業後、ソフトバンク及びサイバーエージェントでセキュリティ診断チームの立ち上げを行う。2010年から、経産省主催のCTFチャレンジジャパンや、世界最大のハッキングイベントであるDEFCON CTFに日本人ハッカーチームの一員として参加し好成績を収める。2011年にイエラエを創業。今まで手掛けたセキュリティ診断実績は約900件を超える。
「イエラエ」の由来は旧約聖書から
リーベル:牧田さん、お久しぶりです! 今日はよろしくお願いします。いろいろ個人的にお話したいことは山ほどあるのですが、今日は対談ということで(笑)
牧田氏:ははは、了解です!
リーベル:まずは、イエラエについて詳しく知らない人のために、御社の会社の成り立ちのあたりから伺えればと思うのですが。そもそも、「イエラエ」という社名が珍しいですよね? これはどこから来ているのか教えていただけますか?
牧田氏:わかりました。「イエラエ」とは、ヘブライ語で「備えがある」というような意味合いです。由来は、旧約聖書にある「主の山に備えあり」という言葉。セキュリティは「備える」ことなので、弊社に相談してくれれば、「備えられる。備えが与えられる」。そんな意味を込めました。
リーベル:ああ、そうなんですね! ヘブライ語とはちょっと意外ですね。会社の立ち上げは2011年ですよね。改めて立ち上げから現在に至るまでの変遷をお聞かせ願えますか? 現在は社員数も200名ぐらいにまでなっていますよね。
牧田氏:もともと私はソフトバンクにいて。その後、サイバーエージェントへの転職を経て、会社を設立しています。最初に作って提供したサービスは、Webアプリケーションの脆弱性診断とスマホアプリの脆弱性診断。これはソフトバンクでもサイバーエージェントでも自分が担当していたので、その延長線上で作りました。
その後、時代が進むにつれて、IoTやクラウド、さらに自動運転が出てくると車などの脆弱性診断も手掛けるようになっています。テクノロジーが進めば新しい脅威や攻撃の仕方が増えるので、そこに合わせてサービスメニューを拡張してきている感じですね。脆弱性診断が軸であることに変わりはありません。
リーベル:脆弱性診断の分野で起業されたのは、この分野が今後、ますます重要になっていくと見たからですか?
牧田氏:そうですね。私はソフトバンク、サイバーエージェント時代には、脆弱性診断の発注者側でもあったんです。脆弱性診断を受けてからではないとサービスをリリースできないというポリシーがあって。ただ、当時、サービスを次々にリリースしなくてはいけないのに、どこに脆弱性診断を発注しても3ヵ月、4ヵ月待ちみたいな状況があったんです。リリースが3ヵ月、4ヵ月遅れるって、結構致命的なんですよ。「そんなに忙しいのであれば自分が手伝おうか」みたいな感じで起業をしました。
リーベル:ソフトバンクやサイバーエージェントにいらした頃、牧田さんは最初からセキュリティをやっていたのではなかったと思うのですが。最初はWebのアプリケーション開発などから始めたのですか?
牧田氏:ソフトバンク時代はネットワークの設計・運用をやっていて。セキュリティにはネットワークセキュリティから入りました。当時はまだWebセキュリティという分野がなかったんです。その後、Webでもセキュリティの脅威がいろいろ出てきて、「これからはWebセキュリティもやらなくてはいけないね」ということで始めました。
リーベル:そうでしたか。てっきりWeb開発から脆弱性診断に入られたと思っていたので、ネットワークからとはこれまた意外で驚きました。
GMOグループ入りで1400万社の企業顧客を一気に手に入れる
リーベル:創業後、順調に成長されてきたわけですが、今回、GMOインターネットと資本業務提携をして、GMOグループ入りするというのはどういう経緯からなんですか?
牧田氏:もともと、イエラエはココン株式会社という会社の子会社だったんです。それが、2022年1月、ココンのグループ会社4社が全社合併して、親会社のココンがイエラエを名乗ることになりました。かなり珍しいとは思うのですが。
リーベル:たしかに。それはどういう理由だったんですか?
牧田氏:簡単に言えば、「これからサイバーセキュリティにフォーカスしていくぞ!」ということですね。ココンは今後、サイバーセキュリティを中心にやっていくのだから、そこで強みを持つイエラエを合併後の会社の社名にしようと。それに伴い、社長も倉富さんから私に変更になりました。そういう話を進めていたのが2021年の夏・秋くらいですね。
今までは脆弱性診断を手動でやっていて、「人が増えれば売上が上がる。逆を言えば、人が増えないと成長しない」という、労働集約型のビジネスでした。上場を目指すなら、そこから脱却しないといけない。グループ会社を合併すると、同じ会社の中に開発、UI/UX、AI、クラウドサービスで既に成果を出している人たちがいる形になる。この人たちと一緒にイエラエのノウハウをソフトウエアに落とし込み、SaaS(Software as a Service)プロダクトを生み出すことで上場を目指していこう、となったわけです。
リーベル:単にグループ会社が合併するだけでなく、サイバーセキュリティにフォーカスする。そして上場を目指すために事業構造も変えていくと。
牧田氏:そういうことです。それが決まってから、GMOインターネットの熊谷(正寿)代表から「グループの仲間入りをしませんか」というコンタクトがあり。ちょうど、倉富さんや他の既存株主がこのタイミングで株を売却したいという思いもあったので、その株式をGMOが取得して、GMOグループに入りました。
イエラエの今後のビジネスの方向性として、ソフトウェアを作るまでは決まっていましたが、「じゃあ、どうやって売っていくんだ?」となるわけで。「まずはお客様を増やすために無料で配り、アカウントをとにかく増やして、そこから有償化だよね」と話をしていたんです。その点、GMOはすでに1400万社の企業顧客がいるわけで。そこと組むことにより、「良いプロダクトさえできれば、1400万社のお客様がすぐ手に入るじゃないか」となったわけです。
リーベル:たしかに相乗効果は大きいですね。
牧田氏:11月にGMOさんから声がかかって、12月にデューデリジェンスが入って、1月にグループ入りが決まった。そんな感じです。世の中的には、「GMOの話ありきでグループ会社を合併したのでは?」みたいな見方がありますが、実は全然違っていて。たまたま「サイバーセキュリティを中心にプロダクトでやっていくぞ」と決めた時に、GMOさんから「1400万社の顧客がいるんだけど、一緒にやらない?」という話が来て、ちょうどマッチしたという経緯ですね。
リーベル:なるほど。大変よくわかりました。今後は、他の旧ココンのグループ会社は、既存顧客に対するシステム開発やデザイン、UI/UXの業務はやらないのですか? 自社内のセキュリティプロダクト開発に特化していくのですか?
牧田氏:既存のお客様にも「withセキュリティ」という形で事業継続をしています。「ウチはセキュリティの会社だから他はやらない」ではなくて、今までシステム開発やデザイン、UI/UXをやっていた部署に関しては、もちろんそれも大事な仕事だからそのままやろうと。そこに付加価値として、「withセキュリティで、セキュリティを加味したデザインとか、セキュリティを加味したシステム開発をやっていこうよ」と話をしています。同じ人たちが、既存のお客様に対してはwithセキュリティで付加価値を提供する一方で、自社プロダクトも作っていく、という形です。
リーベル:そういうことですね。
「圧倒的な技術力の高さ」がイエラエの強み
リーベル:続いて、御社の技術的特徴について伺いたいのですが。セキュリティの中でも、最近ではSOCやフォレンジック、ウィルス解析など、技術だけでもたくさんあって、他のセキュリティベンダーは結構手広くやっていますよね。そんな中、御社は脆弱性診断、とりわけWeb診断を強みにしています。そこに何か理由はあるんでしょうか?
牧田氏:特にWeb診断だけを強みとは認識していないのですが、外部からはそう見えるのかもしれませんね。我々の強みは、「圧倒的な技術力の高さ」だと自負しています。「攻撃がわかる」という部分のですね。
我々はWebだけでなく、車やドローン、スマート家電などの脆弱性診断もやっています。そうしたことは他社ではできないという意味で大きな差別化ポイントで、Web診断よりむしろそれが強みだと考えます。ただ、案件数はWebに比べると少ないんです。
Webの場合、作ったサイト全て脆弱性診断をやらなくてはなりませんよね? それに対して、例えば車は、Aモデル、Bモデル、Cモデルと、いろいろなラインナップがあるにせよ、診断の対象になる自動運転の部分は共通化されていたりするし、しかも新型発売も何年かに1回程度だったりするので。だから、本当に他社が真似できない強い分野はそちらだったとしても、売上の規模としてはやはりWeb診断が多くなってしまいますよね。
リーベル:なるほど。自動車のところでいうと、例えば株式会社NDIASさんがやっているプロジェクトに御社が入っているみたいな記事も拝見していたりして、最先端のことをやっているのは承知しているのですが。あくまでニーズとして、Webサイトは新しいものが次々できるけど、車の自動運転部分などはそういうものではない。だから結果としてWebサイドのニーズが多くなっているというわけですね。
牧田氏:そういうことですね。
リーベル:車のセキュリティは、メーカーによって違ったりしないんですか?
牧田氏:メーカーによって違います。ただ、車種が違っても基盤は同じだったりするんです。いずれにせよ、Webサイトに比べると対象がすごく少ないです。
リーベル:ドローンやスマート家電の脆弱性診断も難易度が高いとのことですが、やはりWeb診断と比べてかなり難しいのですか?
牧田氏:難しいです。サイバーディフェンス研究所さんなど、他にできる会社もありますが、すごく少ない。Web診断ならやっている会社は何十社もありますが、それとは技術が全然違います。
Web診断はブラックボックスでやればいいんです。テストツールも駆使して、パラメータに攻撃文字列を含めて反応を見る。ファジングと言ったりしますが。それに対して、IoTなどでは、リバースエンジニアリングをする必要があります。そのためにはソースコードをCPUレベルで読まなくてはならない。ソースコードを読んで脆弱性を見つけられる人すら少ないのに、さらにそれがCPUレベルとなると、できる人がもっともっと少なくなります。
リーベル:今のお話だと、Web診断をやるためのスキルとは根本が違うなと感じます。車のセキュリティが出始めた時に、私も他の会社からお話を伺ったりしていましたが、「そもそも車の知識を持っていなくてはいけない」とか、「CAN (Controller Area Network)を見ていく」みたいな話で、かなりハードルが高い。
牧田氏:おっしゃるとおりですね。
最初はビジネス度外視で、面白そうなことをやってみる
リーベル:となると、技術的なキャッチアップの手法も気になります。車のセキュリティをやっていく上で、御社内にいるエンジニアも、組込知見などを持っている人ばかりではないですよね? 「こういう知識が必要だ」となった場合に、どうやってキャッチアップしていくのでしょう?
牧田氏:単純に、実際に触りますね。テスラを買ってきて分解するとか。触ってみないことには勉強にならないので。
リーベル:実際に買ってきて分解ですか!
牧田氏:Webはレイヤーが高いんです。プログラミング言語も人間がわかりやすい高級言語で。それに対して車は、ハードウェアに近い部分はレイヤーが低い。言語もマシン語というか、アセンブリ言語というすごく低レイヤーなもので、CPUの命令コード単位で読まないといけないので、ギャップがあります。
リーベル:アセンブラとか、私も大学時代に「何に使うんだ?」と思いながら学びましたけど(笑)。たしかに本当にレイヤーが低い部分を見ていくことになるので、Webをやっている人には難しいのではないかと思ってしまいます。そういうことは、やりたい人が実際に触って勉強して、だんだん覚えていく感じですか?
牧田氏:好きじゃないとできませんからね。強制してやらせても何年かかるんだろうと。好きな人たちが趣味でハードウェア解析やゲームデータ解析などをやっている中で覚える。それがたまたまセキュリティの仕事でも活かせているというのが実状なんですよね。
リーベル:なるほど。牧田さんご自身も、この前OSCP(Offensive Security Certified Professional)の資格を取ったとか、まだ技術バリバリでやっているイメージですよね。やはり、常日頃からアンテナを立てていて、「次、これが来そう」とキャッチしたら、実際に自分でやってみる。そして、ビジネスになりそうだったら、やりたい人にやってもらう。そんな感じでしょうか?
牧田氏:まさにそんな感じですね。最初はビジネス度外視で、「何かこれ面白そうじゃない?」みたいなことを思いついたら、実際にやってみる。そうするうちにドローンもハッキングできたし、家のスマートロックも実際に開いてしまった。そういうことがビジネスに繋がっていくんです。
リーベル:まあそうでしょうけど(笑)、とにかくそういうことを「これ、できるのでは?」と攻撃者視点でやってみる。そういうことがたまたま、IoTやクラウドみたいな最先端の分野のセキュリティにも活かされていると。
牧田氏:ええ。船のハッキングも4隻やってみて、うち3隻には侵入できました。でも、さすがにそれは大きなビジネスにはならないです(笑)
リーベル:ははは! それはそうですよ!
テクノロジーの進化から生じる新しい脅威に1つずつ対応していく
リーベル:セキュリティ業界の展望についてもお聞かせください。スマホ、IoT、クラウド、車など、常にアンテナを巡らし、他社に先んじてセキュリティに取り組んできた牧田さんですが、今後はどんな脅威が増えてくるとお考えでしょう?
牧田氏:いやいや、そんな、展望なんてないですよ(笑)。僕は孫正義さんみたいな天才ではないので。ただ、テクノロジーが発展していけば、そこには必ず新しい脅威が出てきます。例えば、スマート家電も、もともとはただの家電でした。それがネットに繋がる、スマホから操作できる、カメラが付く、マイクが付くとなってくると、「カメラで他人の家を監視できるのではないか」とか、「マイクから盗聴できるのではないか」とか、そういう脅威が出てくるわけです。我々としては、そういうテクノロジーの進化によってもたらされる新しい脅威に1つずつ対応していくだけです。
ただ、航空宇宙分野のセキュリティについては、現状、弊社は手を出せていないので、今後も着目し、トライしたいと考えています。航空宇宙以外は、本当に、新しいテクノロジーに対応していくだけですね。「次はこれだ」と狙うよりは、「仮想通貨が出てきたね」「何か面白そう」「これ、ハッキングできるのでは?」みたいな感じでやってみる。そこではとりあえず「できたね」「面白かったね」で終わるんです。でも、数ヶ月後とか数年後に、お客様から「実は仮想通貨で悩んでいて」みたいなご相談が来て、「あ、実は以前、それ試しにやりました」みたいな感じでつながっていく。だいたいそんなパターンですね。
リーベル:狙って当てているわけではない、ということですね。「ネットに繋がるのであれば何でもいける」と。新しいテクノロジーにアンテナを立てていて、とりあえずハッキングしてみて、できたぞ、みたいなことをやっていると、すぐにではなくても、後々、依頼が来て、ビジネスに繋がっていくと。
牧田氏:そうそう。そういうことです。
ライター プロフィール
- 荒濱 一(あらはま・はじめ)
- 1971年、東京生まれ。上智大学文学部教育学科卒。高校教諭、タイ・インドでの広告代理店勤務を経て、1998年からライターとして活動を開始する。現在、ビジネス(特に人材・起業)、IT/デジタル機器、著名人インタビューなど幅広い分野で記事を執筆するほか、広告コピー分野でも活躍。
- ◇主な著書
- 『新版 結局「仕組み」を作った人が勝っている』(光文社)(高橋学氏との共著)
『新版 やっぱり「仕組み」を作った人が勝っている』(光文社)(高橋学氏との共著)