ハッキングされた経験からサイバーセキュリティに関心を

桑原：牧田さんが現在のGMOサイバーセキュリティ byイエラエ（以下イエラエ）の前身であるイエラエセキュリティを創業された経緯と、その後、どういった流れで今に至っているかを聞かせていただけますか。 

牧田：私がサイバーセキュリティに興味をもち始めたのは、高校生の頃です。まだADSLもなく、ダイヤルアップでの通信が流行り始めた頃でした。パソコンで海外の人とチャットをしていたら、「お前のパソコンをハッキングした。証拠としてCDドライブを開ける」と言われ、見ていたら本当にドライブが開いたんです。すごい世界があるものだと興味をもちました。 「ソースコードレベルでセキュリティをわかる人は、世界で何人もいない。勉強したらどうだ」と父親からもアドバイスをもらいました。大学の工学部に進学して、情報セキュリティのゼミに加わり、攻撃を中心にセキュリティの勉強を始めました。 

桑原：自分もやってやろうじゃないかと。

牧田：そうです。ハニーポットを作ったり、エクスプロイトでサーバーに侵入したり、卒論のテーマも「攻撃と防御」を選びました。 卒業後は、ソフトバンクに入社してセキュリティチームを立ち上げ、その後のサイバーエージェントでもセキュリティチームの立ち上げに関わりました。 その頃、ソニーがサイバー攻撃を受けて情報漏えいする事件がありました。セキュリティ対策をしていないと大きな損失に繋がることの理解が進み、サイバーセキュリティの需要が急拡大しました。 もともと私は、ソフトバンクで3年勤めたら起業しようと思っていたので、それなら自分でセキュリティサービスの会社をやろうと思い始めました。結局、起業までは8年ぐらいかかりましたが。

当時のセキュリティにおける2つの課題 

牧田：当時、セキュリティには課題が2つありました。1つは、必ずしも品質が高い会社ばかりではなく、しかも価格が高かったことです。我々が受けていた脆弱性診断も、価格に見合う品質の仕事ができる会社さんは少なかったです。 もう1つの課題は、セキュリティエンジニアが全く評価されていなかったことです。世界トップレベルに入るほどのエンジニアが、400〜500万円位の給料しかもらっていなかった。給料だけではありません。夜型の人が多いので、朝は起きられない。だから朝は会社に来ない。スーツを着たくない、満員電車に乗りたくない、客先に行きたくないという人が多かった。コンピュータと喋っている方が好きな人たちだから。私から見たら、世界トップの才能をもっていて天才と言われるような人たちが、ないがしろにされていて、場合によっては問題児扱いされていました。 こうした課題を解決するために、会社を作ることにしました。目的は、セキュリティエンジニアを助けることと、お客様を助けること。これは私の元々のライフワークでもありました。 そこで、CTF（Capture The Flag）と呼ばれるハッキングコンテストに一緒に参加していたエンジニアたち一緒にやろうよ、と声をかけました。そうやってエンジニアを集めて、お客様に対しては従来の半額程度の価格で最高品質を提供するコンセプトで起業しました。これが最初に作ったイエラエセキュリティという会社です。

ココングループと合流し日本一を目指す

桑原：イエラエセキュリティを設立したあと、業績は順調だったのでしょうか？ 

牧田：そうですね、ずっと黒字で売上が毎年2倍になる感じでした。 エンジニアも、最初の2〜3年は少数精鋭でやっていたのですが、1人入社するとその周りにいる優秀な人たちが集まり、各分野のスペシャリストがそろっていきました。黒字経営していたので資金調達の心配もありませんでした。 当時、イエラエセキュリティは営業利益率が50%で、顧客からの評価も高かったですが実は、限界を感じていました。営業、PM、チームマネジメント、見積書、請求の発行、入金確認、決算作業。これを1人でやっていたので、これ以上は、このままでは難しいと感じていました。 自分の手の届く範囲の人を助けられたら、それで満足だったのですが、会社としての成長については限界を感じていました。 創業して3年半くらいたった頃に、ココン株式会社の社長であった当時22歳の倉富さんから、一緒にやらないかと声をかけられました。倉富さんに出会ったときに、自分に足りていなかったものが欲であることがわかりました。倉富さんは欲の塊だったんです。 「俺は孫さんを絶対超える。この会社も順調に伸ばして、最年少上場を達成して、トヨタの時価総額を超える」という話をされていて、きれいな言葉で言えばビジョンですが、有り体に言えば欲なんですよね。私にとって孫さんは日本一の経営者でしたが、その孫さんを超えて自分が日本一になると言える22歳の若者がいる。この欲望は、経営者としてはすごい才能だと思って、一緒にやることを決めました。 ココングループに入って、孫さんやトヨタを超える会社を目指して規模を拡大していきました。会社を大きくすべく10人、20人、30人と採用していきました。 世の中にはセキュリティニーズはたくさんあって、でもそれに応えられる会社がないことからお客様は困っていました。それを1社1社、丁寧に対応していった結果、組織が大きくなっていきました。

ココングループの10社を統合し代表に就任 

牧田：その後のココンはIT系のスタートアップを買収する戦略で成長してきましたが、進めていく中で経営の軸をやや見失いつつありました。2021年に、ココングループの更なる成長に向けた経営方針について議論するために、軽井沢に役員が集まって合宿をしました。 この合宿には、桑原さんにも参加してもらいましたよね。2020年12月にVGIさんからココンに出資いただいてから、桑原さんには我々の一番の理解者、パートナーとして、ここぞというときに相談に乗っていただきました。 政府系ファンドの方って、もう少し官僚的というか、サラリーマン気質な人が多いと思っていたのですが、桑原さんは全然違う。だから、話していても全然違和感がなくて、ついつい面倒な相談もしてしまっています。

桑原：私は学生時代に物理を専攻していたので、周りにいる人達は研究者気質の、夜型で朝は起きられないといった、ちょっと現実離れしている人たちでした。でも、その人たちがすごい人であることはわかるし、そういう人たちが活躍できる世の中であって欲しいなと思っていました。 そういう意味では、ホワイトハッカーの方が活躍しているイエラエという会社は素晴らしいなと思い、応援したいと思っていました。 

牧田：ありがとうございます。 軽井沢の合宿で膝を突き合わせて話をして、今までのM＆A戦略ではなく、事業に1本筋を通した方がいいのではないか。ココンのサイバーセキュリティ領域、つまりイエラエセキュリティが大きく成長していたので、そこに注力する方向性が見えてきました。 そして、我々のミッションについて話をするうちに、ハッキングや情報漏えいが社会課題になっているのだから、日本を守るというミッションがあるのではないかとの結論になり、それを新しい会社の軸に据えました。 ココンに集まっていた会社に、日本を守るために必要なピースがそろっていたのです。イエラエセキュリティは、ホワイトハッカーと呼ばれている高いレベルのセキュリティエンジニアがいて、ハッキングやサイバーセキュリティの攻撃に関するノウハウがたくさんありました。グループ内にはレピダムのように開発ができる会社もあれば、デザインやUI/UXが得意な会社も、SaaSを運用している会社もありました。それなら、日本最強のセキュリティプロダクトを作って、日本全体に提供することによって、日本を守るというミッションが実現できるのではないかと。 そこで、ココンの子会社を合併して、会社名もイエラエセキュリティとすることにしました。グループ内でサイバーセキュリティについて一番知見があるという理由で、私が倉富さんから社長を引き継ぐことになりました。

日本を代表する企業の9割に外部から侵入できるという現実 

桑原：日本社会では、いろいろなセキュリティのインシデントが起きてきました。セキュリティで日本を守るというミッションを掲げる御社が、どのような役割を果たしているのか、少し具体的に説明していただけますか？

牧田：イエラエには、ホワイトハッカーがたくさんいるので、オフェンシブに強いんですね。サービスやプロダクトに対して疑似攻撃をしかけて、侵入できるかをテストするサービスなどを提供しています。 イエラエのお客様の多くは上場している大手企業です。セキュリティ予算も何千万、何億円と投資している会社ですが、9割以上のシステムに侵入できてしまうことがわかったんです。 セキュリティ投資をしていない、もっと小さな会社、地方の会社など含めたら、日本は相当に危険な状態にいると言えます。我々が9割以上の企業に侵入できるということは、我々と同等以上の知見をもっている、本物の悪意ある攻撃者なら当然同じことができます。ECサイトだったり、銀行のインターネット化だったり、デジタル情報革命でIT依存が進んでいるから、リスクは高まる一方です。

桑原：攻めのDXばかり注目されている中で、実は守りが重要になってきているということですね。

牧田：その通りです。ハッキングによって個人情報が流出した時代から、暗号資産が何百億円分も盗まれる時代になってきました。今は、人命にも関わりだしています。大阪の病院がハッキングされて電子カルテが使えなくなり、病院が記憶喪失になった。この患者が誰で、どういう治療が必要で、何をどうしたらいいのか、誰もわからない状態になって、人命にまでサイバーセキュリティが影響するようになっています。 DXによって社会の利便性が高まることはとても良い側面もありますが、この状況は、攻撃者にとってもすごく便利なのです。世界中のどこからでも、特定のサイトにアクセスできるし侵入もできるという負の側面もあります。 DXがもっと進むにつれて、セキュリティインシデントが深刻になっていくことが見えているので、日本を守ることを我々の中期的なミッションに据えています。

桑原：日本の社会全体としてもそうですが、日本企業の経営という意味でも、サイバーセキュリティのリスクが大きくなる中で、そこをしっかりと守っていくことが御社のミッションですね。 

牧田：人災や天災は、保険数理によって、ある程度数学的に想定できます。けれども、サイバーセキュリティでは、想定におさまらない規模の被害が発生します。私でさえ、例えばボタンを1個押して、数千、数万人のPCに侵入することができてしまう。イエラエのもっとレベルの高い人たちは、ゼロデイなどまだ誰も知らないセキュリティの穴を見つけることができるので、 例えば、Windowsを使っている人を全員、ハッキングできるはずだと思います。たった1人のハッカーが及ぼせる影響の範囲が大きすぎて、数学的な確率の話にはおさまらないのです。日経新聞に出ていましたが、ヨーロッパのCRO（Chief Risk Officer）は、2023年の最大リスクはサイバーセキュリティであると言っているそうです。 日本企業の9割のシステムに侵入できることを、その企業のセキュリティ対策に関わっている人達すら知らないし、一般社会の人も誰も知らない。我々は、実際にお客様の依頼を受けて侵入テストをしているのでセキュリティリスクの重大さを実感していますが。

新しい技術を研究し攻撃をしかけ、脆弱性を明らかにする技術 

桑原：9割のシステムに侵入できるという話ですが、それを可能としている御社のホワイトハッカーのレベルの高さに関するエピソードなどを教えていただけますか。

牧田：我々がやっているのは、新しい技術が出てきたら、その技術を研究して攻撃をすることによって、脆弱性を明らかにし、それゆえにこういうセキュリティが必要であると報告することです。 会社を作った当時の2011年頃は、iPhoneやAndroidが出てきたばかりでしたので、スマホアプリにどういうセキュリティが必要なのか、誰も知りませんでした。我々はそこに対して攻撃をして、こういう対策をしていないと情報漏えいする、ゲームだったらチートされることを明らかにしていきました。 IoTが出てきたときも同じようなアプローチで脆弱性を明らかにしましたし、車の自動運転が出てきたときも同様です。ドローンや空飛ぶ車の開発に対しても、同じようなアプローチで脆弱性を調べています。新しい技術が出てきたら、半分はエンジニアの趣味として、攻撃手法を研究して対策を導き出しています。 

凄腕のエンジニアが集い、会社に残り続ける理由とは 

桑原：技術的にも、とても高度なことをやっていると思うのですが、そういった高度なことができる凄腕のエンジニアが御社に集まって、定着率もとても高い理由は何でしょうか。

牧田：イエラエのエンジニアの退職率はここ数年ほぼ0％です。でも、これにはしかけがあります。エンジニアを助けるのが我々のミッションなので、エンジニアが働きやすい環境になるように課題を解決しているからです。 まず、労働時間の問題と給料の問題を解決しています。あとは裁量、やれる仕事の問題も解決しています。つまり給料が高くて、労働時間も残業がないことを理想としているし、技術的なチャレンジは推奨する。新しい技術が出てきたら、実験用のテスラも自腹で買ってきます。そういうものに定期的に投資して、常にチャレンジできる状態にしている。だから辞める理由が少ないのだと私は解釈しています。 優秀なエンジニアがいるから、お客様を助けられます。お客様を助けたら、お客様は売上で返してくださいます。会社が儲かったら、もう1回エンジニアに還元して、そうするともっともっといい人が来て誰も辞めていかない。そして、最高品質のものを戦略的に最低価格に近く提供してお客様をまた助ける。そのエコシステムをまわしているんです。 申し訳ないけど、株主は最後です。これは、株主をないがしろにしているのではなくて、結果的に株主も儲かるという考え方をしているからです。 株主を最優先する、もしくは会社の利益を最優先するなら、値段を3倍にすればいい。品質を下げることで時間を半分にして、エンジニアを2倍働かせる。コストの大半は人件費なので、給料を半分にすれば利益はあっという間にあがります。 会社は儲かるでしょうが、エンジニアがみんな辞めてしまって、お客様も離れてしまう。そうなると株主が損をしますよね。だから、エンジニアファーストに徹します。結果として会社も株主も必ず儲かります。

桑原：短期的な利益を追い求めるよりは、中長期で、日本の優秀なセキュリティエンジニアが全員集まってくるような会社、かつお客様もイエラエに発注しておけば間違いないという状況を目指しているということですね。 

牧田：おっしゃる通りです。我々は、市場独占を目指しています。これは、自分達だけが勝ち残りたいからではなく、どこよりも安く、一番優れたサービスをこの社会に広げたいという思いがあるからです。 そして、エンジニアに対しては、世界で一番働きやすい環境を作る方針を採っています。イエラエの平均年収は、去年860万でした。でも、キーエンスはもっともっと高いので、まずはそれを超えたい。それには、我々の業務を通じてお客様に提供する価値を上げていくことです。その結果、キーエンスを超えることを目指していきたいですね。それが実現したら、今度は世界で一番を目指したい。そのために、世界でも一番価値を創造できる会社を目指します。

GMOインターネットグループに参画した狙いとは 

桑原：なるほど、よくわかりました。ところで、昨年、GMOインターネットグループに参画しましたが、その狙いと、今後目指すものについて聞かせていただけますか。

牧田：ココングループを1社に統合したことによって、最高のプロダクトを作れる状態になりました。ただ、日本を守るためには、プロダクトを普及させて日本全体のシェアを取らなければなりません。 倉富さんがGMOインターネットの熊谷代表と知り合いだったということもあって、熊谷さんと話をすることになりました。熊谷さんと話をするうちに、日本を守るというミッションを実現するためには、GMOインターネットグループに参画することがベストだと思うようになりました。なぜなら、GMOインターネットグループは日本の9割のドメインと、6割のホスティングサーバーを運用しているからです。我々のプロダクトをその9割、6割の人達に提供することによって、自動的に日本を守っている状態を作れます。 そしてもう一つ、我々には上場という大きな目標がありました。GMOインターネットグループではグループ内で10社が上場しており、上場のノウハウをお持ちということもあり、このGMOインターネットグループへの参画を選びました。

桑原：熊谷代表をはじめとして、GMOインターネットの皆さんの熱量というかコミットメントが高いと伺っていましたが、実際グループ入りされた後はいかがですか？

牧田：もっと熱くなっていますね。普通は、最初だけ代表が出てきてあとは現場で、という流れかと思いますが、今でも週に2〜3回は、熊谷さんとミーティングがあり、プロダクトやマーケティングについて話をしています。 GMOには100の企業があり、7,000名の社員がいるのですが、意思を統一するために毎年スローガンを作ります。今年は最優先課題としてイエラエのプロダクトを全社で実装し、自社サービスの差別化を図ることになっています。今は、シェアナンバーワンかもしれないけれど、セキュリティをアドオンすれば他社が追従できない付加価値になるからと、GMOインターネットグループ全体がイエラエのプロダクトにコミットしてくれています。

防衛や警察の捜査にも携わり日本を守る

桑原：ありがとうございます。大企業がスタートアップを買収したあと、シナジーをどう発揮するか苦労するケースも多いように見受けられます。しかし、御社とGMOインターネットさんの関係性は理想的と思えます。 最後の質問になりますが、我々VGIについての評価やご要望などをお聞かせいただければと思います。

牧田：いろいろな投資家に入ってもらっている中で、VGIの桑原さんが一番時間を割いてサポートしてくださっていますね。取締役会にも毎回参加して、必ず発言をしてくださる。中立的な立場から、冷静なコメントを的確にしてくださっている。時々、厳しいことも言ってくださるのは、我々としては非常にありがたく思っています。 桑原さんは、これまでいろいろな投資先を見てきて、あるいは投資をしなかった会社を含めると何百社を見ている中で、失敗するパターン、うまくいくパターンをたくさん知っていますよね。これは典型的な失敗するパターンだとか、この会社はこうしたらうまくいったという話もしてくれるので非常にありがたいですね。

桑原：確かにその部分は、我々が提供できる価値かもしれません。 

牧田：今後、VGIさんに期待したい点としては、官公庁のニーズの紹介が可能であれば、そこをお願いしたいですね。日本を守るというミッションのためには、防衛や警察の捜査に携わることが今後さらに必要になると思います。今は当社で手掛けている官公庁系の案件が少ない状態なので、サポートを期待しています。 実は、ウクライナ戦争は、始まる半年前からサイバー戦争が始まっていて、お互い侵入したり、されたりという状態でした。そういう意味でも、国としてもサイバーセキュリティは大切です。経済安全保障の観点からも、サイバーセキュリティのあり方が変わっていくようです。我々は必要な技術をもっているので、そこに貢献できたらと考えています。

桑原：VGIは政府系のベンチャーキャピタルという特殊な存在ですので、うまく連携させていただきます。今後、国の案件や国自体のサイバーセキュリティの力を高めるための取り組みを一緒にできればと思います。 

牧田：我々のミッションとしても、国としても、日本のサイバーセキュリティを守ることは大事ですので、これを実現するためのサポートやアドバイスをお願いします。

桑原：こちらこそ、よろしくお願いします。今日は、ありがとうございました。

最終更新日：2023年4月21日