Flatt Security Blog

株式会社Flatt SecurityのBlogです。

「開発者に寄り添ったセキュリティを世界中に届ける」Flatt Securityの挑戦

f:id:flattsecurity:20211018010600p:plain

はじめに

こんにちは、Flatt Security CEOの井手です。

本日、Flatt Securityは資金調達と今後の事業展開についてのリリースを出しました。 ずっと顧客の課題に向き合うことに集中して外への発信にあまり力を入れてきませんでしたが、拡大フェーズに入り採用もガンガン行っていくため久々に筆をとらせていただきました。

このブログでは今のFlatt Securityがどういう世界を目指しているか、Flatt Securityの魅力は何か、などについて伝えていければと思います。

Flatt Securityの目指す世界観「開発者に寄り添うセキュリティの実現」

Not セキュリティ診断ベンダー but B2D セキュリティ企業

f:id:flattsecurity:20211018011600p:plain

まずFlatt Securityについてよくある誤解が、「セキュリティ診断を提供している会社でしょ?」というものです。

実際にセキュリティ事業の立ち上げから1年くらいは診断しかやっていなかった時期もありますし、ユーザーとの接点として今一番大きいものなのでこう思われることは致し方ないのですが、実際Flatt Securityは「開発者に寄り添うセキュリティの実現」という目標を掲げているB2Dセキュリティ会社です。

そして、目標達成の手段としてプロダクト事業とプロフェッショナルサービス事業があり、プロフェッショナルサービス事業のメニューの一つとしてセキュリティ診断があるというのが正確な表現なのではないかと思います。

f:id:flattsecurity:20211018011655p:plain

過去何度も「世界で勝てるものづくり企業」を作りたいという話をしてきていたのですが、そんなことを話しておきながら「ものづくり」してないじゃん、という見え方になっていたので実際かなりの苦悩がありました。

B2D とはなんぞや

いきなりFlatt SecurityはB2Dセキュリティ事業を行う会社だよ、と言ったわけですが、そもそもB2Dってなんぞやと思う方もたくさんいらっしゃるかと思います。

B2DはBusiness to Developerの略で、開発者を中心に価値創造・価値提供を行うビジネスモデルを表しています。

B2Dという言葉自体はあまり聴き慣れない方も多いかもしれませんが、皆さんが知っている企業にもB2D企業は実は多数存在しています。

例えば、開発者の方が皆使っておりMicrosoftに75億ドル(約8200億円)で買収されたGitHubをはじめとするDevOpsに関する会社や、AWS・GCPなどのクラウドサービスプロバイダは開発者を中心とした価値提供を行っており、B2Dの企業やサービス自体はこの10年近くですでにかなり台頭してきていると言えるのではないかと思います。

なぜB2D企業が台頭しているのか

この10年近くでB2D企業が増加・成長しているのにはしっかりとした理由があります。

直近の約20年(僕が「インターネット時代」と呼んでいる時期)で、現在の時価総額TOP10にいる所謂GAFAをはじめとして、ソフトウェアをビジネス競争力の源泉とする会社が増加しているのは皆さんもご存知の通りだと思います。 そしてソフトウェアをビジネス競争力の源泉にしているということはすなわち、ソフトウェアの改善スピードが重要になってきたということです。

その結果、各社優秀なエンジニアをインハウスで雇って開発組織を組成する形が主流となり、かつそういった企業が多数成長してきていることによって同時に、ビジネス上重要なDeveloperを価値提供の中心においているB2Dなビジネスモデルの企業も成長してきているのです。

Flatt Securityが解決したい課題

しかし、世界の主役がDeveloperチームを組成してサービス提供している企業になっている中、開発とセキュリティの分断・摩擦はまだまだ存在しています。

ソフトウェアの改善スピードが事業成長に直結する中、やはり開発スピードや可用性との天秤になることの多いセキュリティ面での指摘は難しい立場になってしまい、「外部セキュリティベンダーとクライアント企業」「組織内のセキュリティチームと開発・運用チーム」での分断・摩擦につながってしまっているという現状があるのです。

分断・摩擦をできる限りなくしていくことで、DevOpsがこれまで別々だったDevとOpsの職務領域を近づけて、OpsをDevが扱えるようにしたように、SecurityもまたDevに限りなく近づいていくと我々は考えています。

そのためFlatt Securityでは「開発者に寄り添うセキュリティの実現」のため、開発とセキュリティの分断・摩擦をプロダクトとプロフェッショナルサービスの両面からのアプローチで解消すべく挑戦をしています。

Flatt Securityの事業内容

じゃあ具体的に「開発者に寄り添うセキュリティの実現」のために何をしているのかという話をします。

弊社は大きく分けてプロダクト事業とプロフェッショナルサービス事業を行っています。

プロダクト事業

プロダクト事業では、主に「Developer-First」なソフトウェアによってプロダクト開発に関するセキュリティ業務の属人性を下げ、開発者・運用者が使用できるセキュリティツールを現代の開発・運用フローと親和性の高い形で提供することを目指しています。 たとえば、Shisho Cloudはクラウドのセキュリティ上の問題を開発者でもサクッと直せるようなサービスになっています。

僕自身もともと開発者として業務を行っており、その後セキュリティツールを触るようになった時にものすごい手触り感の悪さを感じていたのですが、やはり未だに多くのセキュリティツールがセキュリティ屋さんによるセキュリティ屋さんのためのツールに留まってしまっていることを感じています。 そのため弊社では、開発者が使うことを前提としたプロダクト開発を目指しています。すなわち開発者が手軽に試して価値判断でき、開発者の環境に馴染んでおり、開発者が使いやすいUXを持った「Developer-First」なプロダクトを届けるということです。

Developer-First Securityについては弊社CTOの米内のスライドがとてもわかりやすいです。

speakerdeck.com

先月の調達において85億ドル(約9340億円)のバリュエーションがついた(Snyk snags another $530M as valuation rises to $8.5B – TechCrunch) Snykなどは、Developer-First Securityを体現してると考えていて、同じようなオープンソースコンポーネントのセキュリティスキャンなどに取り組んでいるプロダクトは多数ありますが、Developer-Firstという観点から体験が根本的に異なっていて、それが企業評価額にも現れているのかなと感じています。

僕はセキュリティについて門外漢な状態から事業を初めて、当初は業界のことを全く理解できていなくその点において引目を感じることもありましたが、この2年半の事業運営の中で開発者出身だった自分だからこそできるセキュリティ事業というものがかなり明確になってきており、それがまさにDeveloper-First Securityなのではないかと考えています。

プロダクト事業に関する詳細はぜひ米内のブログをご覧ください。

プロフェッショナルサービス事業

プロフェッショナルサービス事業では、普遍的でなくプロダクトでは解決できない課題に対して、専門家の知識・技術を用いて「開発者に寄り添うセキュリティの実現」のために必要な価値提供を行うことを目標としている事業です。

スタートアップにおいて人月のビジネスモデルはあまり評価されない傾向にありますが、このセキュリティ業界においてプロダクトで完全にカバーできる領域がまだまだ多くないこと、また顧客との接点を持つことで多くのインサイトを得ることができることから、プロフェッショナルサービス事業があってこそプロダクト事業ができる状態になっていると考えています。

具体的なサービスとしてはセキュリティ診断になるのですが、多様な技術スタックに対して個別最適化された診断プランをオーダーメイドで提案する「クラウドネイティブ診断」という概念を提唱するなど次世代のサービスになるべく取り組みを進めています。このタイプの診断は特にFirebaseに対する診断や、AWS・GCP・Azureに対する診断において実践を開始しています。

また、元々ウォーターフォール開発を想定したセキュリティ診断を現代の継続的なデリバリにもフィットさせるべく、アジャイル開発に対応した診断を行ったり、開発工程の上流からコンサルティング的に携わったり、様々な価値検証を行なっています。

さらに、KENROというセキュアコーディングをe-learningの形式で手を動かしながら実践的に学ぶことができるサービスを提供しており、ただ診断を行うだけでなくその後の修正もサポートすることでより本質的なセキュリティ面での改善をサポートしています。

上記のコンサルティングやKENROの例にもある通り、Flatt Securityとして、「開発者に寄り添うセキュリティの実現」が最大目標なのは変わらず、あくまでも診断だけが解決方法ではないと考えていて、今後もDeveloperのみなさまと一緒に既存のサービスのあり方に囚われずにより理想のサービス提供を目指していければと考えているので、ぜひ上記のような課題に共感していただける方は様々なご意見やフィードバックをいただけると幸いです。

プロフェッショナルサービス事業の詳細な説明については事業部長の宮下のブログがとてもわかりやすいと思うのでこちらもぜひ併せてご覧ください。

Flatt Securityのこれから

ここまでは現在のFlatt Securityについて話してきました。 ここからは、Flatt Securityがこれからどうしていくのか、についてポエムのようなものをつらつらと書いていきます。

海外挑戦

僕の事業の立ち上げ時の想いは変わっていなくて、変わらず「世界で勝てるものづくり企業」というのを目指しています。 そして、現在プロダクト事業として注力しているShishoも日本ではなくUSをターゲットに事業を行っています。

いろいろな先輩に相談させていただく中で、日本の事業でもそれなりの大きさがあるからそちらを大きくしてからでもいいのではという意見もいただいたのですが、やはり日本だけだと自分の目指す1兆円企業の目標に対してどうしてもTAMが足りないことなどからUSへの挑戦を行うことにしました。 実際検証を進めていく中で、起業は学習速度の戦いであるということを再認識させられることが多く、USのベイエリアで戦っている会社の圧倒的学習速度の中に身を置くことでよりヒリヒリしたプレッシャーを感じることができています。

また、USにターゲットをおく意思決定には先輩方の挑戦も大きく影響しています。 近年では、会社設立前にお世話になっていたメルカリさんや近い領域でいうとAutifyさんなど、海外で挑戦する会社が増えており、SmartHRさんなど海外投資家から巨額の調達をしている会社も出てきています。 先輩方の背中をみてここまでこれていますし、今後もよりたくさんのことを諸先輩方から学ばせていただければと思っています。(USで挑戦されている方が知り合いにいらっしゃればぜひご紹介いただけると嬉しいです!)

ビジネス職の強化

プロダクト事業も検証に追われているのですが、プロフェッショナルサービス事業についても前述した通りどんどん「開発者に寄り添うセキュリティの実現」に向けて変化を遂げていくフェーズなので、検証をプロダクト事業同様にスピード感もって進めていきたいと考えています。

そこで現在課題になっているのがBiz職の採用です。 ここでいうBiz職は事業価値の最大化全てを含んでいるのですが、開発領域に親和性がありかつ事業価値の最大化に向けて動いていただけるような方が圧倒的に不足しています。

一緒に働くセキュリティエンジニアについても本当に胸を張れるようなメンバーが集まっていますし、技術バックグラウンドを存分に生かしつつ、かなり面白い挑戦ができる数少ないポジションだと自負しているのでもし少しでも興味がある方がいらっしゃればカジュアルにお話しをしてみたいです。

CxOの採用

上記のビジネス職の採用と近いですが、経営チームとしてももっとレベルアップしていかなければいけないと思っています。 たとえば、海外上場も視野に入れている中でより海外機関投資家からの調達やナスダック上場に知見のあるCFOの方を採用する必要がありますし、(ポジション名と役割は一定ではないので大まかな話にはなってしまいますが)いわゆるCOOやCMO、CHROなどの役割が弊社には現状存在しません。

高いレベルで経営を執行しなければいけない中、やはり経営として自分のできるころの限界もかなり感じており、もしいろいろな経験をもつ方が力添えをいただけるのであえればより1兆円企業の目標が現実に近づいていけると思うので、ぜひ力を貸してやってもいいよという方がいらっしゃればよろしくお願いします!

採用候補者向け会社説明会を10月28日に実施しますので、まずはこちらに話を聞きに来るだけでも構いません。 f:id:flattsecurity:20211018102821j:plain

申し込みは下記URLのフォームよりお願いします。

https://forms.gle/ip5BNeZbAtaZ1K3b9

さいごに

つらつらと思っていることを書き連ねてしまいましたが、簡単にまとめると

  • 世界で「開発者に寄り添うセキュリティの実現」をできるように頑張っています!
  • 人をたくさん募集しています!楽しい自信あるのでとりあえず話だけでも聞いてください!
  • たくさん学びたいのでいろんな方とお話ししたいです!

といった感じです、これからもFlatt Securityをよろしくお願いします。