「はじまりの光景」について初めて記者に話をしてくれたのは確か辻さんだったと思う。学生時代にご自身で立ち上げ管理していたサーバに攻撃を受け、それがその後セキュリティのキャリアを歩む原体験になったのだという。
そのときは「へーそうですか」程度に聞いたが、その後この「はじまりの物語」は、記者のインタビュー取材における定番にしてマジックワードになっていく。技術者にとどまらず、経営者にインタビューをする際にも、その冒頭でセキュリティの仕事に進む原体験となった出来事を尋ねると、不思議なほど、ただの業務としての取材対応ではなく、夢や成長を一人の人間が語る場に変貌するのだった。
ポツリポツリと、その人自身も忘れかけていたような記憶をたどって、組織人や会社員の仮面がゆっくりと消滅していくさまを見ていると、記者自身もそんな夢や志をかつて持っていたような錯覚に陥り、ずっとそれを共有していたような気すらした。
● インタビューのマジックワード「はじまりの光景」
かなりいろいろな人に「はじまりの光景」について質問をした。ある時は海外のセキュリティ企業の人が来日した際に、通訳を介してダメ元で聞いてみた。すると、若い頃にご自身が担当者として立ち上げた EC サイトの、よりにもよってローンチ当日に脆弱性を見つけてしまい、安全確保のためにローンチを遅らせる決断をし、同僚からもクライアントからも大顰蹙を買ったという印象的な話を聞くことができた。しかし自分は正しいことをしたのだとひそかに胸を張ったという。
EC サイトに脆弱性が見つかったとはいえ、APT などという言葉が生まれる 20 年以上前の話である。サイバー空間をクローラが駈け巡って、脆弱性のあるサイトなりを見つければ、すぐに攻撃候補リストに記載、そんなことまだ誰もしてない時代だ。だからとりあえずローンチして、事後対応するという大人の選択肢だってあったはず。しかしそうはしなかったその若者は、それから約 20 年後、脆弱性可視化のグローバルブランドの米 NASDAQ 上場企業の CEO に就任する( R ではじまる会社)。このように「はじまりの物語」は技術者やビジネスパーソンのその後のキャリアに少なくない影響を及ぼす。
一昨年 2024 年秋、本誌は株式会社スリーシェイクの提供する脆弱性管理プラットフォーム「Securify(セキュリファイ)」の事業責任者を取材して少々異例なタイトルの記事を配信した。そのタイトルとは「いやいやセキュリティ」。要は LINE とか mercari などのデジタルプラットフォーマーや、あるいは重要インフラなどの一部の企業を除いてほとんどのユーザー企業はセキュリティを「しぶしぶ」どころか「いやいや」やっているという現状を、ついに公的に発言してしまった前代未聞の記事標題だった。
取材していてその場で感じたのは「この人、それ言っちゃうんだ(ゆっちゃうんだ)」という驚きと安堵感だった。同時にセキュリティプロダクトに関わる人物としては結講な異物感を持ったことも覚えている。
セキュリティ専門誌に、みんながセキュリティを「いやいや」やってるなんて本音をうっかりそのまま載せてしまったら一体どうなるかわからない。だから面白いと思ったのも事実で、業界の重鎮的なお方から一言も二言もコメント等いただきかねないとも思いつつ、しかしこれはこれで新しい問題提起であるとも感じたから、「いやいやセキュリティ」という言葉をそのまま掲載したのだが、驚くほどこの記事は読者に受け入れられ、多くの人に、しかも長く読まれることになった。多分みんなが思っていたことだった。
● はじまりを持たない男
「いやいやセキュリティ」の発言の主は、株式会社スリーシェイク 手塚 卓也(てづか たくや/写真)。「異物感」と書いたがそう思った重要な根拠のひとつが、この若者には「はじまりの物語」が完全に欠如しているのだ。
セキュリティの仕事に興味関心を持つようになった経緯どころかきっかけすらほぼ何もなく、いわば「義務教育的」に、やらなければならないこととして、無理やり押し出されセキュリティと対面「させられた」。できればこんなこと(もちろんセキュリティのこと)に関わりたくなどないが、義務なのだから仕方ないとセキュリティ運用に関わり始めた。
しかし、スリーシェイクの主要な顧客である、クラウド等の先進技術を積極的に活用する開発現場では、日本企業の伝統「専門企業に外部委託」という手法をとることが難しい。どんな技術を用いてどんなサービスを展開しようとしているのか十全な理解が伴わなければ診断計画を立てることすら難しいからだ。
ある意味で Securify というプロダクトは、アジャイルや DevOps に向けたチューニングがまだ充分ではない既存の脆弱性診断サービスやツールへの苛立ちから生まれている。あえて言うならこの苛立ちこそが Securify と手塚の原風景であり「はじまりの物語」だと思う。
現在日本では、いろいろな観点から考えるに、サイバーセキュリティ産業の「第 2 創業期」「第 2 黎明期」を迎えていると考えることができる。細かく書くとこのテーマだけで 1 万字書けてしまうので概要だけ粗く触れておくが、たとえば今年 2025 年になって経済産業省が国産のセキュリティプロダクトの育成を打ち出すなど(令和 7 年 3 月 5 日「サイバーセキュリティ産業振興戦略」)、外国製の高級品をフェラーリやポルシェよろしくひたすらありがたがってきたこれまでの製品選定基準が、今後多少なりと変化していくことが考えられる。
また、主にクラウド環境等に向けた自社セキュリティプロダクトを、リスクを負って開発する新興ベンチャーが少なからず現れている。大人が取らないリスクを若者が取っているように感じて、未来に幸あれとそういう会社を見るたび思うが、幸いなことに実績も伴いつつあるケースが増えており、本稿の Securify もそのひとつだ。
昨年行った取材では、あまりにも Securify の最大の特徴である「簡単」「シンプル」「わかりやすさ」すなわち、細かく設定したり何度も手を動かす必要がないという部分にのみフォーカスしてしまったため、プロダクトの深みや面白さについてあまり言及できなかった自信がある。そこで今回は、もう一歩踏み込んだ同プロダクトの開発思想や、それを体現する手塚卓也という人物について取材の機会を得た。
● 経営学部出身で技術者志望
手塚の大学での専攻はド文系の経営学部だった。時期を迎えると就職活動を始めたが、面接を受けるのが面白くて仕方なかった。
Society 5.0 とも言われる時代、自分のキャリアの最初では、技術者として「もの作り」の経験を積みたいと手塚は考えた。5 年 10 年営業をやってそこから技術者にキャリアを転じるのは難しいが、その逆はありだと思ったからだ。
しかし、手塚のような爽やかな印象を持つすらりとした若者が大手 SIer などにたとえエンジニア志望で入社しても、出身は経営学部でもあるのだから、ほぼ間違いなくゼネラリスト、すなわち営業などの昭和的価値観の出世コースに配属されることは火を見るより明らかである。当然、手塚もそのことに気づいた。
だから手塚が新卒で入社したのは、曰く「配属ガチャが絶対にない」ぐらい小規模の、インフラ系 IT 企業。希望通り技術職に配属される。ひと通りの研修を受けたものの、打ち合わせに出ても何を言ってるか全くわからない爆死状態にしばらく陥ったというがそれは当然だろう。しかし「自分の強みはスピードと手数の多さ」「質よりも量で勝負するパワー型のエンジニア」と語る通り、幾多の業務を経て成長を重ねた。
数年が過ぎた頃手塚は、創業直後でまだ社員数名だった株式会社スリーシェイク創業社長の吉田拓真と出逢った。SIM カードを全国で無料で配るだの、巨大な電波塔を立てるだのといった世界征服的な吉田のビジョンを聞いた手塚は、なぜか話に引き込まれた。何しろその壮大な夢と展望を語っている場所が、まるで高校の部室のようなせまくるしく、こきたないオフィスなのだ。
吉田の訳のわからなさに魅力を感じた手塚は、それまで常に自分は「やりたいこと」より「やるべきこと」「これからメインストリームとなること」を見極めて、言わば「打算で(手塚)」ずっと動いてきたことに気づいた。ここで吉田の夢の片棒を担いでこの会社を大きくしていくことが、自分のキャリアを考えてもいなかった新しい方向にドライブさせる場にも見えた。
株式会社スリーシェイクは、SRE(Site Reliability Engineering)や R&D など、技術支援事業をベースにした会社で、先端技術に特化している点が特徴。いわゆる「下請け IT 業者」として安く使い倒されるのではなく、顧客企業が尖った技術を用いたサービスやプロダクト開発を行う際に、それを実現する頼れる助っ人チームとして、リスペクトを持って仕事の依頼を受ける高付加価値集団である。得意とする領域のひとつにはたとえば決済システムがある。スリーシェイクに転じた手塚はそこでインフラや SRE の支援を担当し、多様なクライアントワークからさらに経験を広げていく。
● 「やりたくない」から始まったセキュリティ診断事業
その頃、エンタープライズ顧客の PCI DSS 対応など、セキュリティに関連する業務が年々増加していた。また、支援する企業から脆弱性診断をやってほしいと相談を受けることも増えていく。スリーシェイクの顧客は、枯れた技術を用いた一般的かつ典型的なシステムというよりは、むしろ、5 年後 10 年後を見据えた、尖った技術を用いた新しいサービスやプロダクトばかりだから、サービスを構成する技術を理解しないと診断計画を立てることもままならない。
手塚及びスリーシェイクにとってセキュリティ診断など全くやりなくたくなかったことに違いない。しかしここで問題が発生する。もしスリーシェイクが断ったら「だったら誰がやるんだ」という素朴な疑問が出てくるのだ。
開発プロセスに全く携わっていない、しかも先端テクノロジーで構成されたプロダクトやサービスに関してスリーシェイクと同レベルまで診断会社側に理解してもらうことはまず現実的ではない。つまりどこの診断会社に頼むよりも、たとえ「しぶしぶ」「いやいや」やっているスリーシェイクでも、その方が的確な診断ができる。なんならコストも下がるかも。論理的にも道義的にも断るという選択肢はここで無くなる。このように超「なりゆき」の、しかも「受身」の状態でスリーシェイクの脆弱性診断事業がスタートした。
●「普通を疑う」ことから生まれたSecurify
サービス開始後に手塚らは、世に存在するあらゆる「診断ツール」を試してみることになるのだが、ひとつとしてしっくり来るものがなかったという。これが Securify 開発のきっかけのひとつだ。
前回の取材では「ビビるほど簡単」という Securify の一番のバリューのみが強調されたが、Securify のこの開発経緯は、Bank of America のような企業があらゆる SIEM プロダクトを検証してみたが自社に合うものが見つからず、結局大手セキュリティ企業の SIEM 開発責任者を引き抜いて内製でスクラッチ開発したようなエピソードを彷彿とさせる。
誰でも簡単に使える Securify は、決して誰でも簡単に開発できるプロダクトではない。むしろ猛烈にその逆だ。
これはセキュリティネイティブ、診断ネイティブな会社には容易にできない発想なのだと思う。セキュリティ診断ネイティブの企業なら、診断が事業約款に記されていたりするはずだから、しっくりくるツールなど見つからなくても、しっくりこない中で最良の選択肢は当然あるわけで、それを使って事業を行うだろう。
一方でスリーシェイクの一義的な存在意義は、尖った技術を用いて、顧客が夢見る新しいデジタルサービスを作り出してローンチし、安全に運用することである。そのために必要なことなら、これまで「普通」とされてきた診断サービスや診断ツールの「普通を疑う」ことが起こっても何らおかしいことではない。
商品などの運搬事業を約款とする運送会社が、輸送用のトラックを自社開発するなどということは通常行わない。普通 ISUZU などから完成品を買うだけである。自分の会社やグループの事業実態にピタリと合ったトラックがあればそれはそれで素晴らしいかもしれないが、トラックを製造するには、開発エンジニアやデザイナー、部品製造のサプライチェーンが必要となる。そんなリスクを冒す愚か者はいない。
しかしこれが、自動車の速度などの「性能を競うこと」や「限界を超えること」「新しい可能性を開くこと」が事業のゴールとなっているような会社なら話は違ってくる。たとえば月に物資を運送するとかでもいい。既存選択肢のどれを使ってもゴールを実現できないなら「それなら自分たちで作ろうか」となるのも自然な流れだ。Securify はこうして生まれた。宮大工の棟梁が必要に迫られ手製で作った工具のようなものか。Securify は工具と違ってデジタルプロダクトだから無限に複製ができる。
●「社長の “今一番やばいセキュリティ課題は何か?” 」に即答できる
手塚の言葉はときに幾分抽象的である。「Securify は企業が何のためにセキュリティ対策をやっているのかその本質を追求している」のだという。企業が限られたリソースの中でセキュリティ運用を行う際、優先順位付けや濃淡をつけざるを得ず、そのためには顧客にとって本当に優先度が高く実施すべき対策を提示できるサービスを目指しているという。
そういう話はこれまで何度も聞いたからこう尋ねてみた「では一言でいうと Securify のユーザーは何ができるということになるんですか」と。
「社長から “今一番やばいセキュリティ課題は何か” と問われたときに迷わず即答できるのが Securif の思想です(手塚)」
ちょうど手塚の取材にさかのぼること約 2 ヶ月前、mercari の CISO を取材した際に聞いた「 CISO の責務とは」についての定義と、ほぼ寸分たがわず同じ言葉がこの若者の口から返ってきたので少なからず驚いた。芯を喰っている。
Securify は 2021 年 12 月にベータ版の配布を開始し、翌 2022 年 7 月に導入 100 社を突破、9 月に正式リリースされた。コントロールパネルから新規プロジェクトを作成し、ドメイン所有確認を行った後に URL を登録するというスリーシェイクならぬ「スリーステップ」で、本当にこれだけで診断実施が可能になる。本誌の上野宣が「ビビるほど簡単」と語った製品である。
● 「あっち側の人」にはならない
取材の終盤で手塚は「自分は辻さんのような専門家ではないし、専門家になってはいけないと思っている。“あっち側の人”になってしまうとお客さんの求めるものを作れない」という印象的な言葉を口にした。かつて聞いたことがない発言だ。
ある種「セキュリティ ノンケ宣言」とも取れるが、要は「いやいや」セキュリティをやっている立ち位置にいなければ、世の大半を占める、セキュリティを「やむなく」「いやいや」「仕方なく」やっている IT 管理者の気持ちから離れてしまうということだろう。
多分この人は「あっち側」の魅力も十分わかっていて、なんなら「あっち側」に多少なりとも行きたいのではあるまいか。しかし行かない。絶対に行くもんか。こんなアンビバレントなプロダクト開発者かつて見たことがない。オトリ捜査を行う潜入捜査官のようなアイデンティティのありようであり、そしてこれこそが、正式ローンチからまだ 3 年足らずだが、Securify が将来的に斜め上の巨大な伸びしろを感じさせる理由でもある。
これまでのセキュリティ製品とは、極論するとあっち側の人があっち側の人に向けて作っていた。Securify はこっち側の手塚らが、同じくこっち側の管理者に向けて進化を続ける。
そのときは「へーそうですか」程度に聞いたが、その後この「はじまりの物語」は、記者のインタビュー取材における定番にしてマジックワードになっていく。技術者にとどまらず、経営者にインタビューをする際にも、その冒頭でセキュリティの仕事に進む原体験となった出来事を尋ねると、不思議なほど、ただの業務としての取材対応ではなく、夢や成長を一人の人間が語る場に変貌するのだった。
ポツリポツリと、その人自身も忘れかけていたような記憶をたどって、組織人や会社員の仮面がゆっくりと消滅していくさまを見ていると、記者自身もそんな夢や志をかつて持っていたような錯覚に陥り、ずっとそれを共有していたような気すらした。
● インタビューのマジックワード「はじまりの光景」
かなりいろいろな人に「はじまりの光景」について質問をした。ある時は海外のセキュリティ企業の人が来日した際に、通訳を介してダメ元で聞いてみた。すると、若い頃にご自身が担当者として立ち上げた EC サイトの、よりにもよってローンチ当日に脆弱性を見つけてしまい、安全確保のためにローンチを遅らせる決断をし、同僚からもクライアントからも大顰蹙を買ったという印象的な話を聞くことができた。しかし自分は正しいことをしたのだとひそかに胸を張ったという。
EC サイトに脆弱性が見つかったとはいえ、APT などという言葉が生まれる 20 年以上前の話である。サイバー空間をクローラが駈け巡って、脆弱性のあるサイトなりを見つければ、すぐに攻撃候補リストに記載、そんなことまだ誰もしてない時代だ。だからとりあえずローンチして、事後対応するという大人の選択肢だってあったはず。しかしそうはしなかったその若者は、それから約 20 年後、脆弱性可視化のグローバルブランドの米 NASDAQ 上場企業の CEO に就任する( R ではじまる会社)。このように「はじまりの物語」は技術者やビジネスパーソンのその後のキャリアに少なくない影響を及ぼす。
一昨年 2024 年秋、本誌は株式会社スリーシェイクの提供する脆弱性管理プラットフォーム「Securify(セキュリファイ)」の事業責任者を取材して少々異例なタイトルの記事を配信した。そのタイトルとは「いやいやセキュリティ」。要は LINE とか mercari などのデジタルプラットフォーマーや、あるいは重要インフラなどの一部の企業を除いてほとんどのユーザー企業はセキュリティを「しぶしぶ」どころか「いやいや」やっているという現状を、ついに公的に発言してしまった前代未聞の記事標題だった。
取材していてその場で感じたのは「この人、それ言っちゃうんだ(ゆっちゃうんだ)」という驚きと安堵感だった。同時にセキュリティプロダクトに関わる人物としては結講な異物感を持ったことも覚えている。
セキュリティ専門誌に、みんながセキュリティを「いやいや」やってるなんて本音をうっかりそのまま載せてしまったら一体どうなるかわからない。だから面白いと思ったのも事実で、業界の重鎮的なお方から一言も二言もコメント等いただきかねないとも思いつつ、しかしこれはこれで新しい問題提起であるとも感じたから、「いやいやセキュリティ」という言葉をそのまま掲載したのだが、驚くほどこの記事は読者に受け入れられ、多くの人に、しかも長く読まれることになった。多分みんなが思っていたことだった。
● はじまりを持たない男
「いやいやセキュリティ」の発言の主は、株式会社スリーシェイク 手塚 卓也(てづか たくや/写真)。「異物感」と書いたがそう思った重要な根拠のひとつが、この若者には「はじまりの物語」が完全に欠如しているのだ。
セキュリティの仕事に興味関心を持つようになった経緯どころかきっかけすらほぼ何もなく、いわば「義務教育的」に、やらなければならないこととして、無理やり押し出されセキュリティと対面「させられた」。できればこんなこと(もちろんセキュリティのこと)に関わりたくなどないが、義務なのだから仕方ないとセキュリティ運用に関わり始めた。
しかし、スリーシェイクの主要な顧客である、クラウド等の先進技術を積極的に活用する開発現場では、日本企業の伝統「専門企業に外部委託」という手法をとることが難しい。どんな技術を用いてどんなサービスを展開しようとしているのか十全な理解が伴わなければ診断計画を立てることすら難しいからだ。
ある意味で Securify というプロダクトは、アジャイルや DevOps に向けたチューニングがまだ充分ではない既存の脆弱性診断サービスやツールへの苛立ちから生まれている。あえて言うならこの苛立ちこそが Securify と手塚の原風景であり「はじまりの物語」だと思う。
現在日本では、いろいろな観点から考えるに、サイバーセキュリティ産業の「第 2 創業期」「第 2 黎明期」を迎えていると考えることができる。細かく書くとこのテーマだけで 1 万字書けてしまうので概要だけ粗く触れておくが、たとえば今年 2025 年になって経済産業省が国産のセキュリティプロダクトの育成を打ち出すなど(令和 7 年 3 月 5 日「サイバーセキュリティ産業振興戦略」)、外国製の高級品をフェラーリやポルシェよろしくひたすらありがたがってきたこれまでの製品選定基準が、今後多少なりと変化していくことが考えられる。
また、主にクラウド環境等に向けた自社セキュリティプロダクトを、リスクを負って開発する新興ベンチャーが少なからず現れている。大人が取らないリスクを若者が取っているように感じて、未来に幸あれとそういう会社を見るたび思うが、幸いなことに実績も伴いつつあるケースが増えており、本稿の Securify もそのひとつだ。
昨年行った取材では、あまりにも Securify の最大の特徴である「簡単」「シンプル」「わかりやすさ」すなわち、細かく設定したり何度も手を動かす必要がないという部分にのみフォーカスしてしまったため、プロダクトの深みや面白さについてあまり言及できなかった自信がある。そこで今回は、もう一歩踏み込んだ同プロダクトの開発思想や、それを体現する手塚卓也という人物について取材の機会を得た。
● 経営学部出身で技術者志望
手塚の大学での専攻はド文系の経営学部だった。時期を迎えると就職活動を始めたが、面接を受けるのが面白くて仕方なかった。
今何を言うべきか、面接官が何を言ってほしいのか、いつも手塚には直感的にわかったし、瞬時に回答を組み立てることもできたからだ。
Society 5.0 とも言われる時代、自分のキャリアの最初では、技術者として「もの作り」の経験を積みたいと手塚は考えた。5 年 10 年営業をやってそこから技術者にキャリアを転じるのは難しいが、その逆はありだと思ったからだ。
しかし、手塚のような爽やかな印象を持つすらりとした若者が大手 SIer などにたとえエンジニア志望で入社しても、出身は経営学部でもあるのだから、ほぼ間違いなくゼネラリスト、すなわち営業などの昭和的価値観の出世コースに配属されることは火を見るより明らかである。当然、手塚もそのことに気づいた。
だから手塚が新卒で入社したのは、曰く「配属ガチャが絶対にない」ぐらい小規模の、インフラ系 IT 企業。希望通り技術職に配属される。ひと通りの研修を受けたものの、打ち合わせに出ても何を言ってるか全くわからない爆死状態にしばらく陥ったというがそれは当然だろう。しかし「自分の強みはスピードと手数の多さ」「質よりも量で勝負するパワー型のエンジニア」と語る通り、幾多の業務を経て成長を重ねた。
数年が過ぎた頃手塚は、創業直後でまだ社員数名だった株式会社スリーシェイク創業社長の吉田拓真と出逢った。SIM カードを全国で無料で配るだの、巨大な電波塔を立てるだのといった世界征服的な吉田のビジョンを聞いた手塚は、なぜか話に引き込まれた。何しろその壮大な夢と展望を語っている場所が、まるで高校の部室のようなせまくるしく、こきたないオフィスなのだ。
吉田の訳のわからなさに魅力を感じた手塚は、それまで常に自分は「やりたいこと」より「やるべきこと」「これからメインストリームとなること」を見極めて、言わば「打算で(手塚)」ずっと動いてきたことに気づいた。ここで吉田の夢の片棒を担いでこの会社を大きくしていくことが、自分のキャリアを考えてもいなかった新しい方向にドライブさせる場にも見えた。
株式会社スリーシェイクは、SRE(Site Reliability Engineering)や R&D など、技術支援事業をベースにした会社で、先端技術に特化している点が特徴。いわゆる「下請け IT 業者」として安く使い倒されるのではなく、顧客企業が尖った技術を用いたサービスやプロダクト開発を行う際に、それを実現する頼れる助っ人チームとして、リスペクトを持って仕事の依頼を受ける高付加価値集団である。得意とする領域のひとつにはたとえば決済システムがある。スリーシェイクに転じた手塚はそこでインフラや SRE の支援を担当し、多様なクライアントワークからさらに経験を広げていく。
● 「やりたくない」から始まったセキュリティ診断事業
その頃、エンタープライズ顧客の PCI DSS 対応など、セキュリティに関連する業務が年々増加していた。また、支援する企業から脆弱性診断をやってほしいと相談を受けることも増えていく。スリーシェイクの顧客は、枯れた技術を用いた一般的かつ典型的なシステムというよりは、むしろ、5 年後 10 年後を見据えた、尖った技術を用いた新しいサービスやプロダクトばかりだから、サービスを構成する技術を理解しないと診断計画を立てることもままならない。
手塚及びスリーシェイクにとってセキュリティ診断など全くやりなくたくなかったことに違いない。しかしここで問題が発生する。もしスリーシェイクが断ったら「だったら誰がやるんだ」という素朴な疑問が出てくるのだ。
開発プロセスに全く携わっていない、しかも先端テクノロジーで構成されたプロダクトやサービスに関してスリーシェイクと同レベルまで診断会社側に理解してもらうことはまず現実的ではない。つまりどこの診断会社に頼むよりも、たとえ「しぶしぶ」「いやいや」やっているスリーシェイクでも、その方が的確な診断ができる。なんならコストも下がるかも。論理的にも道義的にも断るという選択肢はここで無くなる。このように超「なりゆき」の、しかも「受身」の状態でスリーシェイクの脆弱性診断事業がスタートした。
●「普通を疑う」ことから生まれたSecurify
サービス開始後に手塚らは、世に存在するあらゆる「診断ツール」を試してみることになるのだが、ひとつとしてしっくり来るものがなかったという。これが Securify 開発のきっかけのひとつだ。
前回の取材では「ビビるほど簡単」という Securify の一番のバリューのみが強調されたが、Securify のこの開発経緯は、Bank of America のような企業があらゆる SIEM プロダクトを検証してみたが自社に合うものが見つからず、結局大手セキュリティ企業の SIEM 開発責任者を引き抜いて内製でスクラッチ開発したようなエピソードを彷彿とさせる。
誰でも簡単に使える Securify は、決して誰でも簡単に開発できるプロダクトではない。むしろ猛烈にその逆だ。
これはセキュリティネイティブ、診断ネイティブな会社には容易にできない発想なのだと思う。セキュリティ診断ネイティブの企業なら、診断が事業約款に記されていたりするはずだから、しっくりくるツールなど見つからなくても、しっくりこない中で最良の選択肢は当然あるわけで、それを使って事業を行うだろう。
そこに疑問を差し挟む発想は出てこない。ましてや自分で診断ツールをプロダクトとして開発するなど夢にも思わない。
一方でスリーシェイクの一義的な存在意義は、尖った技術を用いて、顧客が夢見る新しいデジタルサービスを作り出してローンチし、安全に運用することである。そのために必要なことなら、これまで「普通」とされてきた診断サービスや診断ツールの「普通を疑う」ことが起こっても何らおかしいことではない。
商品などの運搬事業を約款とする運送会社が、輸送用のトラックを自社開発するなどということは通常行わない。普通 ISUZU などから完成品を買うだけである。自分の会社やグループの事業実態にピタリと合ったトラックがあればそれはそれで素晴らしいかもしれないが、トラックを製造するには、開発エンジニアやデザイナー、部品製造のサプライチェーンが必要となる。そんなリスクを冒す愚か者はいない。
しかしこれが、自動車の速度などの「性能を競うこと」や「限界を超えること」「新しい可能性を開くこと」が事業のゴールとなっているような会社なら話は違ってくる。たとえば月に物資を運送するとかでもいい。既存選択肢のどれを使ってもゴールを実現できないなら「それなら自分たちで作ろうか」となるのも自然な流れだ。Securify はこうして生まれた。宮大工の棟梁が必要に迫られ手製で作った工具のようなものか。Securify は工具と違ってデジタルプロダクトだから無限に複製ができる。
●「社長の “今一番やばいセキュリティ課題は何か?” 」に即答できる
手塚の言葉はときに幾分抽象的である。「Securify は企業が何のためにセキュリティ対策をやっているのかその本質を追求している」のだという。企業が限られたリソースの中でセキュリティ運用を行う際、優先順位付けや濃淡をつけざるを得ず、そのためには顧客にとって本当に優先度が高く実施すべき対策を提示できるサービスを目指しているという。
そういう話はこれまで何度も聞いたからこう尋ねてみた「では一言でいうと Securify のユーザーは何ができるということになるんですか」と。
「社長から “今一番やばいセキュリティ課題は何か” と問われたときに迷わず即答できるのが Securif の思想です(手塚)」
ちょうど手塚の取材にさかのぼること約 2 ヶ月前、mercari の CISO を取材した際に聞いた「 CISO の責務とは」についての定義と、ほぼ寸分たがわず同じ言葉がこの若者の口から返ってきたので少なからず驚いた。芯を喰っている。
Securify は 2021 年 12 月にベータ版の配布を開始し、翌 2022 年 7 月に導入 100 社を突破、9 月に正式リリースされた。コントロールパネルから新規プロジェクトを作成し、ドメイン所有確認を行った後に URL を登録するというスリーシェイクならぬ「スリーステップ」で、本当にこれだけで診断実施が可能になる。本誌の上野宣が「ビビるほど簡単」と語った製品である。
● 「あっち側の人」にはならない
取材の終盤で手塚は「自分は辻さんのような専門家ではないし、専門家になってはいけないと思っている。“あっち側の人”になってしまうとお客さんの求めるものを作れない」という印象的な言葉を口にした。かつて聞いたことがない発言だ。
ある種「セキュリティ ノンケ宣言」とも取れるが、要は「いやいや」セキュリティをやっている立ち位置にいなければ、世の大半を占める、セキュリティを「やむなく」「いやいや」「仕方なく」やっている IT 管理者の気持ちから離れてしまうということだろう。
多分この人は「あっち側」の魅力も十分わかっていて、なんなら「あっち側」に多少なりとも行きたいのではあるまいか。しかし行かない。絶対に行くもんか。こんなアンビバレントなプロダクト開発者かつて見たことがない。オトリ捜査を行う潜入捜査官のようなアイデンティティのありようであり、そしてこれこそが、正式ローンチからまだ 3 年足らずだが、Securify が将来的に斜め上の巨大な伸びしろを感じさせる理由でもある。
これまでのセキュリティ製品とは、極論するとあっち側の人があっち側の人に向けて作っていた。Securify はこっち側の手塚らが、同じくこっち側の管理者に向けて進化を続ける。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)