セキュリティに高い優先順位を置いていたとは必ずしも言えない経営者が変化成長していくドキュメンタリー

　言葉の定義とは異なるのだがあえて尊敬をこめ「ハクティビスト」と呼ばせていただくと、記者の最も記憶に残っているハクティビストは、GMO が提供していたブラウザのプラグインか何かの脆弱性を探し出して報告していた人物である。

　JVN だったかの脆弱性報告一覧で見つけて、興味を持って少し調べてみたが、脆弱性の発見と報告に明確に意思が感じられ、ごく簡単にいえば GMO に対するある種の「異議申し立て」をおこなっているように記者には見えた。

　申し立ての内容とは粗く言えば「 GMO はもっとセキュリティの意識を持ってください」といったところか。だが、それだけでは必ずしも納得できないものがずっと残っていた。

　確かに GMO という企業グループはそう言われても致し方ない出来事を複数積み重ねてきた過去があったと思う。だからこそ 2022 年にイエラエが富士通でも日立でも Google でも LINEヤフーでもなく、GMO にグループ入りすると聞いたときは耳を疑ったのである。動いたお金は日本経済新聞の報道によれば 92 億円。申し訳ないが利益が出まくっていた事業ではなかったと拝察する。

　事業活動におけるサイバーセキュリティの重要性が増したことを受けて、成長の基盤として、そして株価対策として、優れたセキュリティ企業を買収するのだとしたら、大きすぎる買い物ではないかと当時思った。

　その 2 年後、今度は Flatt が 23 億円（これも日本経済新聞報道）で GMO グループ入りしたとき、漠然と抱いていた予感が確信に変わったような気がした。ひょっとしてこれはと思ったのだ。

　今日日（きょうび）まともな企業グループならどこも、とびきり優秀なセキュリティ子会社を抱えて懇切大事にしている。三井物産における MBSD、NRI における NRIS、NEC における CDI、KDDI における LAC、兼松における GSX、NTTデータにおける NTTデータ先端技術、TE における TED 等々例はたくさんあるが、かといって、そのセキュリティ子会社を何社も増やすような戦略を取るかというと、そういうことをしている会社はまず見当たらない。

　「 3 社目 4 社目があるのではないか」これが記者が思った「ひょっとしてこれは」の中身である。そして同時にとてもワクワクしたのを覚えている。だってそうでしょう。基本的に大手グループのセキュリティ子会社はまず一義的にはグループ全体のセキュリティを向上させることがレーゾンデートルであり、次の使命は金を払ってくれたグループ外の顧客の安全を守ることである。書いていてあたり前だと思えてきたが、その通り、これが当たり前なのである。

　グループ入りさせなくても、単にものを言える比率で資本参加すればいいはずだし、増資の際に資金を出してもいい。そうでなかったということはつまり、日本のセキュリティ業界全体を再編しようとしているかのようなクリエイティブな意思を感じた。だからこそワクワクしたのである。

　先日、国産のクラウドセキュリティプロダクトを開発している大峠和基を取材した際に「日本のセキュリティ業界は大手が蔓延って（はびこって）いて閉塞感が漂っている」と発言内容と裏腹にめっぽう爽やかな笑顔で語ってくれて、この発言には大いに痺れたので記事に書いた。GMO の一手はこの「閉塞感」に新しい空気を運んでくれる可能性を感じた。

　きっとシンクロニシティだと思う。2024 年はこれとベクトルを同じくするセキュリティ業界再編の方向性を持つ出来事が複数起こっている。ひとつは GSX の青柳史郎らの発案によるセキュリティ企業の育成のみに特化した投資ファンドの設立。もうひとつはふるさと納税等の事業で一山（ひとやま）当てたチェンジホールディングスによるサイリーグホールディングス設立である。

　前者は、既存のベンチャーキャピタルや投資ファンドは、とにかく上場させて Palo のような大成功事例のリピートを目指すことがどうしたって目標になるから、そういう投資組織ではなく、日本のセキュリティ産業を育てる投資ファンドを日本のセキュリティ企業だけが集まって作るという野心的な試みであり、後者もこれまでの単なる「大手企業グループのセキュリティ子会社」的な世界観ではなく、デジタルプラットフォーマーによる「デジタル植民地主義」に何とか対抗しようとして放った一矢であり、記事にも書いたのでここでは詳述は避ける。

　そして 2025 年 2 月、GMO は「ネットのセキュリティもGMO」というスローガンを打ち出し、グループ全社を挙げてセキュリティ志向の企業グループであることの発信を開始した。記事冒頭で書いたハクティビスト氏は「何を小癪な真似（こしゃくなまね）を」と思うに違いない。ちなみに、実は Okta もこういうこと（ IDaaS 以前に「セキュリティ企業」というアイデンティティを明確にした企業活動）をしているのだが「インシデント発生有無」という差がある。

　グループ 114 社の公式 Web サイトの「最も地価の高い場所」である左上隅には、几帳面にスローガンである「ネットのセキュリティもGMO」というロゴを配している。

　本来なら 1 社 1 社全部チェックすべきなのだと思うが右手首が痛くなってきたので勘弁してください。1 個だけ見つけて途中でやめました。見つけた GMOランシステムは、本稿を執筆している 3 月 8 日 13 時 6 分現在で「ネットのセキュリティもGMO」ロゴが出ていないのを確認した。しかし、だとしても執拗な本気加減は十二分に伝わってきた。

　一方でおそらく冒頭のハクティビスト氏はそうは思わないに違いない。きっと「オレは絶対信用しない」と思っているはずだ。

　このスローガンの一環として 3 月 6 日に東京で開催されたカンファレンスが「GMOセキュリティ大会議2025」である。Flatt の社外取締役として本誌編集長の上野宣も登壇していたので取材に出向いたのだが、あるディスカッションの最中、記者が失神するほど恐怖を感じた一場面があった。

　会議も後半にさしかかり「トップリーダーズサミット Part 2」で熊谷正寿と堀江貴文が対談した際、熊谷正寿が「これは ScanNetSecurity に載った記事なのですが・・・」と本誌の記事の朗読をはじめたのである。

　何しろ本誌は取材した会社の社長を堂々と「金の亡者」と書いたり「サイコパス」と書く媒体である。記事全体あるいは ScanNetSecurity という媒体全体の文脈の中でそれら金の亡者なりサイコパスという表現は存在しており、そこだけ切り取られて朗読などされると誤解しか生まない記事のオンパレードである。

　長くサイバーセキュリティの記事を書いてきてはいるが、ごく一部に支持してくれる人がいるものの、基本的に記者はセキュリティ業界では松野真一よりも嫌われている自信がある。謙遜めいた発言などと存在しない行間を読まないでいただきたい。けっこうな頻度で記者は名刺交換を拒否られる。セキュリティ業界で地位のある人、えらい人、徳の高い人ほどそうで、これはピュアさやまじめさの発露だと思っている。実は大会議で登壇していた方々の中にも、過去どう考えても切らしていないのに「切らしてます」と拒否なさった方もいらした。

　デビッド・リンチが監督した悪夢映像のような、熊谷による本誌記事の朗読が始まったとき記者は会場の最前列にいた。記者の椅子から右斜め前方 3 メートルの位置には、静かな緊張感をみなぎらせた警備員が開会時からずっと立哨していた。60 分かそこらで警備員は交代していたから、PPAP のような「セキュリティ劇場」ではなく立っているだけで心身が疲労する本気の警備であることが伺えた。また、国会議員が何人か登壇するイベントだったから、右 3 時の方向には明らかに要人警護と思われるガチムチ長身のスーツの男性が一人かふたり、職務上 聴衆全員をいったんテロリスト予備軍とみなす容赦無き視線を向けていた。

　もしこの状況で、早足で会場から逃げ出そうなどとしようものなら、化学薬品の入った容器でも置き去りにして立ち去ろうとしている完全無欠の不審人物と思われかねない。というか思われないとおかしい。絶体絶命の危機に瀕した記者が唯一できたことは「どうか透明人間に見えますように。ケビン・ベーコンのようなステキな透明人間になれますように」と神に祈ることだけだった。

　しかし、どうやら本当に神はいたようだ。熊谷が読み上げたのは、この大会議に関して記者自身が書いたイベント紹介記事の一部だった。その中で ScanNetSecurity の前身である NetSecurity がなぜ全ページを HTTPS 化したのかという部分だ。その瞬間記者が福本伸行作品的に「生還した」と思ったことは言うまでもない。

　要は、現在 YouTuber やタレント的に活動しているようにしか（ 2025 年現在のいまは）見えない堀江貴文だが、キャリアのスタートはバリバリのソフトウェア開発者であり、幾多のウェブサービスを自分の手を動かして開発し、ローンチし、運用してきたエンジニアであるということを紹介したかったのが熊谷の目的であった。

　熊谷は対談で、まず前提条件として「政府はサイバーセキュリティは投資だと言っているが経営者である自分にとってセキュリティはコストにしか見えない」しかも「費用対効果が見えず（ 0 か 1 しかない）投資しても顧客に評価されない、褒められない」そして三点目として「セキュリティ沼と呼べるぐらいにどこまで投資すべきかがわからない」ため、経営者にとって最も難しい投資がセキュリティ投資であると述べた。

　これにこたえて堀江貴文は、自分は開発者として仕事をしていた時代、コストのかからない様々なセキュリティ技術を初期から調べて知っていて、例えば当時ほとんど誰も使っていなかった SSH（ Secure Shell ）を使って接続し開発を行っていたと明かした。すなわち経営者が技術を解するなら、勘所がわかるからお金も手間も相対的に軽減できるという意味だ。ポイントは経営者が技術を解するところだ。

　タクシーで移動することが多い堀江は以前、親切なタクシードライバーから「後部座席に座っていてシートベルトをせずに事故が起こった場合 一定の確率で脊髄損傷で首から下が一生動かなくなる」と聞いてから必ずシートベルトをしていると語り、現在はシートベルトをしていないと気持ち悪いと感じるようになったと語った。

　「 Web ページは HTTPS でないと気持ち悪い」「 VPN で接続していないと気持ち悪い」「 SSH を使っていないと気持ち悪い」そんな意識の延長線上で、自分は NetSecurity を HTTP 化したのだろうと堀江は語った。今日に至るまですっかりそのことを、熊谷に本誌の記事を読み上げられるまで完全に忘れていたという（あとで動画を確認したところ、本当に古い記憶が想起される瞬間の人間の顔をしていたので、多分本当だと思う）。やらないと気持ち悪いレベルでセキュリティが習慣になっているのは事実なのであろう。

　ただし、そういう人物にも関わらず森喜朗「的な」既得権益層を激怒させるような行動をとってしまったわけで、返す返す残念でならない。三木谷 熊谷 藤田と並ぶ経営者として日本経済を牽引していたという世界線もあった。堀江には「コードを書き読める」という他の 3 名にはない超強力なアドバンテージがあり、ScanNetSecurity が livedoor 子会社だった当時たしか社内で Sledge という自社開発のオープンソースフレームワークを使っていたほどで、こういった事実を踏まえて、堀江が語った「経営者が技術を理解する時代になったということ」という言葉は、強いメッセージとして響いた。

　この対談で熊谷がそう思ったかどうかは知らぬが、記者が堀江貴文から熊谷正寿への「言葉の贈り物」と感じた発言をここで引用しておく。それは「セキュリティ対策をしないで得た利益は自分の利益ではない」である。

　本誌ならこんな優しい表現はせずに「セキュリティ対策をしないで得た利益は顧客等を危険にさらして社会から盗んだもの」と書くだろう。そして冒頭で書いたハクティビスト氏が言いたかったことこそ、真実このメッセージだと思う。

　ぜひ熊谷は堀江貴文のこの言葉を胸に（なんなら名のある書家に頼んで書にして、執務室の壁にあるジュリアン・オピーの愛蔵作品の脇に飾って）今後の経営者人生を生きてほしい。なぜなら GMO には、GMO だからこそ、とてつもないセキュリティにおけるポテンシャルがあるからだ。

　だってねえ。奥さん。これがたとえば日立製作所だったらどうですか。日立製作所がある日突然「日立は全社を挙げてセキュリティを頑張っていきます」なんて言い出したら。グループ会社全部の Web サイトに「セキュリティも日立」などと掲載しはじめたら。

　「いや、知ってるし！ 日立の『品質』の中には最上位で『安全』の二文字が入ってるのは大抵の B2B 系の仕事をしてる人は知ってるから！ 世界で事業展開できてるのも、それがあってのことだから！ いやだなあ、もうやめてくださいよ、急にそんなこと言われると、逆に不安になりますって！」そんなふうに思うこと必定（ひつじょう）であろう。それと同様に、たとえばみずほ銀行がプライバシーマークを取得するなどと言い出したら、法人リテール双方で口座解約が続出するだろう。

　わかりやすく言うなら GMO は、セキュリティの領域において「下位チームが勝ち上がっていくスポーツドラマのような爽快感や共感」を見る者に与えることができるのだ。つまり、社会に対して広く影響力を持ちうる可能性がある。おそらくこれが GMO が持つセキュリティにおける最大の資産のひとつである（もちろんグローバルサインもブランドセキュリティもイエラエも Flatt も超重要資産）。

　つまりこれは「 GMOインターネットグループ」という、これまでものすごくセキュリティに配慮していたとは必ずしも言えない 1 兆円企業グループがそうではなくなっていく、そして同時に熊谷自身が 2022 年の本誌の取材で「ほっかむり」という言葉を使って正直に認めていたように、必ずしもセキュリティに高い優先順位を置いていたとは言えない大経営者が、変化成長していくリアリティショーでありドキュメンタリーなのである。

　GMO は 3 月、全社で BIMI 対応することをプレスリリース配信している。先日本誌は AGC の DMARC reject 設定の記事を書いたが、これは「年単位」の時間をかけて実施していた。「とんでもないタスクが降ってきた」と現場は（よくない言葉をあえて使わせていただくが）殺意すら感じているのではあるまいか。それほど quarantine または reject に設定して BIMI まで行くのは面倒くさい作業が山積するからだ。

　これが、一昨年くらいから CISO の助言で準備を開始して、実施の目途が見えた今年 3 月の段階で発表したのならいいが、そうではないとしたら本当に冗談ではなく過労死が出ないか記者は心配している。ここに書いておくが、これが水曜どうでしょう的「リアリティショー」なのだとしたら、スケジュールが 2025 年夏より後ろ倒しになったとしても、それは考えようによっては、欧州各国全部を期日内にクルマで回れなかったような「おいしい事態」であるからして、視聴者の共感にさえ繋がりかねない訳で、そういうことでもいいのではないかと思う。デジタルサービスを中心とした事業を営むグループ会社総数 114 社の 1 兆円企業が全社 BIMI 対応を半年以内で終わらせるなんて芸当、おそらく横浜銀行ですらできないことなのだから。

　それにしてもこれは一体どういうことなのだろう。熊谷正寿が「ほっかむり」のままではいけないと思ったきっかけは間違いなく「このままでは GMO が 100 年続く企業にはなれない」という経営者的な判断だったはずだ。

　明らかにおかしいのだ。

　以前、とあるセキュリティのイベントに登壇した中央官庁の「参事」が、講演が終わると一度も座ることも立ち止まることもなく退場しエレベーターに向かうのを見た（記者はその参事の講演のみが目当てだったので終わってすぐ退場したのでわかった）。数年前 MBSDCC を取材した際には、閉会挨拶で登壇した MBK の偉い人は終了後、そのまま一直線でエレベーターへ向かった（これも次の予定があってそこで中座したのでわかった）。これらは何もおかしなことではなく、逆に偉い人が会場に残ったりすると、茶菓を出すだのなんだのと壊滅的にめんどくさいことになりかねないから、むしろ消えてくれた方がありがたい。

　一方で熊谷正寿である。改めて説明するまでもないが GMO は日本のドメインの約 8 割、レンタルサーバーの約 6 割のシェアを保有しており、すべてのサービスを合わせ約 1,400 万社の顧客基盤を持ち、熊谷はいわば「ミスター 日本のインターネット（商業面でのインターネット普及や大衆化に寄与した程度の意味）」と呼んでも必ずしも言いすぎではない。用賀の SOC のお披露目の記者会見に行った際に驚いたのは、自分の挨拶が終わったら秒で会場を立ち去るとばかり思っていた熊谷が、その後も 1 時間以上記者会見に居座ったばかりか、質疑応答にまで登場し、率先してマイクを持って自ら回答していた。さらにその回答も「熊谷でなければ絶対にできない回答」かというと必ずしもそうではなかったから、これはもはやほっこり案件である。

　要はセキュリティ事業に関してこの人はやたらと前のめりなのである。GMOセキュリティ大会議2025 を開催するのはいいとして、この地位の人がホスト役として壇上にほぼ出ずっぱりだったのには用賀 SOC のとき同様に驚いた。また、セキュリティに関連する GMOインターネットグループのプレスリリースに熊谷のコメントが添えられていることが少なからずあるのも、見ていて異様だと感じていた。確かにサイバーセキュリティ領域は ROI が高いが他にもそういう分野はある。挙げ句、全グループ会社の公式サイトの全ページに「ネットのセキュリティもGMO」のロゴ設置とは、いったい何が起こったのか。広告枠と換算した場合の価値試算額を GMO NIKKO に出してほしいぐらいだ。そのぐらいけっこうな決断である。

　記者の見立ては次の通り。

　すなわち、GMOサイバーセキュリティbyイエラエや GMO Flatt Security株式会社等を初めとするセキュリティに携わる技術者や経営者、つまり（狭義の）ハッカーたちと接することで熊谷自身が変化し成長したのである。状況証拠的に考えて有力な仮説となりうると思う。

　つまり当初計画では、優れたサイバーセキュリティのスタートアップをグループ入りさせて、グループ全体の備えを高め、同時にそのスタートアップを育ててやがては株式上場を狙う、そういう目論見のもとで「冒険の旅」はスタートしたのだが、砂漠でみんなで焚き火を囲みながら会話を交わしているうちに、なにかのきっかけかあるいは徐々にサイバーセキュリティの重要性とポテンシャルに深く覚醒し熊谷自身が変わっていった。

　本誌読者なら多分大丈夫だと考えてのたとえだが、熊谷正寿が歴戦をくぐり抜けステータスを上げつづけてきた「経営者版マンダロリアン」だとすれば、イエラエや Flatt はまだ小さいが無限の可能性を秘めた「ザ・チャイルド（ベビーヨーダ）」に該当する。スタートアップを育てるつもりが育てられるのは自分の方だったと気づくような、ある瞬間、これまで理解していなかった真実や現実の本質を理解する出来事があったのかもしれない。

　別にマンダロリアンではなくても、エイリアン2 におけるリプリーとニュートでも、キッドにおけるチャップリンと孤児でも、なんならカモンカモンにおけるホアキン・フェニックスと甥でもかまわない。どれも同じつくりの話なのだから。あくまで「心情的」にということに限定して言うなら、こんな力強い劇的構造を持つリアリティショーなりドキュメンタリーを応援しない者は、基本的にこの世にいないはずである。たとえアンチの側に立ったとしてもこの構造に魅せられているはずだ。アテンションエコノミー時代、共感は企業が持ちうる最大のアセットだ。両刃（もろは）ではあるが。

　だから本誌は、セキュリティと恋に落ちた大経営者が「いろいろとやらかしている」という他誌にはない視点で熊谷と GMO の今後を見守っていきたい。「やらかしている」という表現を、堀江貴文がしたように優しい言葉に変えるなら「試行錯誤をしている」と言い替えてもいいだろう。シールはいいと思うけど枚数多すぎじゃないか問題等々、すべて前のめりかつ前向きな試行錯誤なのだ。国際的にみてもまだほとんど成功例がない「サイバーセキュリティを大衆化する」というとびっきり困難な挑戦をしているのだから、そりゃいろいろあるだろう。見守ろう。

　なんにせよセキュリティのイベントで「セキュリティは投資ではなくコストにしか見えない」などという、世の経営者 100 人中 100 人が実は内心で思っているが口にはなかなか出せないホンネ発言を堂々としてしまうなんて、既存の IPA 的生真面目世界観で考えたら「失言」以外の何ものでもないのだから（同様の “失言” は「経営ガイドライン初版 Ver 1.0」で佐々木先生がしていた）。

　大会議の中で熊谷は「ソフトウェアには製造物責任法にあたるものが存在しない」と述べていたが、極論になるが、クレジットカード情報を扱っていたとか機微情報を扱っていたとかいくつかの条件を満たせば、SQLI の脆弱性を作り込んだシステムを開発した企業と発注した企業双方に、刑事罰として懲役または罰金が科せられるような、建築基準法に似た法律制定に向けて、何らかの影響力を及ぼすようなことも熊谷正寿ならできる可能性がある（そういう風にすべきと思っているわけではなく例です）。

　無論これは単なる空想に過ぎない。しかし、もしそんなことが起こったら冒頭に挙げたハクティビスト氏はどう思うだろうか。少なくとも、ゼロ以下だった「信頼残高」がたとえわずかにせよゼロに近づきはしないだろうか。