Flatt Securityが事業にかける想いと目指すVision／代表井手康貴×セキュリティエンジニア米内貴志

Flatt Securityではどのようなエンジニアが働いているのか、会社の雰囲気をお伝えするために社員インタビューを実施。今回お話を伺ったのは正社員として働きながら、セキュリティ・キャンプ全国大会講師や電気通信大学WEBSYS講師などを歴任しているセキュリティエンジニアの米内貴志さん。

米内さんは、代表の井手さんが所属するサークル「TSG（東京大学理論科学グループ）」の後輩にあたります。井手さんの「日本発の、世界で使われるセキュリティプロダクトを開発したい」という価値観に共感し、2019年にジョインしました。

セキュリティに対する思いやFaltt Securityでどのような事業を展開していきたいのかなどを、井手さんとの対談形式でお届けします。

写真左：井手康貴（＠niconegoto） Flatt Security代表取締役。東京大学経済学部在学中。大学入学後、メルカリなどでのエンジニア経験を経てFlatt Securityを創業。ソニーや任天堂、トヨタのような日本を代表する世界に愛されるプロダクト企業を目指す。

写真右：米内貴志（＠lmt_swallow） 東京大学理学部情報学科在学中。セキュリティ・キャンプ全国大会講師、SECCON Beginners リーダー、電気通信大学WEBSYS講師等を歴任し国内CTFへの問題提供やワークショップ開催等も精力的に行っている。

「テクノロジーを最大化することに向き合い、世界で愛される企業になる。」というビジョンに共感したメンバーが集まっている
DevSecOpsを妨げている課題
エンジニア向けのトレーニングを開発中
Flatt Securityには「今のセキュリティ業界に飽きている人」が向いている
終わりに

「テクノロジーを最大化することに向き合い、世界で愛される企業になる。」というビジョンに共感したメンバーが集まっている

——そもそもなぜ、サイバーセキュリティ事業を始めようと思ったのでしょうか？

井手康貴（以下、井手）：まず僕には海外の売り上げが会社全体の売り上げの7〜8割あって、かつ時価総額が数兆円規模になるような日本を代表する会社を作りたいという人生目標があります。

加えて社会的意義のあることをしたいと思いもあり、たどり着いたのがサイバーセキュリティ事業でした。セキュリティは重要性が上がっているし伸びている市場なので、個人的にもやっていておもしろいですね。

——その思いは、Visionの「テクノロジーを最大化することに向き合い、世界で愛される企業になる。」という部分にも反映されていますね。

井手：そうですね。ただ、会社のビジョンは、言ってしまえば僕のエゴです。僕の想いを押し付けてしまっている部分もあるのですが、ありがたいことに共感してくれるメンバーが集まってくれています。

とはいえ、僕はセキュリティエンジニアではないからわからないことは多いし、まだ始めたばかりの事業なので、業界として解決しなければいかない課題もたくさんあります。米内をはじめとした社内のセキュリティエンジニアにヒアリングをしながら、それらを解決できるような事業やサービスの開発を進めています。

DevSecOpsを妨げている課題

——米内さんから見て現状、企業のサイバーセキュリティにはどのような課題があると思いますか？

米内貴志（以下、米内）：アプリケーション開発において、セキュリティベンダが「第三者」を抜け出せていないことが大きな課題だと思っています。

前提として、“DevSecOps”という言葉自体は長らく叫ばれています。これを取り入れようとするチームも多いです。しかし実際のところ、このモデルを上手く取り入れられているのは、一部の優れたチームのみに留まっています。その数はほんのわずかです。

この背景にあるのは、本来全体の底上げに貢献するべきセキュリティベンダ側が、DevSecOpsの文化醸成を効率的にサポートできていない現実なんだと思います。まずDevSecOpsのワークフローを上手く回していくためには、「自動化」が大切です。しかしそれを支えるツールは、OSSのものも、商用のものも、まだ不足しています。それにツールがあったとしても、使用者がセキュリティに関する理解を持っていないと、そのツールを正しく取り扱えません。なので教育は大切ですが、いまだ教育は行き届いていません。つまり結局、ある日「DevSecOpsをやろう！」と思い立っても何をやったらいいのかわからない。またはそもそも取りうる手段が少ない、というのが現状なわけです。これは本来セキュリティベンダが解決していくべき課題だと思います。世の中にあまたとある開発チームの各々が時間を割いて整備していく、というのは効率が悪いですよね。

そしてさらに深く掘って考えると、このような状態が続く根本的な原因は、多くのセキュリティベンダがDevSecOpsを「自分ごと」として捉えていないことなんだと思っています。あくまで「セキュリティの会社の仕事＝脆弱性診断を始めとした『第三者』としての仕事」という考え方がメジャーです。開発フローのもっと早い段階で開発者を支えていこう、という意識が希薄なんじゃないかと。

DevSecOpsの考え方が普及していくことで、ユーザ企業の中での「開発チーム対セキュリティチーム」という構図は融和しつつあります。しかし「セキュリティ業界対それ以外の業界」という構図はまだまだ消えていません。これも融和しなきゃいけないのでは、というのが今僕が思う課題です。もちろんこの壁を壊そうと努力しているセキュリティベンダもいくつかありますが、もっともっと努力が必要だというのが、今の自分の考えです。

——ずっと言われているけれど、対立構造はなくならないということですよね。

米内：なくならないというよりは、セキュリティの会社は「こういう脆弱性がありました。だからあなたの会社も危険です。弊社にお金を払えばなんとかします」というやり方のほうが楽に利益を挙げられます。つまりエンジニアリングしなくても、今のビジネスモデルのまま診断のようなビジネスだけ受注していく方がいいんですよね。

開発者をより早いタイミングで助けるための仕組みの整備をセキュリティベンダが主導できていないんです。あくまでセキュリティベンダはセキュリティベンダ＝「最後の砦」になってしまっている。その構造が保たれたままになっています。それが本質的によくないと考えています。

また大抵のセキュリティベンダの中では、モノづくりの能力を持った人よりも、診断のような「職人芸」が出来る人のほうが高い評価を得るものです。そういう状態から急にセキュリティベンダが何かを作ろうとすると、まずは人集めからスタートになります。ここには金銭的な問題や、人材獲得の問題が出てきます。

ただ10年単位で見たら、「初歩的な脆弱性を見つけて指摘したら稼げる」という構造はなくなるのではと考えています。セキュリティ面がしっかりケアされた製品って増えてきているんですよ。例えば今のゲーム機なんかは本当によく考えられています。

こういうことがもっと進めば、セキュリティエンジニアとして必要なスキルももっと上がっていくと思います。

井手：僕の大きいビジョンとしては、テクノロジーの力で課題を解決していくこと。なのでまずはツールの開発や育成サービスで、DevSecOpsの実現を目指したい。しかしそれでも、複雑なところには、どうしても脆弱性が生まれてしまいます。それに対して、専門技術を持つ当社のセキュリティエンジニアがプロフェッショナルサービスを展開できるようになるのが理想です。

エンジニア向けのトレーニングを開発中

——米内さんが中心となり開発している「トレーニング」について教えてください。

米内：先ほど DevSecOps に関して、そもそも教育が不足している・使えるものが少ないという 2 つの問題を挙げました。この中で私は現在、前者の教育に関してのプロダクトの開発をしています。

このプロダクトはオンラインで受講できる学習サービスです。弊社の手練が書いた学習用テキストと、CTF チックな問題を通してアプリケーション開発に必要なセキュリティ知識を体系的に身につけていただくことができるものになっています。

学習コンテンツのクオリティだけでも十分な自信があるのですが、他にもいくつかこのプロダクト特有の機能や仕組みもあったりします。これに関しては近い内リリースが出るはずなので、そちらを楽しみにしていてください。

Flatt Securityには「今のセキュリティ業界に飽きている人」が向いている

——この記事を読んだ人は、Flatt Securityに興味のあるセキュリティエンジニアの方もいるかと思います。どのような人材と働きたいと思いますか？

井手：当社のValueである「倫理を徹底する」「オーナーシップを持つ」「ギークでミーハーであれ」に沿っている人が来てほしいですね。

米内：僕はネガティブな表現をしがちなのですが、個人的には今のセキュリティ業界に飽きている人が来るといいじゃないかなと思います。

井手：業界の課題に対して、ちゃんと手を動かして解決していこうという人がいいですよね。

米内：それで言うと、セキュリティエンジニアを目指すのではなくて、“エンジニアでありつつセキュリティに詳しい人”を目指している人が適しているんじゃないかなと思っています。

もちろん、Linuxカーネルの脆弱性を探すような、その領域に特化している人でないと提供できないプロフェッショナルサービスもあります。「誰も気づかないような大きい脆弱性を見つけてやるぜ！」という人にも来てもらえると嬉しい。

ただ、僕の業務の近いところから見ると、気合いや人力でがんばる人より、もっと早い開発フェーズなどで課題解決してくれる人がいてくれるといいなと思っていて。

もちろんセキュリティという領域は、特化した知識が多い。常にエンジニアリングしかしてこなかった人は、新しい知識を入れるコストはかかります。とはいえ、「セキュリティ担当者に指摘されるとしんどいから、指摘される前に課題をなんとかしたい」と思えるエンジニアがFlatt Securityのビジョンにも合っているのではないかなと思います。