競合他社と一番差があるのは、何と言っても給料の高さ

リーベル：続いて、御社の組織体制について伺っていきたいと思います。今現在、御社は200名規模で、いわゆるホワイトハッカーと呼ばれる方を含めてセキュリティエンジニアを100名くらい抱えていると伺っていますが、その内訳はどのようなものなのでしょう？　Web診断に関わっている方が何名くらいとか、プラットフォームやクラウドに特化した方が何名くらいとか。

牧田氏：各部門のエンジニアの数ですね。え～と、Web診断、ソースコード診断みたいな診断系をやっているエンジニアの数が100名弱くらいです。うち、Web診断が40名弱で、クラウド診断とIoT診断が各15名弱。その他、ペネトレーションテストをやっている人が15人程度。あとはフォレンジックなどをやっている人が10名程度でしょうか。もう数が増えすぎてよくわからない（笑）

リーベル：事業会社だと、診断員がWeb系とプラットフォーム系合わせても5名ずつ程度というところが多いでしょうから、100人程度というのはやはり圧倒的な数ですよね。
創業当初と比べると会社としても大きく成長していると思うのですが。ズバリ、他のセキュリティベンダーとイエラエの違いというか「差」って、どこにあるとお考えですか？　技術力が高いというのはひとつあるとして。

牧田氏：一番差があるのは、何と言っても給料ですよね（笑）

リーベル：ははは！　やはりそこですか！

牧田氏：ウチははっきり言って給料が高いです。平均年収は800万円くらい。その上、「世界一働きやすい会社にする」という想いがあるので、労働時間は短いし、裁量が大きいし、休みもたくさんあります。休みは入社初日から有給休暇が15日付与されますし、年末年始は、有給を少し使いますが、だいたい17連休。長い人は24連休取る人もいます。ゴールデンウィークは10連休。夏休みも9連休。10連休くらいの休みが年に3回あることになりますね。残業はしないことを推奨していますし、フルフレックスなので、労働時間は基準よりマイナスになってもいいくらいです。

リーベル：それは非常に羨ましい環境ですね！

牧田氏：「仕事よりプライベート優先」と公言していますね。自分の健康や家族を何よりも大事にすべき。子供が生まれたとか、そういうライフイベントがあったら、それが落ち着いたら仕事にフルコミットすればいい。自分が健康で、家族も幸せだから仕事も頑張れるわけですから。
残業は推奨していませんが、もし1分でもしたら、その分、きちんと支払います。401k（企業型確定拠出年金）も、普通は会社と社員が50%ずつ負担ですが、ウチは会社が100%負担。会社全体で、毎年1億円くらい経費として負担していますね。

リーベル：凄いですね…。

牧田氏：イエラエは「結果としての終身雇用」を目指しているんです。大企業が「終身雇用はもう無理だよね」「破綻しているよね」と言っている今の世の中だからこそ、改めて目指したい。給料が高い、休みも十分ある、自分のメンタルや健康も守られていて、かつ老後のお金の心配もする必要がない。成長やキャリアパスについても、今やっていることに飽きたり、他のことをやりたくなったりしたら、会社の中で部署異動すればいいし、マッチする部署がなかったら新しい部署を作ればいい。こうしたことが、掛け声だけでなくちゃんと実現されているのが、他社との違いだと思いますね。

エンジニアの報われない待遇を改善したいから創業した

リーベル：本当に驚きです。それにしても、牧田さんはなぜそういう会社を作ろうと思ったんですか？　こういう制度を導入するとエンジニアがついてくるとか、自分として良かったみたいなことがあったからなのでしょうか？

牧田氏：私が「世界一働きやすい会社」を目指す理由は、「セキュリティエンジニアを大事にしているセキュリティベンダーがほとんど無かった」からです。完全に無かったわけではないですけど、ブラックな会社が多過ぎて、結果、優秀な人が潰れていくのをたくさん見てきました。だから、そういうのとは違う会社を作りたいと思ったんです。

リーベル：なるほど。

牧田氏：弊社の存在意義は「エンジニアの待遇を良くしていくこと」にあります。世界一給料を高くしたいし、エンジニアがちゃんと休め、しかも成果を出したらしっかり評価されるようにしたい。
10年前に私が創業した当時は、エンジニアの待遇がすごく悪くて、給料も低い状態でした。世界トップレベルのエンジニアたちが、450万とか500万とか、その程度の年収しかもらっていない。しかも、そういう人たちって、夜型なので午前中に会社に行けない、スーツを来て電車通勤したくない、みたいなケースも多い。すごく優秀なのに、給料も低い、会社でも評価されていない。でも仕事はたくさんあるから酷使され、会社は儲かるけどそれが還元されない。そういうことを解消したいから創業したので、待遇をできる限り良くしているのです。

リーベル：たしかに私がお会いする技術者の中にも、あまりマネジメントに興味がないし、営業トークも得意ではないし、ずっとパソコンと喋っているような感じだけれども、ものすごく技術はあるみたいな人がいます。そういう人が評価されず、給料も上がらず、いいように使われてしまっているケースはありますよね。エージェントとしても、そこは何とか変えたいと思っている部分です。

牧田氏：給料は会社の業績が上限になってきますから、今、10年前にはできなかったことも実現できています。会社の成長と合わせて、みんなの給料も上がっているのが現状です。なので、転職を希望される方で、もっと給料や休みが欲しいとか、プライベートを優先したい人という方がいたら、ぜひとも「イエラエがベストマッチではないですか」とお伝えいただきたいですね。

リーベル：我々転職エージェントとしては、「転職理由が環境面だけだと企業に嫌われる」とお話している場合が多いのですが、御社の場合は、むしろウェルカムみたいな。

牧田氏：とはいえ、優秀であるのは大前提ですけどね。優秀であれば弊社もWin-Winですから。

リーベル：優秀であれば、待遇を求めてもらって全然構わないということですね。

牧田氏：そのとおりです。

脆弱性を一つでも多く見つける

リーベル：診断に関しても聞かせてください。私も以前、脆弱性診断をやっていたのですが、脆弱性診断って、事前準備やパラメータ設定など、結構、地味な仕事も多いですよね。飽きてしまうことも起こりかねないと思うのですが実際どうなんでしょう？　十まで極めるのではなく、五、六のところまでやって、他に拡げていきたいと考える人もいるのかと思うんです。御社の場合はどうお考えでしょう？

牧田氏：弊社の場合は、「十まで極めたい」という人が断然多いですね。

リーベル：ですよね。

牧田氏：「十まで極めたから、次はスマホをやりたい、iOSを十まで極めたい」という人が欲しいですね。別に「Webは十いったから飽きた」というのはOKです。「じゃあ次、ネットワークやクラウドで十までいってみるか」、もしくは「新しいアーキテクチャーやテクノロジーが出てきたから、今度はそれを十までいってみよう」となればいい。「五、六のところまでやって、他に拡げていきたい」という人はウチには向かないですね。
なぜなら、「弊社がお客様から期待されているのは常に十だから」です。大きな事業会社であれば、五をいくつか平均的に持っていれば通じるし、むしろそういうバランスが良い人を欲しがるかもしれない。けれども弊社は専門会社なので。

リーベル：ですよね。お客様にとって御社は最後の砦だと思いますし。飽きたと言うけれども十やったのかと。十を極めたら、他に行く道はあるし、提案もできる環境もあるでしょうしね。

牧田氏：そうですね。

リーベル：あと、「責任分界点」についてもお聞きしたいです。御社の診断の質の高さは承知していますが、それでも、1年前に診断した時は見つからなかった脆弱性が再診断をしたら見つかってしまった、とか、他社に頼んだら違う結果が出てしまった、などということも起こり得ると思うんです。そういう時の責任はどのように決められているのでしょう？

牧田氏：これは別に難しい話ではなくて。そもそも絶対を保証するサービスではないので、「そういうこともありうる」と割り切っていますし、お客様にも割り切ってもらうしかない。人間がやることなんで、見つからないものは見つからないんです。そのような前提で、お客様にも「保証型ではありません」と話をしてサービスを売っています。例えば、今月のWindowsのアップデートでは、48個の脆弱性をパッチしているんです。Windowsを開発している人たちも当然、セキュリティを勉強し、テストしてから出している。それでも完璧なものなんて作れないわけです。
「じゃあ見つからなくてもいいのか？」という話になりますが、よくないから、我々は十まで突き詰めていく人たちを集めて、本気で十までやっているんです。ただ、それでもどうしても見つからないことはあり、それは反省して、次回に向けて改善をしていくだけです。

リーベル：私の場合、事業会社で脆弱性診断をやっていましたから、見つからないと「誰が責任を取るんだ」みたいな話になるのをさんざん見てきたのでお聞きしてみました。新しい診断サービスを作るのも、責任をどこまで取るかなどと考えると勇気が必要だと思うんです。御社の場合、「十やるつもりでやっていて、それで見つからないのは仕方ない」という、ある意味、割り切った考え。だからこそ、新しいサービスも柔軟に作っていけるのだなと思いました。

牧田氏：まあ、ウチで見つけられなかった脆弱性は、他の会社で見つけることはできないだろうという思いもありますしね（笑）。また、「十は見つからなかったけど、九は見つかったんだからよかったんじゃないの？」という考え方もあるんですよ。「十の全部が見つからないならやらなくていいの？」「九は放置していいの？」という話で。十の全てを保証できる会社は、マイクロソフトもGoogleも含めて、世界中どこにもありません。

数百円で使えるセキュリティツールで「日本全体を守る」

リーベル：先ほど（前編参照）、「労働集約型のビジネスから脱却するため、自社ツールを開発している」というお話がありました。とはいえ、ただの診断ツールですと世の中にすでにたくさんありますし、御社でも使っていると思うんです。そんな中、いったいどんなツールを作っていらっしゃるのか、大変気になります。話せる範囲で教えていただけますか？

牧田氏：簡単に言うと、「中小企業向けの、システムを毎日モニタリングするようなツール」を作っています。我々は「日本全体を守る」というのを新たなミッションにしていますが、全部手動でやっていたら、お金も足りないし、リソースも足りないので、そういう簡易的なツールを作ろうというわけです。
ポートスキャンをして、サービスを特定して。例えば、WordPressが動いているのがわかったら、WordPressの脆弱性を調べてあげる。Log4jが出たら、登録しているドメイン一覧を見に行ってあげる。そんなサービスですね。GMOはお客様のドメインを持っていたり、ホスティングをやっていたりするので、GMOのサービスを使っていれば、脆弱性があったら自動的にすぐわかります。

リーベル：ああ、なるほど。

牧田氏：世間一般的に、「セキュリティは高いし、面倒くさいし、難しい」というイメージがあると思いますが、このツールを使えば、お客様はセキュリティについて何も意識しなくて済みます。エンタープライズなどのシステムであれば、当然、手動で脆弱性診断をやっていくべきですが、ベンチャーとか、100人程度しかいない中小企業であれば、そういう簡易的なツールで毎日モニタリングして、脆弱性があったら弊社で見つけてあげればいい。そういう市場を狙っています。

リーベル：他社との大きな差はどこになるでしょう？

牧田氏：まだ開発中なので決まっていない部分も多いですが、GMOのお客様が月額数百円で使えるようにしたいと考えています。セキュリティのSaaSはあまり安くなく、今、だいたい40万円近くするんですが、中小企業はそんなに出せないですし。結果に関しても、「こういう対策が必要」などと通知が来ても一般的なユーザーは何をしたらいいかわからないので、そういうのは全部除いて、「こういう脆弱性があるからこういうパッチを当てる」みたいなシンプルなものにしたいと考えています。

リーベル：たしかに世の中、9割以上が中小企業なので、月額数百円で使えるとなると日本全体をセキュアにすることにつながってきますよね。大企業であれば中にいるセキュリティの人がちゃんとやるでしょうし、できないことは普通にイエラエに依頼が来るでしょうし。

牧田氏：そうそう。エンタープライズ、大企業は、社内に人もいるし、今まで通りにやればいいです。

リーベル：イエラエの強みは手動診断による診断の深さだと思っているので、ツール化は強みと逆行してしまうようにも感じたのですが、今までやってきたことも止めるわけではなく、ツールのほうも成長させていくということですね。

牧田氏：そうです。今まで手動でやっていた部分をツール化するので、手動でやるのを止めたら、新しいテクノロジーにキャッチアップできなくなってしまう。そのためにも既存の手動診断はそのまま伸ばします。