「ほんっとに、びっくりするくらい、タイムが短くなっているんですよ」
今回取材の中で一番気持ちがこもった発言がこれだったと思う。まるで陸上部に所属する自慢の弟がトラック競技のラップタイムをどんどん縮めていることを喜ぶ兄のようで、実に嬉しそうな笑顔だった。
……彼らが不慮の事故で両親を失ったのは、兄が高校生、弟がまだ小学生のときだった。頼れる親戚もなく天涯孤独の身となって以降、兄は医師になる夢をあきらめて高校を自主退学し、ドイツの医療機器メーカー向けの部品を製造する町工場に就職し、懸命に働いて親代わりとして弟を育てた。養護施設に行けば 2 人とも離れ離れになってしまう。
両親を失ったことで中学以降、弟は荒れに荒れた。喧嘩や暴力沙汰を起こした弟を警察まで引き取りに行ったことも数知れない。しかしどんなときも弟に説教じみたことを言ったことは一度もない。公平に見て喧嘩の原因の多くは相手にある場合が少なくなかったし、まっすぐに自分をにらみつけてくる弟の目を見ていると、奪われてしまった自分たちの夢を弟が(間違った方法ではあるものの)がむしゃらに社会から奪い返そうとしているようにどこか思えたからだった。
決して優秀とはいえない高校に進学した弟だが、かつてオリンピック選手を育てたことがあるという陸上部の顧問から体育の授業で才能を見出され、すぐにレギュラー選手として抜擢されると、見違えるように変わっていった。
市の大会で優勝し、やがて地区大会でも優勝、そして県大会へと勝ち進み、ついに県記録を更新して優勝した。兄はすべての大会に足を運んで観客として声援を送った。町工場の社長も、大会のときだけはどんな繁忙期でも休暇を取ることをいつも快く許してくれた。
高校最後のインターハイに出場して良い成績を残せば、大学進学へつながる奨学金を得て、スポーツ推薦の道が開かれるかもしれない。そんな弟の成長を喜ぶように、冒頭の「ほんっとに、びっくりするくらい、タイムが短くなっているんですよ」という言葉が口に出された。
……ん?
何を読まされているんだオレ/わたしは?
いったいどこの誰がどうしたって?
そう思ったあなたは全面的に正しい。聞いて驚け、両親の不慮の事故だの、弟が不良になって荒れただの、オリンピック選手を育てた陸上部の顧問だののくだりは、完っ全にたとえであって、全部まるっきり俺の作り話だ。
やっぱりそうか! おまえの妄想かよ! なんてものを読ませてくれるんだ貴様は!
いずれの発言も正しいから甘んじて受けよう。ふつうに書いたらあの希望に満ちた嬉しそうな顔は伝わらないと感じたので、こういう奇策ともいえる表現をとらざるを得なかった。ちなみに初稿段階では高校陸上部の顧問に、自身が体育大学の学生時代にアキレス腱のケガで選手としての道を泣く泣く断念したというサブストーリーまで準備していたことを告白する。何かと弟の肩を持ってくれる定年間近の制服警官というのもいた。さすがに本当に何を書いているのかわからなくなってきたので削った。
さて、この発言の主は、クラウドセキュリティの CNAPP 製品を提供する Cloudbase株式会社 共同創業者の小川 竜馬(おがわ りょうま)である。小川のいう「タイム」とは「Mean Time to Recover(平均復旧時間)」のことで、より具体的には、AWS や Microsoft Azure、Google Cloud、OCI(Oracle Cloud Infrastructure)などのパブリッククラウドサービスにリスクが検知されてから正しい変更がなされるまでの時間を指す。Cloudbase の顧客の MTTR が、驚くほど(弟の成長を見守る兄が笑顔になるくらい)どんどん短くなっているのだという。
10 月に大阪・東京・名古屋で開催される総合セキュリティカンファレンス Security Days Fall 2024 で、講演「エンタープライズ企業が選ぶ攻めのクラウドセキュリティ:Cloudbase最新アップデートと活用事例」に登壇する小川に話を聞いた。
よくある CSPM 製品と何が違うのかといえば、Cloudbase の最大の特長は手厚い運用支援機能である。リスクに繋がる誤設定等を検知する機能は類似製品と同様だが、そこから先の、どれを優先し、あるいはどれを後回しにしてもいいかといった対応に関するトリアージと、具体的に AWS 等のコントロールパネルのどこをどうさわって、設定を適切なものに変更するかといった使い方に関するドキュメントを提供し、時に実際にサポートを行うアシスタンス機能に優位性を持つ。
Cloudbase は、DX に挑戦してクラウドサービスを活用している/しようとしているエスタブリッシュメントな日本の大企業をターゲットにして開発されている。本年 2 月のインタビューで小川は、日本にはリクルートや楽天などのごく一部を除いて、アメリカで言うような「セキュリティエンジニア」は少ないと語っている。また、日本の大企業のセキュリティや情報システム部門の担当者の中には、AWS や Microsoft Azure の管理画面を開いたことがないような層も存在するという。
そうした担当者でも迷わず確実に変更や修復を行えるレベルまで、その手順を平易な文章と管理画面の多数のキャプチャ画像で、誰でも理解できるところまでかみ砕いたコンテンツを Cloudbase は提供する。たとえば Prisma などが提供する手順は、熟練のエンジニアにとってはシンプルでわかりやすいのだが、コンパネをはじめて開く人にとってはハードルが高い。
Cloudbase が考える「大企業の担当者」にはもうひとつ想定する層があり、それは現場でクラウドサービスをビジネスに活用している LOB、つまり現業部門の担当者である。情報システム部門よりも技術リテラシーがあまり高くないビジネスパーソンでも、クラウドのリスクを検知して必要な箇所の修正を行えるサービスが Cloudbase である。
弟の成長を見守る兄のたとえを用いて伝えたのだが、考えてみればそれは当たり前のことかもしれない。Cloudbase は完全自社開発、陸上競技のたとえを広げるなら、自分たちが開発したハイテクのランニングシューズを履いた選手の記録が、どんどん短くなっていくのだとしたらその姿に手に汗握らないはずがないし、顧客の変化と成長を我が事のように嬉しく感じないはずもない。「人が速く走る」という開発者の夢を実現してくれる走者にリスペクトが湧かないはずがない。
これまでインテグレーターなどの業者に丸投げする慣習となっていた日本の大企業に対して「技術の主権をユーザー企業側に取り戻してほしい」と小川はインタビューで語った。デジタル技術に対してユーザー企業自身が当事者とならなければ、言葉本来の意味での、デジタル技術そのものが付加価値を生み出す DX の実現は難しい。
これは容易に浸透しづらく、しかもすぐに変化が起きづらい行動変容のメッセージだと思うが、しかし、スズキ、Panasonic、出光興産 など、もののわかる大企業は既に、海外製競合製品と比較検討の末に Cloudbase を採用しており、変化の兆しは現れ始めている。
インタビューの中で耳を疑って聞き直したことがひとつあった。Cloudbase は「修復の体験向上を目指している」のだという。言葉を変えるなら、セキュリティ運用業務のユーザーエクスペリエンスを向上させるという意味だ。「運用負荷を減らす」「作業工数を削減する」といった目標はよく言われる言葉だが、これと「修復体験向上」は似ているようでかなり違う。
「運用負荷」「作業工数低減」は、労働者にさらに過剰に別の業務を割り当てるために行われるが、一方で「体験向上」という目標には、労働者の人間性をまさに労働そのものを通じて回復または向上せんとする考え方が存在する。
セキュリティ運用の「手間や時間を減らす」という発想はあっても、「体験を素晴らしいものに変える」などという発想はかつて存在しなかった。ルートを取った瞬間のペネトレーションテスターでもない限りセキュリティ業務に従事していて爽快感を感じることなど史上ほとんどなかったといっていい。
情報システム部門やセキュリティ管理と対極的ともいえる営業という仕事は、ノルマやプレッシャーで楽ではない仕事ではあるが、社内で最も華のある仕事であることも事実で、それはチームで努力を積み重ね、攻略不可能と思われたクライアントの首を縦に振らせることで、そこに関わった者たちが自身の成長を強烈に実感できるプラスの側面があるからだ。Cloudbase はこれと同じように、セキュリティ運用という体験を華のある素晴らしいものに、退屈や忍耐ではなく「爽快」や「痛快」という言葉を用いることができるものに変えることすら夢見ているように思われる。
小川によれば Cloudbase を利用している、とあるエスタブリッシュメント企業のセキュリティ部門が最近「全社表彰」を受けたのだという。クラウドサービスを積極活用することによるリスクの増大を自覚していたその企業では、競合他社と Cloudbase を比較検討した結果 Cloudbase を採用、運用体制を構築したことが評価され表彰された。
「セキュリティの業務をしている方が報われたことが本当に嬉しいと感じました(小川)」
読者諸兄諸姉(しょけいしょし)のセキュリティ運用管理の仕事の成長や安全運用を Cloudbase ほど喜んでくれる会社も他にあるまい。ひょっとしたら読者の勤務先の社長よりも上司よりも、その価値や成長を正当に理解して喜んでくれるかもしれない。
そもそも日本のサイバーセキュリティ産業は、診断のようなサービスか、あるいはコンサル、米やイスラエル製品などの代理販売、または文教市場や通信キャリアなどに特化したニッチ製品がほとんどである。FFRI のような本格的 R&D を行う企業は非常に数が少ない。
その中でもさらに、まだ 20 歳代半ばの若者が代表を務めるベンチャーで、自社プロダクトを開発するリスクを取って、一定規模まで事業を成長させている企業というと、この Cloudbase 社の他、ごく数えるほどしか存在しないだろう。
大人が取りたがらないリスクを彼ら若者が積極的に取って、なおかつきちんと結果を出している。なんだかこう考えると何かうまい昼飯をおごってやりたいくらいの気分になる。だからもし Cloudbase を検討して、やがて契約して正式なユーザーになったら、この日本の未来のために働く前途有望な若者たち及び Cloudbase というプロダクトを、是非「育てる」という意識で接して欲しい。5 年後 10 年後に「ワシが育てた」と自慢できるほどの製品や企業になる日が来れば、「失われた 30 年」などと言われ停滞する日本経済もきっと今よりずっとましになっているはずだ。
まずは手始めに 10 月 25 日 (金) に東京駅から徒歩 1 分の KITTE で開催される Security Days Fall 2024 で小川の講演があるので、講演の前に Cloudbase のブースに行って製品の基本機能について予習をして、講演の受講後には小川と名刺交換しておくことをおすすめする。同社は京都大学の学生によって創業されたベンチャー企業だがオフィスは都内にあるし、詳しい話を聞きたければすぐに来てくれるだろう。
10.25(金) 10:40-11:20
エンタープライズ企業が選ぶ攻めのクラウドセキュリティ:Cloudbase最新アップデートと活用事例
Cloudbase株式会社
共同創業者
小川 竜馬 氏
追伸
同社は Security Days Fall 2024 での講演及び出展にあたって YouTube に「Cloudbase is coming back」と題した 15 秒ほどのティザー動画を公開している。3 度ほど見たが Z世代の若者が何をしたいのかおじさんには正直あまりわからなかったものの意気込みだけは伝わってきた。
Cloudbase is coming back
https://www.youtube.com/watch?v=oDarMr8OUaM
