世界で戦う国産セキュリティメーカーの挑戦。サイバーセキュリティクラウドのエンジニア組織と文化とは
累計導入社数・累計導入サイト数国内シェアNo.1*¹のクラウド型WAF『攻撃遮断くん』やユーザ数国内No.1*²のパブリッククラウドWAF自動運用サービス『WafCharm(ワフチャーム)』などのセキュリティプロダクトを数多く手掛け、高い成長を継続している株式会社サイバーセキュリティクラウド(以下、CSC)。
*¹ 攻撃遮断くん : 日本マーケティングリサーチ機構調べ 調査概要:2021年10月期_実績調査
*² WafCharm : 日本マーケティングリサーチ機構調べ 調査概要:2020年7月期_実績調査
国内だけでなくグローバル市場にも目を向け、世界で戦える日本発のグローバルセキュリティメーカーとしても注目されている同社では、新規プロダクトの開発やM&Aによってサイバーセキュリティ領域全般をカバーすることをめざしています。
今回はCSCで開発に取り組んでいるエンジニアチームの働き方や会社の文化、求めるエンジニア像について、代表取締役/CTOの渡辺 洋司氏にお話を伺いました。
目次
プロフィール
代表取締役CTO
WAF製品を中心としたセキュリティプロダクトで成長を続けるCSC
――はじめにCSCの事業概要を教えてください。
渡辺:CSCはWebアプリケーションのセキュリティ領域、特にWAF(Web Application Firewall:ワフ)に力を入れている会社です。
『攻撃遮断くん』『WafCharm』『CSC Managed Rules for AWS WAF』など、様々なチャネルにおけるWAF製品を提供して成長を続けてきました。
また2020年に東京証券取引所マザーズ市場に上場することができました。また同年には、株式会社ソフテックをM&Aし、同社が扱っていた脆弱性管理サービス「SIDfm」と脆弱性診断事業も当社のポートフォリオに加わりました。これによりアプリケーション運用の現場でも、お客さまのお役に立てるソリューションを提供できるようになっています。
さらに2023年10月には『CloudFastener(クラウドファスナー)』の提供を開始しました。これにより、WAFの会社からクラウドセキュリティの会社として一歩踏み出した状況です。
ここ数年はグローバルにも目を向けています。2018年に米国法人Cyber Security Cloud Inc. を設立、2019年には「CSC Managed Rules for AWS WAF」のグローバル提供を開始し、現在では世界90以上の国と地域で利用されています。
グローバルでも戦っていける製品を持つ、日本のセキュリティ企業というのがCSCの現在の立ち位置です。
――数多くのセキュリティプロダクトを展開されていますが、それぞれの特徴を教えてください。
渡辺:まず、弊社の代表的なプロダクトである『攻撃遮断くん』は、クラウド型のWAFサービスです。お客さまのWebサイトやWebシステムの前に配置して外部からの攻撃を防ぐもので、クラウド環境だけでなく、オンプレミス環境にも対応しており比較的低コストで導入できます。
そして、『攻撃遮断くん』で培ってきたWAFの技術を活かし、お客さまに最適な防御ルールを柔軟に適用したサービスが、『WafCharm』です。『WafCharm』はAWS(Amazon Web Service)やMicrosoft Azure、Google CloudなどのWAFをお客さまに代わって運用します。
また、脆弱性管理のプロダクトには『SIDfm』があります。OSやアプリケーションの脆弱性情報を世界中から収集し、お客さまのシステムの脆弱性を可視化したり、優先度の高いタスクを判断します。特に大量のサーバーを持っている企業は自社で脆弱性情報を収集し把握することが難しいので『SIDfm』をご利用いただいております。
他にも、AWS WAF専用の汎用ルールセットでAWSのマーケットプレイスで販売している『CSC Managed Rules for AWS WAF』や、AWSの各種セキュリティサービスを包括的に管理し運用するフルマネージドセキュリティサービス『CloudFastener(クラウドファスナー)』もあります。
コロナ禍でインシデントが増加、一方でセキュリティ意識の高まりも
――現在のサイバーセキュリティ領域における状況を教えてください。
渡辺:コロナ禍によってリモートワークが増えたことによるセキュリティのインシデントが大幅に増加したことが特徴として挙げられます。
例えば、自宅から会社のシステムに接続する際にVPN(Virtual Private Network:仮想プライベートネットワーク)を使っていても、回線が古いままの状態で使うことにより攻撃を受けてしまうケースが多く発生しました。
またリモートワークによってコミュニケーションのロスが増えたことも特徴です。例えばシステムのアラートが発生しているときに、リモートだと誰かが見ているのか見ていないのかが分からず、対応が後手に回ってしまうケースもありました。
一方で、リモートワークによるセキュリティのインシデント増加は、社会全体のセキュリティや脆弱性管理に対する意識を高めたとも言えます。セキュリティに関する勉強会や情報の流通量が増加するとともに、エンジニアがやるべきことや意識することも増えています。
コロナ禍が落ち着いたとされる現在も課題感は残りますが、社会全体のセキュリティに対する意識が高まっているのは良い傾向だと思います。
――コロナ禍によるセキュリティ意識向上の一方で、新たに発生した課題はあるのでしょうか?
渡辺:企業や組織においては「自分たちでどこまでセキュリティ対策ができるか」が課題になります。例えば「自社で脆弱性診断をやっています」という企業でも、その結果が本当に大丈夫かまでは分かっていないことが多いのですが、セキュリティ対策をすべて外部に任せてしまうとコストがかかってしまいます。これはシステムに関わる人全員の課題だと言えるでしょう。
セキュリティの領域そのものは、動くシステムの環境や構成されるプログラムによって変わります。昨今のDXによってシステム化されるものが多くなっており、開発システムも非常に速くなっている一方で、開発するための技術やシステムを動かす環境は大きく変わりませんから、セキュリティの市場においてはまだまだ需要が続きます。
グローバルで巨人と呼ばれる企業が高性能なセキュリティプロダクトを作っていますが、導入コストがかかるし、使いこなしも難しい。そのような中でCSCとしては使いやすく導入しやすい価格でプロダクトを提供し、お客さまに納得いただけるセキュリティ解決策を提供していきたいと考えています。
一番幸せな未来はセキュリティソリューションがいらない世界です。CSCの究極の成功は会社がなくなることかもしれませんが、しばらくは実現しそうもありません。
ですので、CSCでは今後もシステムに携わる人が製品やサービス作りに集中できるよう、「少しでも楽になってほしい」という思いでセキュリティソリューションを作っていきます。
――今後のセキュリティ領域における動向についてはどうお考えでしょうか?
渡辺:日本国内でも自社でセキュリティ対策を施す企業が増えてきています。自社でセキュリティ対策をする場合は組織づくりが非常に重要なので、人的リソースの確保がカギになります。
一方でコストはいくらかかっても良いので外部に任せたいという企業もあるし、その中間層に位置する企業もあります。
CSCでは今後も、各企業の動向を見ながらソリューションを作っていくことになると思います。
技術や知識をフル活用して社会的課題を解決する面白さ
――そもそもの話になりますが、CSCがセキュリティを手掛け始めたきっかけはあったのでしょうか?
渡辺:「社会貢献できる事業、かつ技術的な尖りが持てる事業をやりたい」という思いからセキュリティ事業を始めました。
そのときに打ち立てたのが「世界中の人々が安心安全に使えるサイバー空間を創造する」 という企業理念です。これは今でもずっと引き継がれています。
実際に私たちも買い物や調べ物をする際にWebサイトを見ます。このときにセキュリティのインシデントが起きると、自分や家族、仲間など多くの人が困ってしまう。Webサイトを守るセキュリティ事業は、自分や身近な人たちだけでなく、世界中の人を守ることにつながりますから、事業と企業理念が一致していると言えます。
――具体的にどのようなお客さまの課題を解決しているのか、事例があれば教えてください。
渡辺:大手建設会社さまに『攻撃遮断くん』を導入した事例があります。数多くのシステムを持っていた同社ではアセスメントの際に脆弱性の対策でNGになることが多かったのですが『攻撃遮断くん』で一括したWebセキュリティ対策を導入することでNGがなくなり、システム運用が楽になったというケースです。
またAWS標準のWAFを自社で運用しきれない、自分たちでセキュリティルールを作るのが大変というお客さまに『WafCharm』を導入することで現場を楽にしたという事例もあります。
『CloudFastener(クラウドファスナー)』はまだ引き合いをいただいている段階となりますが、様々なお客さまのクラウドセキュリティ対策において、セキュリティの専任スタッフがいないケースが多々あります。どこから始めたらいいのか、何をしたら良いか、どこまでやればいいのか分からないというお客さまからは、是非とも導入したいというお声をいただいております。
これらの事例を総合すると、セキュリティに関する人的リソースやコストを減らし、本来の事業に注力できるようになる点がCSCのサービスを導入していただくメリットになります。
――セキュリティプロダクトを開発するにあたって、どのような部分に面白さを感じていますか?
渡辺:セキュリティプロダクトを作る面白さは、通信やソフトウェア、機械学習、AIといった幅広い技術や知識を使って社会的課題を解決できる点です。
逆に「これだけやっていれば良い」という仕事は、エンジニアとして一番つまらないものだと個人的には思います。
CSCで開発に携わる人には、様々な経験を積んで、多様な技術に触れてほしいと考えています。その上でお客さまのセキュリティ課題を解決できる社会的意義や自社の成長につながる事業的価値を、プロダクト開発を通じて達成する。これがセキュリティプロダクトを作る面白さにつながると思います。
エンジニアの「実現したい」を大切にする開発環境
――CSCの組織体制と開発の進め方について教えてください。
渡辺:プロダクトごとに部門が分かれていて、それぞれの部門に開発・インフラ・サポートのチームが入っています。基本的にはその中でコミュニケーションが取られています。
またプロダクトの組織とは別にプロダクトマネジメント部もあります。こちらはプロダクトの方向性とお客さまのニーズを取りまとめ、プロダクトがどう有るべきかを決める組織です。
プロダクトマネジメント部でプロダクトの方向性を決め、その上で各プロダクト部門がやるべきロードマップをブレイクダウンし、大きなマイルストーンを作ります。
開発にあたっては基本的にスクラムやアジャイルに近い形を取り入れています。自分たちの開発効率性に対して機能の大きさを見積もり、そこからスケジュールを決めるのが一般的な流れです。
各プロダクト部門の部長は開発経験が豊富なので、様々な開発プロセスの選択肢の中から、そのときの状況に最適なものを選ぶ柔軟さがあります。
例えば当初は1週間ごとに回していたスプリントを2週間で回すようにしたり、最後はウォーターフォールで進めたりと、プロダクトの開発フェーズによって柔軟に変更することもあります。
使う技術の選定についても基本的には各部門で検討し、最適なものを決定するようにしています。
――渡辺さんはCTOというポジションですが、エンジニア組織とはどのように関わっているのでしょうか?
渡辺:主に各プロダクト部門の部長と組織の状況やプロダクトのロードマップなどをディスカッションする立場にあります。
また現場に顔を出して、メンバーの調子を見たり、コミュニケーションを取ったりと目配り・気配りも欠かさないようにしています。
――現場のエンジニアとも積極的にコミュニケーションを取られているのですね。
渡辺:私が一番大事にしているのが「各個人が何を考え、どうしたいのか」という点です。立場上、求職者との面接をすることもありますが、そのときに「この人はどのような人で、何をやりたくてCSCに来たのか」を把握するようにしています。
入社後に一人ひとりのエンジニアとコミュニケーションを取りながら「やりたいことにチャレンジできているか」「力を発揮できているか」「やりがいを感じているか」などをチェックし、できる限りケアするのも私の仕事の1つです。
――渡辺さんが技術的な部分に携わることはないのでしょうか?
渡辺:人手が足りなくなると途端に私にも技術的な仕事が増えます。実際に今も1つプロダクト部門を見ていて、どのような技術を使って開発するかを話し合います。他にもAIチームを直接見ているのですが、データの定義や性能について結構口を出すので「うるさいな」と思われているかもしれません(笑)。
また新規プロダクトが立ち上がると私も入るようにしています。最近リリースした『CloudFastener(クラウドファスナー)』にも関わっていました。開発リードやプロダクトマネジメントをするメンバーとは別に「そもそもどのようなプロダクトを作るか」「どのようなステップで提供するか」「どのようなサービスデザインにすべきか」などを決める立場でプロダクトに関わります。
さらに必要なタイミングで既存プロダクトに入ることもあります。新規プロダクトの開発は楽しいので積極的にやりたいのですが、既存事業のアップデートも大事なことですから、どのようにアップデートするか、どうやって作るかなどをディスカッションの場に加わることもあります。
――次々に新規プロダクトをリリースされている背景を教えてください。
渡辺:一つひとつのプロダクトを安定稼働させることで、次のプロダクト開発につなげることができる良いサイクルができているからだと思います。
特に『攻撃遮断くん』の事業が伸びたことが一番大きかったですね。その後の新プロダクトに投資する体力や余力の土台ができましたし、セキュリティ市場に『WafCharm』が受け入れられたのも『攻撃遮断くん』の成功が背景にあったからだと考えています。
コミュニケーションを重視し、チャレンジできる環境を整える
――CSCの働き方について教えてください。
渡辺:コロナ禍の時期はフルリモートでしたが、2023年からは週2日間出社することが基本ルールになっています。
ただエンジニアに関しては2日間のうち1日は出社して各部門でコミュニケーションを取ってもらい、もう1日はオンラインミーティングという形で、各部門同士がクロスでコミュニケーションできる仕組みを取っています。現在ではこれがベストと考えていますが、スピード感を持って事業を進めるために対面でのコミュニケーションも、より活性化できたらなとも考えています。
またCSCではスーパーフレックスを採用しています。コアタイムは決まっていませんが、チームによっては朝会や昼会を開くことでコミュニケーションを取れる時間を調整しています。
リモートワークとオフィスワークがうまくミックスされているので、例えば午前中は家で仕事をして、午後から出社、夕方早めに帰るというスタイルもありですし、家だと集中できないので朝から出社する、午前中だけ来て午後に帰るなど、働き方の自由度が高いのが特徴です。
コロナ禍によるフルリモート勤務を経て、社員のエンゲージメントを高めるための新しい取り組みを始めました。入社して最初の2週間はオンボーディングのサポート期間として、出社してランチに行ったり、各部門の部長とオフラインで会話したり、代表とのウェルカムトーク(1 on 1)でコミュニケーションを取ったりと、できるだけスムーズに組織と業務に入れる仕組みを用意し入社時の不安を軽減するためのサポートにも力を入れています。
――リアルでのコミュニケーションを重視されているのですね。
渡辺:そうですね。リモートでコミュニケーションがSlackだけだと「この人はどのような顔をする人なのか」「この言葉はどのような感情で発しているのか」が分からなくなります。日頃からリアルの場でコミュニケーションを取ることで、その人がどのような人かがイメージできるようになり、会話がスムーズになります。
リアルでのコミュニケーションを活発にするために隔週で「スナックタイム」を設けています。これは皆でラウンジに集まって、お菓子を食べながらコミュニケーションを取るというもので、この日を狙って出社するコミュニケーション好きなメンバーもいます。
――エンジニア同士の勉強会や技術の共有などは活発に行われているのでしょうか?
渡辺:有志がテーマを決めて勉強会や技術共有をする場があります。テーマごとにディスカッションをしたり、LT(ライトニングトーク)で気軽に発表したり、参加したセミナーのフィードバックや最近使っている技術の共有をしたりと内容は様々です。
――CSCではどのようなエンジニアが働いているのでしょうか?
渡辺:開発エンジニア、テクニカルサポート、インフラエンジニア、セキュリティエンジニア、AIエンジニアなど50名ほどのエンジニアが在籍しています。
CSCはセキュリティを扱っている会社ですから、サポートと言っても技術的なレベルが高いのが特徴です。例えば『攻撃遮断くん』であれば「このWebアクセスは問題ないのか」「証明書は大丈夫か」など一般的な問い合わせのレベルを超えたテクニカルな相談が来ます。
――貴社ではバリューとして「Customer」「Support」「Challenge」を掲げています。このバリューはエンジニアにどう影響していますか?
渡辺:バリューの中で一番大事にしているのが「Challenge」です。今後のCSCの成長戦略を考えたときに、線形の成長ではなく非線形の成長が必要で、会社としても確実にチャレンジが求められています。
当然エンジニアにも積極的にチャレンジしてもらわなければなりません。今のコンフォートゾーンから次のゾーンに行くことに対し、本当にそうしたいと共感している人が多いのが特徴です。
実際に「安定して落ち着いて生きよう」という人よりも「チャレンジしていこう」とバリューに共感してくれている人が最近は増えています。
――エンジニアがチャレンジしていくにあたり、会社からは何かサポートを行っていますか?
渡辺:資格取得支援や書籍購入補助があります。特に書籍は電子書籍もOKで、月に5,500円まで補助が出るので非常に好評です。
また前述の通り、当社は非常に自由度の高い働き方を採用していますが、これはせっかく入社してくれたメンバーに長く働いてほしいからです。長く働くためには働き方だけでなく、ライフステージの変化にも会社が対応できなければなりません。そこで子育てや親の介護などが必要なメンバーも働きやすいよう柔軟に対応しています。
開発の現場においても、各メンバーはプロダクトのロードマップや機能に対して随時提案することができます。何を作るのか、どう進めるのかなどを含め、メンバーがしっかり考えられる環境を整えています。
――貴社でセキュリティプロダクトの開発に関わることで得られるものを教えてください。
渡辺:まず確実に得られるのがプログラミングのスキルです。そしてセキュリティプロダクトは何をどう守るのかという仕組みが理解できるようになります。仕組みを理解することで、自分のプログラミングの意識が「ただ作るだけ」から「セキュリティをベースにした視点」に変わります。
具体的に言うと、CSCのプロダクトを直接使うお客さまは開発者やシステム運用者ですから、エンジニアも自分ごととして考えやすくなります。自分が考えたことが技術的にもプロダクト的にも意義のあるものになるので、自分が「これがあったら嬉しい」「こうなっていたら良いな」と思えるものをものづくりに活かせます。これはセキュリティプロダクト開発ならではの醍醐味だと言えるでしょう。
またセキュリティに関する情報が毎日大量に社内に入ってくるので「こんなサービスがある」「こんな被害が出ている」といったセキュリティ情報に自然と詳しくなります。
グローバルに打って出るために「Will」を持ったエンジニアと一緒に働きたい
――今後の貴社の方向性を教えてください。
渡辺:今後はグローバルを意識したものづくりをしたいと考えています。既存製品をグローバル市場に売っていくことはもちろんのこと、グローバルではどのようなニーズがあり、どのような製品が存在していて、どのような市場になっているのかを理解した上で、戦略的なものづくりをしていきたいと思います。
――どのような人と一緒に働きたいと考えていますか?
渡辺:まずは吸収力がある、好奇心が強い、広い視野を持ちコミュニケーションを重視できる、周りの人やお客さまが何を思っているかを理解できる嗅覚などを持った人と働きたいですね。
また幅広い知見を持った人も必要です。セキュリティは「ここからここまでを守れば良い」という部分的なものから、全体を守るものになってきています。CSCの製品はまだまだ「点」だと思っているので、これを広げて「面」にしていく必要があります。そうなったときに開発や運用の現場、設計上のルールづくりなど、様々な領域の知見を持っている人に来ていただきたいです。
さらにチャレンジ精神の強い人も求めています。CSCは『攻撃遮断くん』だけを売り続ける会社ではなく、セキュリティという広い領域に出ていく会社です。そのときに「これだけできます」よりも「何でもできます」くらいの方が頼もしいですから、新しいことに自分から飛び込んで学んで、そこで作ることにチャレンジできる人だとありがたいです。
実際にCSCで活躍している人の多くは、プログラミングの基礎スキルが高いだけでなく「自分はこれを成し遂げたい」という気持ちが強い人です。一つひとつの場でベストを尽くして取り組める人だと良いですね。
――最後に読者へ一言メッセージをお願いします。
渡辺:「自分のやりたいことを試してみたい」「ぶつけてみたい」「今までできなかったこんな開発をしてみたい」といった「Will」を持つ人になってほしいと思います。
「自分は未熟かもしれない」「技術が足りていない」という人でも「Will」を持つことで自分の成長につながるし、次のチャレンジにも結びつきます。何よりもそういう意識を持っている方が楽しく仕事ができるはずです。
セキュリティ領域における「Will」を持った人をCSCでは歓迎しますし、そのような人と一緒に働けると私も嬉しいです。
編集後記
様々な企業のセキュリティを支える株式会社サイバーセキュリティクラウド、その事業内容から働き方も厳格なものをイメージしてしまいがちですが、実際はエンジニアが成し遂げたいことを尊重し、能力を最大限に発揮できる自由度の高い職場環境が整備されている印象を受けました。
世界に通用するセキュリティプロダクトを開発するためには、エンジニアのチャレンジ精神が欠かせません。社内制度の整備やリアルでのコミュニケーションを重視する姿勢にも、挑戦するエンジニアをサポートしたいという同社の思いを感じました。
「セキュリティを通じて社会課題の解決に貢献したい」「自分のアイデアや技術を試したい」と考えている方は、ぜひ一度同社のWebサイトをチェックしてみてください。
取材/文:川口 裕樹
撮影:長谷川 朗