はじめに

こんにちは、執行役員兼プロフェッショナルサービスCTOの志賀です。

こちらの記事だけを読むと言う方も少ないだろうと思いつつ、まずはこの記事の前提として以下の記事を読んでいただくことを推奨します。

• プレスリリース: https://prtimes.jp/main/html/rd/p/000000045.000027502.html
• 代表取締役 井手の記事: https://flatt.tech/magazine/entry/20240213_ceo_message
• CTO米内の記事: https://blog.flatt.tech/entry/2402_cto_message

この度Flatt SecurityはGMOインターネットグループから10億円の資金調達を行うとともにグループに参画し、スイングバイIPOを目指します。弊社代表の井手も申し上げている通り、これは、Flatt Securityが最速で「外貨を稼げる1兆円企業」となるために、事業成長のスピードをこれまで以上に上げるための意思決定です。

ところで、僕も元はあまり知らなかったのですが、スイングバイIPOとは軌道力学/航空宇宙工学系の用語であるところの、「スイングバイ」という惑星が宇宙機の運動ベクトルを変更(IPOの文脈では加速)する技術を用いた用語のようです。 (ref: 「スイングバイとは何ですか?」 https://humans-in-space.jaxa.jp/faq/detail/000751.html )

ここで重要だと感じているのは、そもそも惑星の強い引力に引き込まれてしまっては、スイングバイは不可能だということです。だからこそ我々は独自のベクトル・これまで通りのFlatt Securityであり続けなければならない、これは今回のグループへの参画の使命でもあると考えています。

この記事では、そんなセキュリティのプロフェッショナル集団としてのFlatt SecurityがFlatt Securityたる所以、GMOインターネットグループ流にいえばFlatt Securityイズム*1としてこれまで大事にしてきた「情報開示・倫理・挑戦」に関する価値観や生き方と、井手の言葉を借りるなら「もう一度スタートアップ」をするにあたってのこれからのFlatt Securityでの生き方をお話しできればと思います。

Flatt Securityとして大事にしてきた価値観

僕の個人的な考えとして、人間が組織で何かを為す際に最も大事なことは、自分自身の価値観がその組織とマッチしているかどうかであるというのがあります。そして、サービスは組織によって運営され、組織は人で動き、人は自身の価値観のもとに動くものであるからこそ、この「価値観」はそのまま「独自のベクトル」の推進力たりえるでしょう。

もはや敢えてここで明言するまでもないですが、Flatt Securityの技術組織は、特に以下の価値観についてこれまで大事にしてきました。ここでは、それぞれの価値観に対して我々がどのように大事にしてきたのかについてお話しします。

• 情報開示を正義とするプロフェッショナリズム
• 専門性を売りにしているからこその倫理観
• 業界に対して挑戦し続ける姿勢

情報開示を正義とするプロフェッショナリズム

技術者一人一人が真摯に技術に向き合い、研鑽を積む環境を提供し続けるのはもちろん、技術者が必ず顧客の0ホップの位置で課題の解決に向き合うことなど、これまで我々は独自に技術力や技術への向き合い方、技術者としてのあり方を培ってきました。

そんな中で、我々は例えば情報への向き合い方一つとっても、社内的な文化はもちろん、対外的なセキュリティ技術の提供・共有などもこれまでさまざま行ってきました。例えば以下のようなものです。

• Flatt Security Blog
  • https://blog.flatt.tech/
• FlattSecurityMagazine
  • https://flatt.tech/magazine/
• Flatt Security Developers Quiz
  • https://blog.flatt.tech/archive/category/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%AF%E3%82%A4%E3%82%BA
• Flatt Security mini CTF
  • https://flatt.connpass.com/
• Flatt Security Speedrun CTF
  • https://flatt.connpass.com/
• 各種サービス/OSSへの脆弱性の報告
  • https://flatt.tech/cve
• CTFや勉強会への支援・協賛
  • https://security-tokyo.connpass.com/ 等
• 技術カルチャーに関する記事の発信
  • https://recruit.flatt.tech/culture

このような活動は、我々が技術者・専門家として専門的な知識を「隠す」ことによる情報格差のビジネスを行いたいのではなく、大原則として「公開こそが正義」であるとして活動しているからに他なりません。「何も分からないから依頼するビジネス」ではなく、「分かった/分かる基盤は用意されている」上でどうしても高度になってしまう部分や意思決定の要素/サポートが必要な部分において利用していただけるサービスを提供したいという思いの現れです。そのようにして、新Missionの「開発者の背中を預かる」ような、プロダクトの開発組織が真に前だけを向けるようなサービスを提供していきます。

また、これに関連して「2024年のセキュリティトレンド大予想【各業界の開発・セキュリティエンジニア13人に聞く（後編）】」にて、自分と米内の方で「Accountability（説明責任）」についての言及を行っています。お客様が第三者のセキュリティサービスを依頼/導入するにあたっても、我々がそれらを提供するにあたっても必要になる概念です。そしてそのどちらのAccountabilityを果たすためにも必要なのは情報の透明性です。Shisho CloudのようなSaaSでは機能要件に対する透明性が必要なのはもちろん、プロフェッショナルサービスにおいても決して安くないサービスを提供している以上、プロフェッショナル性に対する透明性(=技術的な情報公開)はもはや義務であると考えています。

我々は、このような技術への向き合い方を通じて、旧Mission「セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する」の第一歩である「我々への信頼」を得られるように努力してきました。

専門性を売りにしているからこその倫理観

我々のバリューとして、セキュリティ業界へのピボット時から現在に至るまで、そして恐らくこれからもバリューとして残り続けるであろう要素として、「倫理的であれ」というものがあります。一見、「脆弱性を悪用しない」のような初歩的なバリューにも思えますが、「お客様/世の中に対して正しい情報を伝えること」という意味も含みます。先ほど述べた情報公開の文脈もそうですが、専門家の情報というのは時として毒にも薬にもなります。医者が危険と言えば危険だと思い、安全だと言えば安全だと思うのと同様に、セキュリティにおいても同様のことが起きうるのです。だからこそ我々は情報公開時やお客様とのコミュニケーションの際には以下のようなことに対して強く注意を払ってきました。

• 技術的に正しいか
• 過度な安心感を醸成していないか
• 過度な不安感を煽っていないか
  
  

また、これまでプロフェッショナルサービス事業部においてサービスの初期段階からエンジニアが携わる形で進めていたのも、こういった点が大きいところです。例えば脆弱性診断を1つとっても、想定しているリスクに対する診断の実施方法が「技術的に正しいか」や実施結果を見た上で「過度な安心感/不安感」が発生しないかを考えるには技術的な知識が必要です。そういった観点でも専門家として正しい情報(「分かった/分かる基盤」)を提供した上で意思決定をしてもらうことが重要だと考えているからです。

業界に対して挑戦し続ける姿勢

事業を行うにあたって、挑戦的なことをするモチベーションの源泉は、世の中や業界に対する強烈な課題意識です。プロダクトを安全にする演習が含まれた学習プラットフォームのKENROやソースコード診断を無償付帯した脆弱性診断などはその最たる例と言えます。そしてこの課題意識こそが、新たな価値の提供に繋がることに他なりません。そのため我々は挑戦し続ける姿勢をこれまで大事にし続けてきました。

また、そもそも我々は、セキュリティプロダクトを作ってはピボットを繰り返して現在のKENROやShisho Cloudといったプロダクトをリリースしていますが、特にShisho Cloudにおいては世界を相手にする上では超が付くほどのレッドオーシャンです。またプロフェッショナルサービス事業においても、脆弱性診断という成熟した市場に対して高い技術力/最新の技術/診断技術の公開/ソースコード診断の無償付帯などの切り口を経てようやく生き残れているような状況です。

ギリギリで生き残れるレベルのレッドオーシャンで戦う技術者・技術組織が挑戦をしないのであれば、もはや我々に存在する価値すらないでしょう。会社を潰して有能な技術者を世の中の役に立つ別のことに注力してもらった方が何倍もマシです。

要するに我々は業界に対して挑戦的でありたいというだけではなく、挑戦するしかなかったのです。しかし、だからこそ働きがいがある、そんなメンバーでこれまで挑戦を続けてきました。幸いにも、現在は我々の姿勢を評価していただけることが増え、多くのお客様や一緒に働く仲間に集まってもらえています。

「もう一度スタートアップ」をするためのこれからの生き方

我々はこれから、「もう一度スタートアップ」をすることになります。それに伴い、また、創業当初より見据えていたグローバル展開について組織的には見え始めたこのタイミングで、我々が強く意識しなければならないことがあります。それは、これまでの文化の維持と破壊を明確に意識することです。ここでは、これまで大事にしてきた価値観のこれからと、再スタートのために敢えて捨てて再構築すべき点として「セキュリティ診断企業からの脱却」とそれに伴う新しいプロフェッショナルサービスのあり方についてお話しします。

これまでの価値観をより強固なものに

今回のグループ入りで、我々は10億円の資金調達とGMOインターネットグループの巨大なバランスシート(BS)、BSに見えない資産(ref: https://diary.shift-js.info/remember-2023/ )を手に入れます。

これにより、資金面においてはこれまでより格段に安定した企業体制となることは間違いないです。しかし、企業文化においてはその逆です。資金面で安定するからこそ、これまで以上に「挑戦するしかない/挑戦しない我々に価値はない」とさえ言えるでしょう。

また、情報開示とその倫理観に関してもこれまで以上に強固なものとすべきです。情報開示における価値という意味でも、責任という意味でも、GMOインターネットグループという大きなブランディングの力を持つことになった今、その重要性はますます高まることになるでしょう。故に我々はこれまで以上に専門家としての情報の正しさに注意を払い、正しく「分かった/分かる基盤は用意されている」という状態を作れるように目指します。

とは言いつつも、文化は語れば浸透するものではありません。行動が文化を作り、文化が行動を引き起こすものであるからです。より強固な価値観の形成のため、明日からも引き続き情報公開などの行動を続け、さらに我々は手に入れた資金を元に、サービスに対してこれまでの数倍単位での投資を行う「挑戦」という行動を起こしていきます。

セキュリティ診断企業からの脱却

特に脆弱性診断・ペネトレーションテストを提供する会社の文脈では、尖った/高度な技術を持ったオフェンシブセキュリティのプロフェッショナル集団であるということが注目されがちです。最近だとShisho Cloudの名前で認知してくださっている方もいるとは思いつつ、プロフェッショナルサービス事業が好調だったというのもあり、実際に我々も尖った技術の提供をベースとした診断企業であると思われることが多かったのです。

一方で、代表の井手がプロダクトが1つもリリースされていない時代から口を酸っぱくして言っていたこととして、「我々はセキュリティ診断企業ではない」というものがあります。我々が当初から目指しているのは、根幹となる部分として企業のプロダクトセキュリティの改善を担うSaaSがあり、その上で対処しきれない部分(意思決定や高度な技術、ドメイン知識等を要する問題)をプロフェッショナルサービスで担うというモデルです。

脆弱性診断において導入初期からほぼ必ずエンジニアが同席するといったスタイルでのサービス展開は、その意思決定をサポートするモデルのための布石であったとも言えるでしょう。

当然これからも、高い技術力を有する技術者集団による脆弱性診断・ペネトレーションテストというHowは持ちつつも、それを如何にお客様の組織に適用させていくか、といった戦略的な部分をも同時に担う組織として成長できればと思います。それこそが我々の思うプロダクトセキュリティのための技術組織としてあるべき姿だと思っているからです。

Shisho Cloudを起点とした全く新しいプロフェッショナルサービス提供組織

また、スイングバイによる加速の先に見据える未来として、中期的には現在のShisho Cloudを起点としたプロフェッショナルサービス事業のあり方の再構築を考えています。

現代のプロフェッショナルサービス事業では、どうしてもお客様の課題ベースでの依頼となるため、そもそもの課題の特定や提案と言ったところをproactiveにやりきれていない部分がありました。我々の目指すセキュリティのプロフェッショナルとは、与えられた課題を解決するものではなく、課題自体を発見することをも含み、我々の新Missionである「エンジニアの背中を預かる」には、そういった課題自体の発見や意思決定も我々がブレインとなってサポートするといった意味も含まれています。

それ以外にも、何か相談する度に発生する構成図の作成や情報共有など... 課題は山積みです。

そんな中、今後Shisho Cloudによって集約されたデータは、重点的にリスク評価すべき対象/資産の特定やASM的なアプローチとしても顧客に有効に活用されることは容易に想像できるでしょう。そしてそれらを意思決定の重要なファクターとしてシームレスにプロフェッショナルサービスと連携し、Accountabilityのある意思決定が可能なサービス提供を目指しています。

最後に

本稿では、これまでのFlatt SecurityをFlatt Securityたらしめたものと、これからのFlatt Securityにおいて重要だと考えていることの2点についてお話ししました。

先ほども申し上げましたが、人の価値観はすなわち推進力/原動力です。ここまでしっかり読んでいただいた熱量のある方、本稿を読み近い志を持っていると感じた方などいらっしゃいましたら、我々の事業展開やご自身のキャリアなど何でも良いので、お問い合わせフォームやカジュアル面談のフォーム、X(旧: Twitter)のDM等からお話しできればと思います。