熱意に心を打たれ、日本IBMから創業まもないDeNAへ
1995年、茂岩は大学院を卒業し、日本IBMへ入社します。研修が終わるとストレージシステムのエンジニアとして配属され、ゼロから知識をつけていきました。
茂岩 「当時は大学でコンピューターサイエンスを専攻している学生は、ほとんどいない時代。私も専門は機械工学で、コンピュータをツールとして使ってはいたものの、何かを作ったり運用したりする経験はありませんでした。
入社してからシステムエンジニアとしての知識をキャッチアップし始め、トレーニングやOJTを受けた後、先輩エンジニアに弟子入りしました」
茂岩は当時の業務を振り返ります。
茂岩 「日本国内の製品全体の統括部門に所属し、プリセールスエンジニアとして営業に同行して商談にあたり、専門的な知識に基づいてストレージに関する説明を行っていました。そのためエンジニアとしての一般的な知識に加えて、自社のプロダクトに関しても詳しくなる必要がありました。
トラブルが起きた際、現場のエンジニアで解決できない場合に、呼ばれることもありました。現場のお客様先にはストレージ以外にも多数のデバイスや機器がインストールされていますが、私たちはその中のストレージデバイスのケアをピンポイントで行う役割でした」
そして1999年、茂岩の人生を大きく変える誘いを受けます。
茂岩 「大学時代の先輩に非常に熱心な誘いを受けたのをきっかけに、最終的に転職を決意しました。株式会社ディー・エヌ・エー(以下、DeNA)の創業者である南場さん(DeNA創業者:南場 智子)と先輩の川田さん(DeNA共同創業者:川田 尚吾)です。
創業物語は南場さんの著書『不格好経営―チームDeNAの挑戦』に詳しく書かれていますが、当時はまだ3人しかメンバーがおらず、『エンジニアがいないから知り合いを探そう』となったようで自分に声がかかりました」
4人目の社員で初のエンジニアとしてDeNAに入社した茂岩。しかしDeNAのエンジニアとして役立つ技術は、ほとんど持っていなかったと言います。
茂岩 「開発をやったことがなかったんですよ。当時、日本IBMは基本的にはインフラ屋で、周りにも開発している人はほとんどいなくて、実際にコードを書いていたのは協力会社だったんです」
技術はなかったと話す茂岩ですが、熱い気持ちはありました。
茂岩 「開発の知識や経験は絶対に自分の人生にプラスになると感じていて、身につけたかったので、できると思っていました。システムってたくさんの要素技術で動いているので、自然とエンジニア知識を増やしたい気持ちが湧いたんです。DeNAでは、システムのすべてを任せてもらえるという話だったので、かなり魅力的で、好奇心をくすぐられました」
インフラエンジニアとして経験したDeNAの急成長
DeNAに入社して最初に取り組んだのは、メールサーバーの構築でした。
茂岩 「本や雑誌で知識はつけていたけれど、実際に手を動かすとすんなりいかず、試行錯誤しながらの挑戦でした。三日三晩必死にやって、なんとか完成させました。
それまで一本しかない電話回線をつないでメールを送受信していたので、複数人同時にメールを送受信できなかったんです。メールサーバーの構築により同時送受信が可能になると、『すげえ!』と社内が湧きました」
日々、開発の勉強をしながら、業務に励んだ茂岩。少しずつメンバーも増え、最初のサービスであるインターネットオークションのサイトリリースに辿り着きます。同時に、ビジネスの厳しさを知ることとなりました。
茂岩 「もともとDeNAはインターネットオークションを実現するために創業された会社なんです。当時すでに米国ではインターネットオークションが盛んで、最大手のeBayはIPOも果たしていました。日本でもこれから流行るのは目に見えていたので、その草分け的存在になることを目指していたんです。
しかしリリース直前、システムに問題が見つかって1カ月ローンチを延期しました。その間に他社に市場を独占されて、その背中をつかむことはできませんでした。先にリリースできていたら勝てたのかはわからないけれど、『Winner takes all』の世界なので、たとえ紙一重の差でも後発になるのはリスクが大きいなと」
続いてDeNAはネットショッピングに参入し、すでにオープンしていた他社のサイトを追い抜くことを目指したものの、黒字化はできても、手は届かず。
転機が訪れたのは「モバオク」と「モバゲー」のリリースでした。爆発的ヒットはDeNAをベンチャーから大企業へと押し上げ、今日のような多角化経営に乗り出す礎となりました。インフラエンジニアとしてのDeNAの日々を、茂岩はこう振り返ります。
茂岩 「インフラエンジニアになったのは、IBM時代の専門分野がインフラ周りだったこともあり、データベース・ネットワーク・サーバーなどの知見があったからです。組織が拡大してくるとマネージャーとして統括しつつ、現場で手を動かしていました。
モバゲー以前はとにかくサービスを黒字化することが命題でした。そのためにはユーザーを呼び込んでトラフィックをを大きくしなくてはいけないのですが、それをするとサーバーの負荷が上がるというジレンマがあり、いかにローコストで工夫して捌いていくかに注力していました。
急成長時代は、サービスに対して押し寄せる莫大なトラフィックを捌くための、サーバーの規模との壮絶な戦いが最高におもしろかったですね」
こんなにおもしろいセキュリティ分野を他の人に譲りたくない!
世の中が少しづつクラウドにシフトし始めた2010年前後、DeNAが本格的に海外展開を考え始めたのをきっかけに、茂岩は自身のキャリアをインフラエンジニアからセキュリティへと移行しました。
茂岩 「海外はサイバー攻撃が激しそうなイメージがあったので、このままで大丈夫か、という懸念がありました。
また当時は3Gのスマホが出てきた時期で、ガラケーは通信経路的にサイバー攻撃を受けにくかったのですが、Wi-fiにつなげるスマホはいろいろなところから攻撃を受ける可能性があり、セキュリティ強化のニーズがあったんです。
私はインフラエンジニアとしてセキュリティに親和性のある業務に携わり、興味もあったので、兼務でセキュリティ業務を始めることにしました。勉強を始めると『へえ!』と思うような発見が多く、セキュリティのおもしろさに気がつき、こんなおもしろいものを他の人に譲りたくないとまで思いました」
2012年、DeNAは他の事業会社に先駆けて本格的にセキュリティ部門を立ち上げました。以後、脆弱性診断の内製化に始まり、外部に依頼していた業務をほとんど自社でまかなうようになります。
10年かけて大きくしてきたDeNAのセキュリティ組織について茂岩が語ります。
茂岩 「組織構築で大変だったのは採用でした。実務経験のある専門性の高い人を採用するには時間がかかりましたね。
ただ、あるとき、エージェント経由でたまたまセキュリティの専門ベンダーに勤めていた方が来てくれたんです。『ミラクルが起こった!』と思いました。それから彼を核としながら、組織をどうやってスケールさせていくか、一緒に考えながら大きくしていきました」
茂岩はセキュリティチームの在り方や目標を明確に定めました。
茂岩 「セキュリティって技術だけでなく最終的には法律・倫理も絡んでくるので、分野が広いんです。だから開発・インフラだけでなくさまざまなバックグラウンドを持った人を集めて、多様なスキルセットを持ったチームを構成しました。中途採用だけでなく、新卒も配属してもらって、育てて、戦力化にも取り組みました。
その上で『全員が1人ですべてのことをできるようになる』という高い目標を定めました。自分の専門を主軸として活動しながら、他の人からも吸収すれば、どんどん厚みを増して各個人のバリューが上がっていく、そんな姿を目指したんです」
茂岩のDeNAでのセキュリティに対する取り組みは、著書『DeNAのサイバーセキュリティ Mobageを守った男の戦 いの記録』にも詳しくまとめられています。
CSIRTとPSIRTを近くすることでシナジーを生み出していく
茂岩は充実した日々のDeNAを離れ、freeeに転職を決めたときの気持ちを語ります。
茂岩 「10年間でDeNAのセキュリティは完成形に近いところまで育ち、実力がついてベンチャーに転職したり、起業したりするメンバーも出てきました。後進のリーダーも育てたので、刺激がほしいと感じるようになりました」
茂岩は独立してセキュリティ関連の事業を起こそうと考えていた矢先、転職エージェント経由でfreeeからの誘いを受けました。
茂岩 「転職先を探していたわけではないのですが、話を聞きに行ってみるとおもしろくて、あれよあれよと入社が決まってしまいました。事業が一つの大きな目標に向かって進んでいることが新鮮で、とくに惹かれました。
また『バックエンドの統合ERP構想を実現させて、CFOがいらない世界を作る』『スモールビジネスの経営者が本業に集中できるようにする』というビジョンにも共感しました」
2022年4月にCSIRTの責任者として入社した茂岩は、7月にCISO(Chief Information Security Officer:最高情報セキュリティ責任者)となり、CSIRTとPSIRTを統括しています。
茂岩 「最初の3カ月で法律・倫理を守備範囲とするCSIRTを、次の3カ月で技術を担当するPSIRTをキャッチアップし、同時にfreeeにおけるリスク全体の中でセキュリティ部門はどういう位置付けなのか確認を行い、全体感を掴んでいきました。
さらにOKRの設定や、社内システムの脅威分析、セキュリティのソフトウェアの継続投資の判断、セキュリティポリシーの最新化などを半年間で行いました」
組織改革にも取り組みました。
茂岩 「もともとビジネスサイドに属していたCSIRTをエンジニア組織の傘下に移行させ、PSIRTと並べてセキュリティチームとして組織化しました。これはDeNA時代からこだわってきたことです。
セキュリティは情報戦です。互いの組織を近くすることでメンバー全員で情報をタイムリーに共有し、シナジーを生み出すことで、取り組みの質を上げたいと思っています」
最後に、自身のキャリアを振り返り、今後の目標を語ります。
茂岩「セキュリティにキャリアを移したのは正解だったと思っています。
セキュリティを始めようかなって思っていたときに、ラスベガスで開催された、世界で最も進んでいるセキュリティのカンファレンス(Defcon)に出向いたんです。世界中のホワイトハッカーが集まって登壇・ワークショップ・情報交換をしていて、この裏に何倍ものブラックハッカーがいて虎視眈々と犯罪を企んでいると思うと、とんでもない世界だと思いました。日本の平和な状態に慣れているので、このまま海外進出したらボロボロにされるなと。
サイバー攻撃が増えてきそうな予感と同時に、日本にはセキュリティエンジニアが少ないことにも気がついていました。枯渇しているエンジニアの中でもとくに少ないなと。そんな世の中のニーズと希少価値の高さを考えたとき、セキュリティ分野の伸び代に気がつき、今後10年は絶対に食えるなと確信したんです。結果的にその通りになりました。
セキュリティを始めたときに感じたおもしろさや使命感は今でも変わらず持っているので、freeeのプロダクトを魅力的にするための取り組みに、セキュリティという立場から関わりたいと思っています。今までと同じことを継続しながら、全然違う不連続の取り組みにも挑戦したいですね」