Share

Xでこの記事をシェアFacebookでこの記事をシェアはてなブックマークに追加する
# 中途入社# エンジニア

CISOとしてfreeeへ ──最高情報セキュリティ責任者が語るこれからのセキュリティ

1999年、DeNAに創業メンバーとして参画しインフラ構築・運用を統括した後、セキュリティ部を設立し、情報セキュリティの最高責任者として活躍してきた茂岩祐樹。ここでは自身のキャリアをセキュリティへ移行した理由や、2022年freeeに入社するに至った背景とこれからを紹介します。

熱意に心を打たれ、日本IBMから創業まもないDeNAへ

1995年、茂岩は大学院を卒業し、日本IBMへ入社します。研修が終わるとストレージシステムのエンジニアとして配属され、ゼロから知識をつけていきました。

茂岩 「当時は大学でコンピューターサイエンスを専攻している学生は、ほとんどいない時代。私も専門は機械工学で、コンピュータをツールとして使ってはいたものの、何かを作ったり運用したりする経験はありませんでした。

入社してからシステムエンジニアとしての知識をキャッチアップし始め、トレーニングやOJTを受けた後、先輩エンジニアに弟子入りしました」

茂岩は当時の業務を振り返ります。

茂岩 「日本国内の製品全体の統括部門に所属し、プリセールスエンジニアとして営業に同行して商談にあたり、専門的な知識に基づいてストレージに関する説明を行っていました。そのためエンジニアとしての一般的な知識に加えて、自社のプロダクトに関しても詳しくなる必要がありました。

トラブルが起きた際、現場のエンジニアで解決できない場合に、呼ばれることもありました。現場のお客様先にはストレージ以外にも多数のデバイスや機器がインストールされていますが、私たちはその中のストレージデバイスのケアをピンポイントで行う役割でした」

そして1999年、茂岩の人生を大きく変える誘いを受けます。

茂岩 「大学時代の先輩に非常に熱心な誘いを受けたのをきっかけに、最終的に転職を決意しました。株式会社ディー・エヌ・エー(以下、DeNA)の創業者である南場さん(DeNA創業者:南場 智子)と先輩の川田さん(DeNA共同創業者:川田 尚吾)です。

創業物語は南場さんの著書『不格好経営―チームDeNAの挑戦』に詳しく書かれていますが、当時はまだ3人しかメンバーがおらず、『エンジニアがいないから知り合いを探そう』となったようで自分に声がかかりました」

4人目の社員で初のエンジニアとしてDeNAに入社した茂岩。しかしDeNAのエンジニアとして役立つ技術は、ほとんど持っていなかったと言います。

茂岩 「開発をやったことがなかったんですよ。当時、日本IBMは基本的にはインフラ屋で、周りにも開発している人はほとんどいなくて、実際にコードを書いていたのは協力会社だったんです」

技術はなかったと話す茂岩ですが、熱い気持ちはありました。

茂岩 「開発の知識や経験は絶対に自分の人生にプラスになると感じていて、身につけたかったので、できると思っていました。システムってたくさんの要素技術で動いているので、自然とエンジニア知識を増やしたい気持ちが湧いたんです。DeNAでは、システムのすべてを任せてもらえるという話だったので、かなり魅力的で、好奇心をくすぐられました」

インフラエンジニアとして経験したDeNAの急成長

DeNAに入社して最初に取り組んだのは、メールサーバーの構築でした。

茂岩 「本や雑誌で知識はつけていたけれど、実際に手を動かすとすんなり行かず、試行錯誤しながらの挑戦でした。三日三晩必死にやって、なんとか完成させました。

それまで一本しかない電話回線をつないでメールを送受信していたので、複数人同時にメールを送受信できなかったんです。メールサーバーの構築により同時送受信が可能になると、『すげえ!』と社内が湧きました」

日々、開発の勉強をしながら、業務に励んだ茂岩。少しずつメンバーも増え、最初のサービスであるインターネットオークションのサイトリリースに辿り着きます。

同時に、ビジネスの厳しさを知ることとなりました。

茂岩 「もともとDeNAはインターネットオークションを実現するために創業された会社なんです。

当時すでに米国ではインターネットオークションが盛んで、最大手のeBayはIPOも果たしていました。日本でもこれから流行るのは目に見えていたので、その草分け的存在になることを目指していたんです。

しかしリリース直前、システムに問題が見つかって1カ月ローンチを延期しました。その間に他社に市場を独占されて、その背中をつかむことはできませんでした。先にリリースできていたら勝てたのかはわからないけれど、『Winner takes all』の世界なので、たとえ紙一重の差でも後発になるのはリスクが大きいなと」

続いてDeNAはネットショッピングに参入し、すでにオープンしていた他社のサイトを追い抜くことを目指したものの、黒字化は出来ても、手は届かず。

転機が訪れたのは「モバオク」と「モバゲー」のリリースでした。爆発的ヒットはDeNAをベンチャーから大企業へと押し上げ、今日のような多角化経営に乗り出す礎となりました。 インフラエンジニアとしての、DeNAの日々を茂岩はこう振り返ります。

茂岩 「インフラエンジニアになったのは、IBM時代の専門分野がインフラ周りだったこともあり、データベース・ネットワーク・サーバーなどの知見があったからです。組織が拡大してくるとマネージャーとして統括しつつ、現場で手を動かしていました。

モバゲー以前はとにかくサービスを黒字化することが命題でした。そのためにはユーザーを呼び込んでトラフィックをを大きくしなくてはいけないのですが、それをするとサーバーの負荷が上がるというジレンマがあり、いかにローコストで工夫して捌いていくかに注力していました」

茂岩は急成長時代は、最高に面白かったと言います。

茂岩 「インフラエンジニアの何が面白いかって、サーバーの規模との壮絶な戦いなんです。特に急成長があると、サービスに対して押し寄せる莫大なトラフィックを捌くことが必要になりますが、そんな技術はどこでも学べるものではありません。難題ばかりでしたが、一部の限られた巨大サービスを抱えている企業でしか味わえない貴重な経験が多かったです。

例えば、DeNAはネットワーク回線を自分達でデータセンターに引いていましたが、回線の調達には時間を要するので、半年先を見据えて計画を立てたり。サーバーを一気に2000台ほど買った時には、納品の段ボールの体積が4トントラックで何十台という規模になり、搬入のために道路利用許可を取ったり、長時間道路を占有するときは日曜の夜にやってくれと言われたり。どれも面白がって取り組んでいましたね」

こんなにおもしろいセキュリティ分野を他の人に譲りたくない!

世の中が少しづつクラウドにシフトし始めた2010年前後、DeNAが本格的に海外展開を考え始めたのをきっかけに、茂岩は自身のキャリアをインフラエンジニアからセキュリティへと移行しました。

茂岩 「海外はサイバー攻撃が激しそうなイメージがあったので、このままで大丈夫か、という懸念がありました。

また当時は3Gのスマホが出てきた時期で、ガラケーは通信経路的にサイバー攻撃を受けにくかったのですが、Wi-fiにつなげるスマホはいろいろなところから攻撃を受ける可能性があり、セキュリティ強化のニーズがあったんです。

しかし他社をふくめて日本のインターネット事業会社の多くはセキュリティの専任部署を持っていませんでした。つまりセキュリティのタスクを外注に頼っているところが多かったということです。

私はインフラエンジニアとしてセキュリティに親和性のある業務に携わり、興味もあったので、兼務でセキュリティ業務を始めることにしました」

セキュリティ関連の勉強を本格的に始めた茂岩。そこで意識の変化が訪れます。

茂岩「本とネットで勉強をはじめて3ヶ月〜半年ほど経ったころ、めちゃくちゃ面白い分野だと気がつきました。DeNAに入社してから10年以上、システム全体を見渡せる立場でやってきたのに、『へえ!』と思うような発見が多かったんです。サイバー攻撃から事業を毀損されないためにどんな技術が必要か、何を使えばいいか、解像度高く理解することができました。

同時に自分がやるべきだし、もっとこの分野を深ぼりたい、こんな面白いものを他の人に譲りたくないとまで思えたんです。それから『僕が本格的にやります』と名乗り、よりセキュリティに注力するようになりました」

必要に駆られてセキュリティを始め、個人的な思いも芽生えた茂岩は、2012年、他の事業会社に先駆けて本格的にセキュリティ部門を立ち上げました。以後、脆弱性診断の内製化に始まり、外部に依頼していた業務をほとんど自社でまかなうようになります。

10年かけて大きくしてきたDeNAのセキュリティ組織について茂岩が語ります。

茂岩 「組織構築で大変だったのは採用でした。実務経験のある専門性の高い人を採用するには時間がかかりましたね。

ただ、ある時、エージェント経由でたまたまセキュリティの専門ベンダーに勤めていた方が来てくれたんです。『ミラクルが起こった!』と思いました。それから彼を核としながら、組織をどうやってスケールさせていくか、一緒に考えながら大きくしていきました」

茂岩はセキュリティチームの在り方や目標を明確に定めました。

茂岩 「セキュリティって技術だけでなく最終的には法律・倫理も絡んでくるので、分野が広いんです。だから開発・インフラだけでなくさまざまなバックグラウンドを持った人を集めて、多様なスキルセットを持ったチームを構成しました。中途採用だけでなく、新卒も配属してもらって、育てて、戦力化にも取り組みました。

その上で『全員が1人ですべてのことをできるようになる』という高い目標を定めました。自分の専門を主軸として活動しながら、他の人からも吸収すれば、どんどん厚みを増して各個人のバリューが上がっていく、そんな姿を目指したんです」

茂岩のDeNAでのセキュリティに対する取り組みは、著書『 DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録』にも詳しくまとめられています。

CSIRTとPSIRTを近くすることでシナジーを生み出していく

茂岩は充実した日々のDeNAを離れ、freeeに転職を決めたときの気持ちを語ります。

茂岩 「10年間でDeNAのセキュリティは完成形に近いところまで育ち、実力がついてベンチャーに転職したり、起業したりするメンバーも出てきました。後進のリーダーも育てたので、刺激がほしいと感じるようになりました」

茂岩は独立してセキュリティ関連の事業を起こそうと考えていた矢先、転職エージェント経由でfreeeからの誘いを受けました。

茂岩 「転職先を探していたわけではないのですが、話を聞きに行ってみると面白くて、あれよあれよと入社が決まってしまいました。事業が一つの大きな目標に向かって進んでいることが新鮮で、とくに惹かれました。

また『バックオフィスの統合ERP構想を実現させて、CFOがいらない世界を作る』『スモールビジネスの経営者が本業に集中できるようにする』というビジョンにも共感しました」

2022年4月にCSIRTの責任者として入社した茂岩は、7月にCISO(Chief Information Security Officer:最高情報セキュリティ責任者)となり、CSIRTとPSIRTを統括しています。

茂岩 「最初の3カ月で法律・倫理を守備範囲とするCSIRTを、次の3カ月で技術を担当するPSIRTをキャッチアップし、同時にfreeeにおけるリスク全体の中でセキュリティ部門はどういう位置付けなのか確認を行い、全体感を掴んでいきました。

さらにOKRの設定や、社内システムの脅威分析、セキュリティのソフトウェアの継続投資の判断、セキュリティポリシーの最新化などを半年間で行いました」

組織改革にも取り組みました。

茂岩 「もともとビジネスサイドに属していたCSIRTをエンジニア組織の傘下に移行させ、PSIRTと並べてセキュリティチームとして組織化しました。これはDeNA時代からこだわってきたことです。

セキュリティは情報戦です。互いの組織を近くすることでメンバー全員で情報をタイムリーに共有し、シナジーを生み出すことで、取り組みの質を上げたいと思っています」

最後に、自身のキャリアを振り返り、今後の目標を語ります。

茂岩「セキュリティにキャリアを移したのは正解だったと思っています。

セキュリティを始めようかなって思っていた時に、ラスベガスで開催された、世界で最も進んでいるセキュリティのカンファレンス(Defcon)に出向いたんです。世界中のホワイトハッカーが集まって登壇・ワークショップ・情報交換をしていて、この裏に何倍ものブラックハッカーがいて虎視眈々と犯罪を企んでいると思うと、とんでもない世界だと思いました。日本の平和な状態に慣れているので、このまま海外進出したらボロボロにされるなと。

サイバー攻撃が増えてきそうな予感と同時に、日本にはセキュリティエンジニアが少ないことにも気がついていました。枯渇しているエンジニアの中でもとくに少ないなと。そんな世の中のニーズと希少価値の高さを考えたとき、セキュリティ分野の伸び代に気がつき、今後10年は絶対に食えるなと確信したんです。結果的にその通りになりました。

セキュリティを始めた時に感じた面白さや使命感は今でも変わらず持っているので、freeeのプロダクトを魅力的にするための取り組みに、セキュリティという立場から関わりたいと思っています。今までと同じことを継続しながら、全然違う不連続の取り組みにも挑戦したいですね」