サイバーセキュリティで社会の前進を支える。自らの使命を摸索し、決意した0からの挑戦。
「標的型サイバー攻撃」を防ぐためのサイバーセキュリティの研究開発を行う鵜飼さん。小学5年生からプログラミングを始め、将来はその力を社会に活かしたいと考えるように。サイバーセキュリティの分野に出会い、研究開発を行うエンジニアから起業を決めた背景とは?
鵜飼 裕司
うかい ゆうじ|サイバーセキュリティの研究開発
「標的型サイバー攻撃」を防ぐためのサイバーセキュリティの研究開発を行う株式会社FFRIの代表取締役を務める。
小5からプログラミングにのめり込む
徳島県阿波市に生まれ育ちました。父が電気工技士として電気製品の修理や工事等を行う仕事をしていたため、身の回りには機械がたくさんあり、時々父の手伝いもしていました。ものをいじることが好きで、ぼんやりとですが、電気・電子工学方面に関心がありました。
小学5年生になり、友人の間でファミコンが流行り始め、私も父に買ってほしいと頼むと、パソコンを紹介されました。「ゲームは買わなければいけないが、パソコンがあれば自らゲームを作れる」と。父は特別詳しいわけではなかったのですが、これからはパソコンの時代だという言葉にも押されて、その時からプログラミングを始めるようになりました。
とはいえ、限られた書籍や雑誌しか勉強できる材料が無く、専門的な書籍を読み漁って学んでいきました。プログラミングでゲームを作っては遊んでということを繰り返していると、いつしか作ること自体に楽しさを感じるようになっていきました。未知の領域への好奇心に加えて、分野自体の将来の可能性が大きく、あまり人がやったことが無い領域であることに魅力を感じたんです。自ら遊ぶだけでなく、雑誌にゲームを投稿して、その賞金で次のパソコンを買うようにもなりました。
小学校・中学校と進むうちに「これが仕事になったら良いな」という思いが強くなっていき、卒業後は香川にある高専の情報工学科に進学することに決めました。高専には既にプログラミングのできる人が何人かいたこともあり、寮で仲間とゲームを作ったり雑誌に投稿したりと、切磋琢磨できる環境で過ごしました。
高専で研究室に入ってからは、先生が民間企業出身の方だったこともあり、音声認識の研究をしながら、業務システム等、民間企業の受託開発も始めていきました。法人を相手に、製品の最終利用者の背景も考えながら売上につながる製品や価値を作るという意識で取り組めたことで、ビジネスとは何かという部分について学んでいきました。
その後、高専を卒業してからは徳島大学工学部の3年生に編入しました。周りは就職する人も多いものの、もう少し本格的にこの領域で勉強がしたいと思い、研究者になることも視野に入れて地元に戻り大学に進みました。
悔しさと使命感、サイバーセキュリティとの出会い
大学では研究や軽音楽サークルの活動に並行して、父の屋号を借りて地元の会社向けにSIer的な仕事をして生計を立てていました。気づけば小学校から一日も欠かさずプログラミングをしていましたね。
ただ、同時に、「この能力がどうやって社会に活きるんだろう?」と、摸索する部分もありました。誰でもできる仕事ではなく、技術を用いて社会的な仕組みを変えていくこと、前例の無いゼロからイチを生み出すことで力を発揮したいと考えていたんです。そのため、研究職への魅力を感じて、卒業後は大学院への進学を決めました。
修士課程の修了後は、取り組んでいる人の少ない新しい領域だった「医療画像工学」の分野の研究を行うため、博士課程に進むことに決めました。博士課程まで進むと民間企業に入りにくいため迷う部分もありましたが、研究の評価もいただけていたため、進んでみたいという思いがあったんです。
博士課程進学後のある日、私が大学の研究で使っていたワークステーションがハッキングされてしまいました。非常に驚いたと同時に、いったいどのようにしてハッキングされたのか、また、どのようにしたらこのような事態を防げたのかを考えるようになりました。しかし、実際の攻撃プログラムのソースコードを見てみると、全く意味が分からなかったんです。小学生からプログラミングを続けてきて、相当自信を持っていたのですが、見ても分からないという経験はほぼ初めてのことでした。
まさにこの時に、悔しさと同時に、終わらない課題を発見したような感覚もありましたね。調べてみると、思った以上にインターネットのセキュリティの問題は根深かったんです。当時、対策を専門的に行っている人が少なく、少し勉強をして学内を調べてみると、あっちこっちで被害を受けていることが分かりました。インターネットがこれから世界を変える中で、サイバーセキュリティが整えられないということは、その変化は進まないのではないかという危機感がありました。
正直、それまで色々な技術に触れながらも、一定の期間で飽きる部分がありました。しかし、影響範囲が広く問題が根深いサイバーセキュリティの分野に対しての興味や使命感は薄れることなく続いていったんです。
アメリカのベンチャー企業への転職
ところが、実際にサイバーセキュリティの分野で働こうと考えると、国内に志望したい就職先はありませんでした。どの会社も海外で開発された技術を使った製品や技術を扱うことに留まっており、あまり興味が持てなかったんです。最終的にはサイバーセキュリティを離れて、博士課程で専攻していた研究テーマが活かせる事業領域だったコダックに入社を決めました。
そこはデジタルカメラ等のデバイスの研究開発に携わる職種だったのですが、いずれ、デバイスがインターネットに繋がる時代になればセキュリティの脅威はこの分野にも広がるため、先に勉強したいという気持ちもありましたね。実際に働いてみても、技術レベルが高く、学ぶことも多く充実した日々を過ごすことができました。
一方で、サイバーセキュリティに対する関心は変わらず持ち続けており、個人で様々な活動をしていました。すると、アメリカでセキュリティ事業が急速に立ち上がりはじめ、入社1年目に、あるベンチャー企業からオファーをいただいたんです。正直、憧れはありましたが、英語は話せないし、大企業からベンチャー企業への転職ということで、とても悩みました。
2年半粘り強くオファーをいただき続け、自分自身も悩んだ結果、「こうなったら行くしかない」と思い立ち、転職を決めました。やはりサイバーセキュリティに携わりたいという思いに加え、日本でその分野が進んでいないことへの危機感が決断の最後のキッカケとなりました。
転職先の、eEye Digital Securityという企業では、脆弱性分析などの研究開発に携わるようになりました。転職する前は、進学時に田舎から飛び出すことすら不安に感じる部分がありましたが、実際に働き始めると、そうした不安が杞憂に終わることも多かったですね。自分の能力を上げてプロとして実績を出して働くことで、どんな環境でもリスクヘッジになることを学びましたし、「自分なんかが行っても通用しないんじゃないか」という不安も不要なものでした。たしかに現地の技術力は高いものの、決して日本は及ばないレベルではないと感じましたし、むしろ差があるのはイノベーションを起こすための土壌である、社会インフラの部分だったと確信することができました。
また、現地ではエンジニアへのリスペクトが強いことも印象的でした。給与面もそうですが、職業的な尊敬も得ていて、プロフェッショナルとして仕事をしていました。
35歳で挑戦を決意、「攻撃者視点」での研究開発
仕事は充実しながらも、遠巻きに日本の情報セキュリティ業界を見ていて、渡米前と同じことをずっと繰り返す状況に危機感も抱いていました。研究開発という一番レバレッジが効いてかつ最も重要な先端分野をアメリカが占めており、日本はいち販売拠点でしかなかったんです。誰かが何か始めるのではないかという思いで見ていながらも、一向に変化はありませんでした。
いよいよこのまま放っておくとまずいと考えるようになりました。外資企業の目線で見てみると、日本ではサイバーセキュリティの分野で研究開発型ベンチャーの先行事例が殆ど無く、誰も参入しようとしないため、日本が何か新しいサイバー脅威に初めてさらされた際には、誰も助けてくれないような環境になってしまっていたんです。特に、長期的に見れば、サイバーセキュリティが脆弱なことで、ITだけでなく他の業界のイノベーションも止まってしまうという恐れがありました。
そういった状況を変えたいという思いから、4年程働いた35歳のタイミングで、自ら日本でサイバーセキュリティの分野で研究開発を行うベンチャー企業を立ち上げることに決めました。個人のキャリアとしては研究開発しかやっておらず、正直、名刺交換の経験も少ない状況でのゼロからの立ち上げに不安はありました。しかし、市場は新しい技術開発を待っているという感覚もありましたし、「先のことはわからないけど、未知への壁の突破に向けてやってみよう」と決めて、2007年7月に、株式会社フォティーンフォティ技術研究所(現:株式会社FFRI)を立ち上げました。
ちょうどその頃、サイバーセキュリティは転換点に置かれており、それまでの愉快犯的な規模から、サイバー犯罪、あるいは国家安全保障に影響をもたらすような状況になっていました。「インターネットを使って悪いことができる」という認識が広まり、一気に本格的に悪用する動きが出ていたんです。さらに、既存のウイルス対策ソフトが効かなくなっていることも目に見えていました。
そのため、世の中に求められている新しい技術を作ろうと決めました。とはいえ、創業当初はお金も無いため、他社の受託も行いましたが、新しい知見を貯めつつ今後の研究開発に役立つ分野に受託の案件は絞りました。技術的な参入障壁の高い分野を研究対象にするという姿勢を貫きました。自社製品の研究開発を2008年から始めましたが、最初はどうやって作れば良いか摸索したものの、基本方針として「自分が攻撃者だったら」という視点を突き詰めることにしたんです。こういった技術だったら防げる、と想定を繰り返し、製品化を進めていきました。
日本のイノベーションをサイバーセキュリティで支える
2年間の研究開発の末、2009年に「FFR yarai」という法人向けの「標的型サイバー攻撃」を検知するセキュリティソフトをリリースしました。日本でも、特定企業や組織の機密情報の取得等を目的とした「標的型攻撃」が多発しており、ピンポイントで攻撃を行うため、既存のウイルス対策製品が行う「パターンマッチング」という手法では検知が出来ない状況になっていました。そこで、「悪意のふるまいを検知する」という考え方の「ヒューリスティック」技術を用いて、検知を行い未知の脅威から守る製品を開発しました。
ところが、実際に営業に回っていくと、機密性の高い情報を扱う組織では悩みを抱えながらも、その分野の知識がある人自体が少なく、全く売れない日々が続きました。既存製品との違いを丁寧に説明しながら、「必ず脅威が現れて対策が必要になる時代が来る」と説明をして回るも、存在意義を理解してもらえずにいました。
しかし、2011年にある国内企業がサイバー攻撃の被害を受けたことがニュースで大きく取り上げられ、業界誌だけでなく一般誌でも「標的型攻撃」という言葉が使われるようになったんです。それからは「うちって大丈夫なの?」と需要が顕在化していき、引き合いがどんどん増えていきました。既存のウイルス対策ソフトでは防げない事態だったため、対策技術としての競合もおらず、やっと少しずつ軌道に乗っていったんです。2014年にはマザーズ上場も果たし、2015年には個人向けソフトもリリースしました。
個人的に、昔から一貫して抱えていることは、技術を使って社会を良い方向に変えていきたい、という想いです。おそらくこれはエンジニアなら皆思っていることだと思います。その中で、サイバーセキュリティは深い闇を抱えていて、イノベーションのボトルネックになり得る、技術的にも難しい分野です。だからこそ、一番付加価値のレバレッジが効かせられる研究開発を日本から行いたいという思いが強いんです。
現在、事業自体は広がっていき、利用していただけるクライアントは増えていてるものの、全てのインターネット端末数から考えればまだまだです。大事なことは最終利用者の意識を確実に変えるまでの継続する事だと考えています。だからこそ、まずは既存のウイルス対策ソフトでは未知の脅威を防御できていないという事実を知ってもらうことにも力を入れていきたいです。
そうすることで、日本から起こるイノベーションを、サイバーセキュリティの分野から支えていきたいと思っています。
2015.12.15
