はじめに
Flatt Security 取締役CTOの米内です。今回、弊社 Flatt Security は GMO インターネットグループから 10 億円の増資を受けるとともに、既存株主からグループへの株式譲渡(合計 66.6% 分)が行われることにより、GMO インターネットグループに参画する運びになりました。これは日本中・世界中のエンジニアが、前を向いてエンジニアリングに集中できる社会を最速で作るための意思決定です。
本資金調達・グループ参画に際して公開した CEO 井手の記事では、Flatt Security の歩みを振り返りながら、グローバル 1 兆円企業を目指し続けるための「再・スタートアップ宣言」をしています。 対して本稿では、私(CTO 米内)の目線から改めて Flatt Security のこれまでを整理した後、Flatt Security が今後どんな役割をこのシーンで担っていくのかを表明したいと思います。
- はじめに
- Flatt Security のこれまで
- 社会は「守る道具」だけでなく「なぜ・何を守るべきか」への伴走を求めている
- だから、Flatt Security は「エンジニアの背中を預かる」企業へ
- そのために、Flatt Security を「クロスポイント」へ
- 最後に ― 同じ時代を生きるあなたへ
Flatt Security のこれまで
もう何度も耳にした話だとは思うのですが ― ソフトウェアを含むものづくりには、セキュリティの話題が必ず伴います。作ったものがユーザーの信頼に足るものかを評価すること、提供中のリスクをコントロールすることは、全てのものとビジネスに欠かせないことです。この評価やリスクコントロールをものづくりのより早期に実現するための思想は「シフトレフト」と呼ばれ、DevOps との垣根なく実現させようとする思想は「DevSecOps」と呼ばれてきました。これも無くならない流れでしょう。
だからこそ Flatt Security は、このような流れの中でエンジニアがモノを守るための「いい手段」を作ること、改善することに向き合ってきました。2021 年のシリーズ A 資金調達時の記事『「開発者に寄り添ったセキュリティを世界中に届ける」Flatt Security の挑戦』 で述べられているように、我々は Developer-First Security というコンセプトに強くこだわり、エンジニアにとって体験のよいセキュリティ施策の How を生み出すことにフォーカスしてきたのです。エンジニア向けセキュリティ研修のあり方を提示するKENRO、『Flatt Security の脆弱性診断において「ソースコード診断を無料付帯する」方針の解説』 を始めとしてニュースタンダードを目指すセキュリティ診断事業がその最たる例です。
Developer-First Security というコンセプトを軸に事業を進めてきたこの 5 年間を通して、志を共にするお客様・社員は日に日に増えてきました。この日本のシーンの中で、着実に存在意義を持つことができたと自負しています。お客様のプロダクトが世に出ていくのを見かけることも増えました。間接的でこそあれ、お客様と共に社会を前に進めていくことができていると実感します。
ちょっとした思い出話になりますが ― 次の写真は「事業開始当初に右も左も分からず出してみたセキュリティイベント(SECCON)のブース」のものです。
多くのビジネスもそうであるように、私達の出発点は、無鉄砲で無計画なそれでした。この写真の隠しきれない学生起業感が、当時のその状況を思い出させてくれます。まだ我々が目指す地点までには長い道が続いていますが、創業当初から見れば、随分と遠いところまで来れたのかもしれません。
社会は「守る道具」だけでなく「なぜ・何を守るべきか」への伴走を求めている
そんな我々が(あるいは似た業態のあらゆる事業者が)今、改めて向き合うべきだと感じている現状があります。「守る道具」(How)で悩むプロダクト組織よりも「なぜ・何を守るべきか」(Why/What) で悩む組織が多い、この現状です。
自社の持つ資産はどこにあり、それにはどんなヒト・モノが取り巻いているのかを即答できる組織は、今この日本にどれだけあるのでしょうか。膨れ上がったセキュリティチェックリストに向き合うときも、セキュリティに対するアカウンタビリティを果たすための本質的な方法に思いを馳せずにいられる人は、果たして少数派でしょうか。私の目に映る社会は、そういった「なぜ・何を守るべきで、今はどうで、これからどうすべきか」に一貫した答えを与えられる人・サービスを求めているように見えます。
Flatt Security が今以上に能力の集積度の高い天才集団になれたとしても、いくら現在の事業をそのまま大きくできたとしても、いくらそれをプロダクト化できたとしても、結局のところ「そもそもどこにある何を、どういう理由で守るべきなのか」に悩むプロダクト組織には貢献できない可能性があるのです。
だから、Flatt Security は「エンジニアの背中を預かる」企業へ
「なぜ・何を守るべきか、実際どう守れているか、これから何を改善するべきかを、人々が自信をもって説明できるよう支えること」 ― 新たな価値を生み届けることに専念できるプロダクト組織を増やすために我々が成すべきことは、2024 年の今そこにあるのだと、何度でも確信します。OSS スキャナと少しの論理的思考力さえあれば、軽いセキュリティ評価は実施できるこの時代に、Flatt Security はこの戦略-執行横断の問いに向き合っていくことにしました。
ミッションに「セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する。」を掲げ、コーポレートキャッチとして「開発者のための次世代セキュリティサービスを届け、世界中のプロダクト開発を加速する」ことを標榜してきた Flatt Security は、これらの従来の理念の延長線上に立脚する新ミッション「エンジニアの背中を預かる」 を胸にこの時代のプロダクト組織を支えていきます。よりクリエイティブな社会へ、そのためにも時代の主役たるエンジニアが前だけを向ける社会へ ― そこで背中を預けてもらえる Flatt Security になることが、社会を前に動かすための私達なりのアプローチです。
とりわけ、日本中・世界中のプロダクト組織がより自身のユーザーのために集中できる状態を作るために、Flatt Security が提供する価値は以下の 3 つの軸で前進させていきます:
- 全体の Asset-driven な再設計
- "Explainable Security At Scale" の実現
- "Strategized Security At Scale" の実現
本当に必要だった「台帳」 へ ― 事業の Asset-driven な再設計
世の中には管理のための様々な「台帳」があります。物理的な物品は台帳的に管理されやすい対象です。広範な情報セキュリティ領域で言えば、ISMS においても情報資産管理台帳の重要性が強調されています。何かを守る上で、そもそも守るべきものを明らかにすることは、もっとも基本的な営みです。
ことプロダクトセキュリティ領域においても、どこにどんなデータがあるのか、それを取り巻くソフトウェアはどのようなものか、を把握して管理することなく、脅威を洗い出すことはできません。脅威を意識することなしに施策は生まれません。プロダクトセキュリティも例に漏れず、まず己が有する資産・システム・関与する人を把握することからしか始められません。
我々がプロダクトカテゴリ的には CSPM と呼ばれる領域からマーケットに参入したのもこれが理由です。昨年夏に投入したプロダクト「Shisho Cloud」は、これから「そもそもうちが持っている情報資産・システムとは、これと、これである」を直ちに引く・理解することのできるプラットフォームへ仕上げていきます。その上で、把握できた(プロダクトに関わる)情報資産・システムに対するセキュリティ業務を次々にバンドルしていくことで、Asset-driven/Asset-centric な体験/価値を作り込んでいきます。
視点を変えてビジネス的な整理をするなら、この再設計は、プロダクトセキュリティ領域におけるコンパウンド・スタートアップを作る上での第一歩として位置づけて考えています。コンパウンドスタートアップのキモが「どのようなデータを中心として、複数ステークホルダー・複数種別業務をバンドルするか」だと考えると、ここは避けては通れない道でしょう。
事実 18 ヶ月で $100M ARR を達成したWizは、その GTM の中で Wiz Security Graph = 資産やシステム構成を起点として、複数のリスクアセスメント業務をリバンドするような構造でマーケットを蹂躙していきました。M&A ベースで、マルチプロダクト的にケイパビリティを拡大してきた他セキュリティプレイヤーとは一線を画する戦略です。我々が目指すものは、およそ Wiz の思想に近い部分があります。
誰でも今を説明できる ― "Explainable Security At Scale" の実現
過去私自身が支援してきたお客様との会話の中で何度も登場してきたフレーズが「<任意のセキュリティプロダクトカテゴリの名前> に関する施策を実施したが、これで大丈夫なのか」「100 項目のチェックリストの全てにチェックが付いたが、これで大丈夫なのか」というものです。明らかなことですが、この問いに「大丈夫」という答えを出すのは難しいことです。
このセキュリティというトピック、とりわけリスクマネジメントにおいて我々ができることは、脅威を懇ろに洗い出し、脆弱性を懇ろに洗い出し、資産の軽重を適切に捉え、それらに起因するリスクを合理的な範囲で低減し続けることです。それだけしかできない、と言っても過言ではありません。前項はおよそ「知らないものは守れないよ」という話でしたが、それと同じように、我々は「知らないことからは守れない」のです。逆に知っている資産を知っている脅威から守れているかを評価できており、その上でリスク低減アクションを起こせているのであれば、前だけを向いてエンジニアリングを進めにくくなる要因は「知らない資産・未だ見ぬ脅威があるのではないか」という不安感だけに着地していきます。
だからこそ、 Flatt Security が提供する価値も、より「どの資産が、どのような脅威に対してどの程度のリスクを有しているかを、どう評価したのか」に対する透明性が高い形にしていかねばならないと感じています。これは社内では “Explainable Security“ と呼ぶことにしています。
セキュリティ診断サービスやプロダクト「Shisho Cloud」等で一貫して、「外部ベンダの診断レポートに指摘事項がなかったから安心」と受け取られるだけでなく、「この脅威・あの脅威に関しては、この観点でレビューした限りは安全そうである」までの理解をいただけるサービスに仕上げていきます。
なお、往々にしてセキュリティレビュー中には沢山の観点が頭をよぎるものです(し、実際に沢山検証するものです)。この点を踏まえると、上述のような “Explainable Security” をスケール可能な形で(At Scale な形で)実現できるかは非常に重要な論点です。この点は弊社がこれまでも得意としてきた、内製エンジニアリングのイズムを引き続き重視していきたいと考えています。
誰でもロードマップを持てる ― "Strategized Security At Scale" の実現
ここまで「自分たちの持つ資産や、それを取り巻くシステムの関係を明らかにした上で、透明性のあるセキュリティ評価を行う」ように我々の提供価値を向上させる、という旨のことを書きました。
これらの向上の先に待っているのが、Flatt Security がより高い精度で「なぜ・何を守るべきで、今はどうで、これからどうすべきか」のストーリーを話せる未来です。Flatt Security は長期的に、お客様がしっかり戦略付けられた(”Strategized” な)プロダクトセキュリティ施策/体制を実現できるような支援形態へ、着々とシフトしていきます。
そのために、Flatt Security を「クロスポイント」へ
ここまで述べたように、背中を預けてもらうための事業づくりを推進していく中で、Flatt Security の社会的・組織的変容が必要不可欠です。この激流の中でも己の芯を見極め、それ以外への変化を恐れず進むのが、死なないための必要条件であるとまで感じます。
本稿と同時に公開した志賀の記事では、そんな「我々の芯」の話を紹介しています。その各所で強調されている、我々を我々たらしめる価値観は、これからも私達が決して手放さないものです。
そこで本稿では、敢えてどのような変化を能動的に作り出していくかを表明しておきたいと思います。Flatt Security は今後、以下の 3 つの「クロスポイント」へと進化させていきます:
- ソフトウェアによる価値と、専門家による価値のクロスポイントへ
- プロダクト組織で戦うエンジニアのための、知見のクロスポイントへ
- より多様な専門家の、人生のクロスポイントへ
ソフトウェア駆動の価値と、専門家による価値のクロスポイントへ
先述のような「自分たちの持つ資産や、それを取り巻くシステムの関係を明らかにした上で、透明性のあるセキュリティ評価を行う」発想でプロダクトを作り込んでいくだけでも、より様々な人がプロダクトセキュリティに短時間で取り組めるようになるでしょう。
ただ、これは我々専門家にとっても同じで、お客様が今何をするべきか?をよりよい判断材料をもって考えられるようになります。なので Flatt Security は、ソフトウェアによる自動化の上に、さらに専門家としての知見を乗せて提供していくつもりです*1。これはお客様が必要とするプロダクトセキュリティ業務のうち、リスク評価やそれを踏まえた施策決定に関するビジネスプロセスを提供することに他なりません。スキャナだけを提供するのでもなく、専門家の時間を提供するのでもなく、顧客が成すべきことを一通り成すことをビジネスとしていくということです*2。ソフトウェア駆動の価値と、人しか成せないことの価値の、クロスポイントでありたいのです。
昨今のエンジニア的言い回し(とりわけ Team Topology 的言い回し)を倣うと、我々は世界中のプロダクトチームのための Security Enabling Team / Platform Team になっていきます*3。そして、Flatt Security は、この 2 つのチーム/職能が組織・事業の様々な点で交わる場所にしていきます。
多種多様な専門家の、人生のクロスポイントへ
前項のクロスポイント志向は、ビジネス的な見地からは国内外でトレンドの感じられる「SaaS から BPaaS への拡大展開」の流れの中で整理ができます。最近、一般に低 ARPU である SaaS ビジネスで「超 CS」的なサービス ≒ プロフェッショナルサービスを拡充していくことで、本来 SaaS を買う理由である業務そのもののサクセスを作っていく流れがあるように思います。
個人的にこの手の流れは、ある種の「全員ができなくてよいし、かつうまくやれるタレントが比較的限られている業種」においては合理的だと感じています。やはり会社の垣根をまたいで知見や資源を共有し合うのは中々に大変ですしね。その上で、高みを目指す専門家にとって「ベースキャンプ」(登山の拠点となるようなキャンプ)となれる場所は肝要だと感じます*4。
そのため、Flatt Security は、これからの(プロダクト)セキュリティを担う多種多様なタレント・専門家の「人生のクロスポイント」でありたいと思います。同じ志を持った、技術者に限らないプロフェッショナルが、様々な挑戦をするための地盤・土台・拠点でありたいということです。
弊社が有する脆弱性リサーチプロジェクト(参考: 過去実績)の存在や、社内ブログ文化、社内勉強会文化、便利な業務基盤(ORCAs)など、自然と「ベースキャンプ」感を醸成されつつあると感じています。この文化に対して自然な追い風を吹かせていくことが、これからの私の責務の一つです。
プロダクト組織で戦うエンジニアのための、知見のクロスポイントへ
前項で「会社の垣根をまたいで知見や資源を共有し合うのは中々に大変」と述べたばかりですが、とはいえ知見が一社内に限定されるのは一切よろしくない、というのが弊社の(そして私の)信念です。知識・知見は可能な限りオープンにしていきたいと考えています。
言ってしまえば、プロダクトセキュリティに関する知見が、日本中・世界中のエンジニアから集まり発信されていく「知見のクロスポイント」になれたらよいと思います。既に、Flatt Securityは外部パートナーと連携して技術記事を発信する活動(例)をしていたり、Flatt Security Magazineを通して各社の取り組みをインタビュー・発信するなどもしていますが、この流れは拡大していけるのが望ましいですね。
ビジネス的にも、一般に知識のアービトラージで食べていくのは限界がある(知見は流出し、均一化する)と考えています。SaaS 提供のような「機械に働かせる」部分をマネタイズするのはもちろんとして、あくまで事業固有の状況を理解すること、一緒に不確実性をコントロールしながら行動を起こしていくところでマネタイズしていけるのが理想です。
最後に ― 同じ時代を生きるあなたへ
本稿は Flatt Security のこれまでを整理すると共に、これから Flatt Security として今後どんな役割をこのシーンで担っていくかを表明するものでした。しかし筆者は、ここで述べたようなミッション意識が、Flatt Security という一組織だけのものであるのは惜しいと感じます。
だからこそ、同じ時代を生きる読者の皆様の中に「共感した!」という方や、「もう少し議論を深めたい!」という方が居られたら、何か一緒にアプローチできないかを企んでいきたいです。こちらの予約リンクから、あるいは弊社のお問い合わせフォームからご予約いただければ私(米内)が直接出ていきますので、ぜひご一報ください。もちろん、単に雑駁なカジュアル面談を目的としてお問い合わせいただくのも大歓迎です。
一緒にいい時代を作っていきましょう。本稿が Flatt Security のこれからを伝えるという第一義を果たしてくれること、ひいてはこれからの(プロダクト)セキュリティのあり方をより幅広い人と考えていくための一つのピースとなることを願っています。
*1:この方針を推し進める上では、プロダクトが “For everyone, for every one” 的構成(初期状態で誰でも十分使えるクオリティを目指すが、個別のチューンが可能な構成)を取る必要があります。弊社プロダクト「Shisho Cloud」が、あらゆる場面で Policy as Code のイズムを重要視しているのには、この点が関係しています。
*2:セキュリティ業界にゆかりのある諸賢の脳裏には SOC や MSS が浮かぶかもしれません。これらと我々が志している点の違いはシンプルで、我々は主にリスクマネジメントにおける BPaaS を志向し、SOC/MSS は危機・有事対応におけるそれに近いという点です。我々のモデルは常時リスク診断・対処(CRSA)の BPaaS 化というのがよいのかもしれません。
*3:「それって前君たちが主張してた、”開発とセキュリティの分断” とやらを推進する動きなのでは?」と思う方もいるかも知れません。これは非常に鋭く、「分断」という言葉の捉え方によっては正しい指摘です。一方、「責任意識の分断」がない限りは妥当な流れだと今は考えています。
同じ「分断」でも、責任意識の分断(→ 「これは私の責務ではない」が発生するような分断)は明らかによくないことです。しかし、能力的な分断(→ できる人、できない人が分かれること)は多くの組織が迎える妥当なことです。 そのため Flatt Security がソフトウェアプロダクト + 専門家の合せ技で顧客のリスクマネジメント業務の一部を代替していくのは、顧客と我々で目標が分断していない限り、自然な流れの中にあるものと考えます。
必ずしも技術者全員が開発・運用を兼務することが DevOps の姿ではなく、「顧客価値に集中すべきチームが、真に集中できるようにするための業務提供」を昨今のイネーブルメント/Platform Engineering の流れが果たしているのと同じことです。お客様が「セキュリティは我々の責務の一つだ」と考えてくれている限り、お客様の労力が一番小さくなる形でその責務を達成するべく動ける我々でありたいのです。
*4:このフレーズは元々、我々 Flatt Security も参加している 日本CTO 協会様の MVV の議論に由来するものです。非常に弊社の状況ともマッチしているなと感じています。
