"日本を守る”ために。インターポールからGMOサイバーセキュリティ byイエラエへ、次の挑戦。

こんにちは！人事の小高です。

GMOサイバーセキュリティ byイエラエ株式会社（以下、GMOサイバーセキュリティbyイエラエ）の現場メンバーにフォーカスした*パートナーインタビュー企画。

今回は、インターポール（国際刑事警察機構）のサイバー犯罪捜査部門にて、世界初の民間からの出向者として働いた経験を持つ福森大喜さんにインタビューを実施しました。福森さんはこの他にも、世界最高峰のサイバーセキュリティ技術競技である「DEF CON CTF」決勝戦へ複数回出場したり、Webセキュリティ専門企業の創業に関わったりと、華々しい活躍をされています。

本記事では、グローバルに活躍する福森さんが、これまでどのようにキャリアを歩んできたのか、そしてなぜGMOサイバーセキュリティbyイエラエへの転職を決めたのかに迫ります。

*GMOインターネットグループでは社員・従業員をパートナーと呼んでいます。

福森大喜 | GMOサイバー犯罪対策センター　局長
国内大手セキュリティ企業に入社し、Webアプリケーションのセキュリティ検査など幅広い業務に従事。その後、サイバーセキュリティ企業の立ち上げに携わり、最⾼技術責任者（CTO）に就任。サイバーディフェンス研究所へ転職し、2014年にはインターポール・サイバー犯罪捜査部門へ民間から世界で初めて出向。国際的なサイバー犯罪対策に従事したのち、2024年にGMOサイバーセキュリティbyイエラエへ入社。

気づいたらセキュリティの世界へ

━━ まず、福森さんがセキュリティに携わることとなるまでの経緯を教えてください。

きっかけは、大学での課題です。当時の僕は情報系の学部に在籍してはいたものの、まったく真面目な学生ではありませんでした。「これからは情報の時代だ」と進路を決めたのはいいものの、いざやってみると面白いとは思えず、授業をサボってばかりいたんです。とはいえ留年はしたくないので、最低限の課題だけはこなしながら日々を過ごしていました。

そんな学生生活の中で、ある時「FTPサーバーとクライアントを自作しなさい」という課題が出ました。四苦八苦しながらどうにか作り上げて提出したら、教授からは「あなたのプログラムには脆弱性がある」「攻撃者に悪用され、任意のコードを実行されてしまう可能性がある」という指摘が返ってきて……。正直、何を言っているのかまったく分かりませんでした。

「そんなことができるのか」と驚きましたし、とにかく意味がわからなくて、友達に聞いたりもしたんですが、そもそもセキュリティという言葉が一般的ではない時代だったのでイマイチ明確な答えが返ってこない。だったら、教授の言っていることを理解するためには自分で攻撃用のプログラムを書くしかないなと思ったんです。

今のスキルだったら20分くらいで書ける攻撃プログラムだったんですが、当時の不良学生のスキルだと3ヶ月くらいかかってプログラムを完成させて、どんなふうに乗っ取られるのかをようやく理解できました。しかしそのプログラムは、同じ研究室にいた先輩の作ったプログラムであっさり防がれてしまいました。すると今度は、どんな風に防いだのかを勉強したくなりました。そして学んだことをもとに、より強いプログラムを作って、また防がれて、また勉強して新しく作って......と繰り返しているうちに、コンピュータが動く仕組み、CPUやメモリの役割、プログラミング言語、代数学など今まで面白みを感じなかった講義の内容が一本に繋がって理解できて、セキュリティの面白さにハマってしまっていた。そこで、「これを仕事にしよう」と決めました。

当時はまだセキュリティが重要視されておらず、大学の授業でもほとんど触れられることがないような環境下だったこともあり、就職活動は大変でしたが、なんとかセコムトラストネット（現：セコムトラストシステムズ）にて、セキュリティエンジニアとしてキャリアをスタートすることができました。

━━ 入社後は、どのような仕事に取り組みましたか。

ネットワークセキュリティの部署に配属され、企業に仕掛けられるさまざまな攻撃を防ぐための施策を行っていました。攻撃対象はメールサーバー、データベースなど多種多様で、そのおかげで、幅広い知識を身に付けられたと感じています。

その時、Webのセキュリティが声高に指摘されるようになりました。当時はまだほとんど対策がされておらず、どこの会社にも深刻な脆弱性があるような状況でした。そこでWebセキュリティのビジネスを立ち上げることになり、最初は私が一人でWeb診断をしていました。ただ、依頼がひっきりなしに来て、一人じゃ捌けなくなりチームがどんどん大きくなっていきました。

そしてそれを目の当たりにして「これは歴史の転換点なのではないか」と感じて起業を決断しました。Web領域の知見には自信もありましたし、時代の追い風も吹いてきていた。もともと一度は起業してみたいと思っていたこともあり、「今ならきっとうまくいく、むしろ今しかない」と一念発起し、仲間たちと会社を立ち上げました。

━━ 福森さんのスキルと、世の中の需要がちょうどマッチしたんですね。

とてもいいタイミングでしたね。もちろん不安もあったものの、「自分一人が生きていくくらいはなんとかなるだろう」と思えたし、ワクワクの方が大きかったです。

会社をスタートさせてからも「福森さんがやるなら福森さんに依頼する」と言ってくれたお客さまたちのおかげで最初から忙しく、うれしい悲鳴を上げながら働く充実した日々を送っていました。

しかし次第に、この会社ではできないことに目が向くようになりました。というのも、お客様の案件の中で、ネットワークセキュリティの問題に直面することが多々あったからです。でも自分たちの会社はWeb専門なので、手出しができない。それがもどかしくなり、再び転職を決意しました。そこで入社したのが、前職であるサイバーディフェンス研究所です。

前職では、ネットワークセキュリティだけでなく、マルウェア、インシデントレスポンスなど、お客様が求めるものであれば領域を問わずなんでも取り組みました。この経験も、自分の幅を大きく広げてくれましたね。

「GMOインターネットグループを守ることで日本を守る」代表・牧田の言葉がきっかけで入社を決断

━━ その後インターポールに出向されるわけですが、何がきっかけだったのでしょう。

仕事をしている中で、攻撃者のIPアドレスがわかっても、それが海外のものだと、それ以上は深追いできないことが時折ありました。これをどうにかできないかと漠然と考えていた頃、インターポールがシンガポールに新しくサイバー犯罪捜査の拠点を作ることになったと耳にしました。海外勤務に挑戦したい気持ちもあったし、行ってみたいと上司に相談してみたら、インターポール側に相談してくれて、その結果出向が決まりました。

もう、ワクワクでいっぱいでしたね。働き始めてからは、FBIから出向してきた優秀なアメリカ人上司のもと、どんどん新しいプロジェクトに取り組んでいきました。

最初に取り組んだのは、ボットネットと呼ばれる、マルウェアに感染したデバイスによるネットワークを壊滅させるプロジェクトです。すべてのマルウェアを解析し、大元となっているサーバーを特定することを目指すものでした。プロジェクトによっては、世界中の警察と連携することもあり、テクニカルな面でも政治的な面でも、非常に刺激的で面白い環境でした。

時差のある中で日程調整しないといけなかったり、国によってはインターネットの状態が悪く会話がままならなかったりと、これまで感じることのなかった不便さもありましたが、仕事の面白さに比べると瑣末なことでした。日々ドラマで見るようなやり取りが繰り広げられていて、貴重な体験ができた8年間だったなと思います。

━━ お話を聞いていると、非常に充実した環境だったのではと感じます。なぜそこから転職を考えられたのですか。

8年半いて、一通りのことは経験できたかなっていうのと、このままネットの匿名化が進むとサイバー犯罪捜査は行き詰まることになる。そのときに壁を破ることができるのは技術的に突き抜けた人なんじゃないかと。そう考えると、かつてDEF CON CTFでバチバチに技術を追求していた日々のことを思い出しました。

━━ そうだったんですね。GMOサイバーセキュリティbyイエラエには、なぜ興味を持ったのでしょうか。

代表の牧田さんとは、10年以上前のCTFをきっかけに出会って知り合いではありました。とはいえ深い付き合いがあったわけではなく、独立してセキュリティ専門企業を作った話は聞いていたものの、詳しくは知りませんでした。

しかし、色々な企業を調べる中で、日本でCTFに積極的に取り組んでいる企業の一つがGMOサイバーセキュリティ byイエラエであり、最近GMOインターネットグループに参加し、さらに牧田さんがCISOとしてグループ全体のセキュリティを担っていることを知って興味を持ったんです。

特に、牧田さんがインタビュー動画で語っていた内容にインパクトを受けたんです。

「GMOインターネットグループは、日本で使われているサーバーやWebサイトのうち6割を持っている」「GMOインターネットグループのお客様を守ることは、日本のインターネットを守ることにつながる」と熱く語っている牧田さんを見て、まさに自分が求めている環境であると確信しました。「日本で最も多くのサイバー犯罪捜査に携われる会社なのではないか」そう思って、ホームページから応募しました。

そして人事の小高さんと面談したのち、牧田さんから「僕がシンガポールに行くので話をしましょう」と提案いただき、そこからはトントン拍子で話が決まっていきました。

僕の経験を活かしながら、やりたいことに挑戦できる。しかも、シンガポールにいながら働ける。まさに自分が望んでいた環境そのものでした。

お客様を感動させるサービスを提供し続けたい

━━ 現在はどのような業務を行っていますか。

主に防衛省関連の仕事に携わっています。今年5月に能動的サイバー防御に関する法律(サイバー対処能力強化法及び同整備法)が成立する前あたりからは特に、防衛省関連の仕事が増えました。これまでは、サイバー攻撃に対する防御はできるものの、攻撃の発生源に対して積極的に対処することはできませんでした。しかしこの法案ができたことで、たとえばマルウェアであれば、攻撃に用いられるサーバーにこちらが入って、有害なプログラムの動きを止めたり削除したりできるようになったんです。

私は日本から飛び出して世界中の国の法執行機関の方々と働いていて、能動的サイバー防御のようなことはずっとサポートしていたので、役立っている経験も多いです。インターポールは各国の警察が集まる組織なので、ミッションは捜査をして犯人を特定することでした。一方で防衛という文脈では、もっともスケールの大きい話で言うと、サイバー戦争になった際に日本を守る方法を見つけることがミッションです。一般の方からすると警察も防衛も同じようなイメージだと思うんですが、技術的にもミッション的にも全く違うんです。この両方を技術面からがっつりやった経験を持っているのは珍しいと思うので、これまでの知識や経験を活かして業務に当たれているんじゃないかと思っています。

━━ 入社から約1年ですが、何かご自身の中で変化はありましたか。

たくさんありますが、特に気持ちの持ちようが大きく変わりました。当社は世界No.1の技術力を売りにしている企業です。実際にそこで働くメンバーの技術力や、さらに上をめざす姿勢には強い刺激を受けました。

僕自身、たくさんCTFに参加してきたので、世界一を獲ることがどれだけ大変か、身をもって知っています。年間を通して世界中で大会があり、「この大会で優勝した」といったニュースが、社内では日常のように飛び込んでくる。自分も参加していたからこそ、その裏にある“死ぬほどの努力”を理解しているつもりです。

僕が最初にCTFを始めた頃は、日本でもほとんど知られていない時代で、最初の順位は300位。そこから勉強を重ねて100位、80位、60位…と上がっていき、最終的には4位まで辿り着きました。ただ、300位から4位に上がるよりも、4位から1位になるほうが圧倒的に高い壁だと感じています。1位と2位の差がまったく別物だと肌で感じるほどです。

だからこそ、「1位にこだわる姿勢」には強く刺激を受けますし、世界一を獲った方々と肩を並べて働けることに大きな尊敬の気持ちがあります。彼らへのリスペクトは、僕自身のサービスのクオリティを上げる原動力になっていますし、「このレベルに恥じない仕事をしよう」という責任感にもつながっています。

この環境が、自分の意識を確実に引き上げてくれている。それが、入社して一番大きく変わったことだと感じています。

━━ 最後に、今の目標を教えてください。

牧田さんが以前の動画で話していた「普通のエンジニアはお客様の期待通りの仕事をする。優秀なエンジニアはお客様の期待を上回る仕事をする。スーパーハッカーはお客様を感動させる仕事をする」という言葉がずっと心に残っています。入社前からこの言葉を知っていたので、仕事をするうえで「どうすればお客様に感動してもらえるか」を意識するようになりました。この言葉の通り、常にお客様に感動してもらえるような仕事をしていきたいですね。

実際、防衛系のプロジェクトの終わりに「感動して涙が出ちゃいました」と言っていただいた時は、本当にうれしくて、自分も涙が出そうになりました。

ただ、僕らの仕事は一度感動してもらえば終わり、ではありません。継続して依頼をいただくことも多く、2回3回とリピートされる中で、毎回それ以上のクオリティを提供し続ける必要があります。ハードルはどんどん上がっていきますが、そのプレッシャーが自分のスキルアップにもつながっていますし、GMOサイバーセキュリティbyイエラエが“世界一のサービス”である理由もよくわかります。

これからも、お客様の期待を超えるだけでなく、心から感動してもらえる仕事を目指して取り組んでいきたいと思います。

また、AIの活用促進も目標です。防衛はすごく大事でやらなきゃいけない仕事ですが、サイバー犯罪に苦しんでいる人はまだまだ多いのが現状。そっちにもどんどん力を入れないといけないと感じています。しかし僕一人ですべての人に対応することは難しく、自分が3人くらいいればいいのにと思うこともよくあります。そこで今、自分の行っている仕事をAIに置き換えることに挑戦しています。もし僕の代わりとなる“AI福森”ができたら、もっとたくさんの人に貢献できるはずです。その状態の実現を目指して、これからも努力していきます。