【#606】レッドチーム出身CEOが、企業のセキュリティリスクを「金額」で可視化する｜CEO　高岡哲也（株式会社Neoセキュリティ）

株式会社Neoセキュリティ　CEO　高岡哲也

株式会社Neoセキュリティは、攻撃者の視点で企業のセキュリティを評価するスタートアップです。レッドチーム出身の専門家がセキュリティリスクを洗い出し、その結果を経営判断につなげる新しいアプローチに挑戦しています。業界歴10年、代表の高岡哲也氏に事業の強みと今後の展望を聞きました。

企業のセキュリティ課題を分析から戦略立案まで一気通貫支援

事業の内容をお聞かせください

私たちの事業は、企業のセキュリティ対策が「本当に機能するか」を確かめることです。

多くの企業がセキュリティに投資していますが、それが実際の攻撃に耐えられるかは別の話です。経営者から「うちは大丈夫なのか」と聞かれても、セキュリティ担当者が明確に答えられないことも少なくありません。

私たちは、脆弱性診断やペネトレーションテスト、レッドチーム演習で攻撃シナリオを再現し、対策の実効性を検証します。サイバー攻撃のシミュレーションだけでなく、フィッシングや物理侵入まで含めて評価できるのが特徴です。

チームには、毎年複数のゼロデイ脆弱性を発見している専門家が在籍しており、攻撃者視点での高度な検証を強みとしています。設立から2年で30社以上の企業を支援してきました。

近年は、クラウドやAIシステムに対するリスク評価案件も増えています。システムの設計段階から「攻撃者ならどこを狙うか」という視点でリスクを洗い出し、セキュリティアーキテクチャの設計にも関わるケースもあります。

他社との違いを教えてください

攻撃者目線での評価に加えて、リスクを金額で示すアプローチも取り入れています。

従来のリスク評価は「高・中・低」の3段階が多いですが、「高」が10件並んだら優先順位がつきません。CSIRTやCISOの中でも意見が割れて、結局どのリスクから対応すればいいのか分からない、経営層にどう報告すればいいのか悩む。そういう場面を何度も見てきました。

そこで、リスクを金額で示す手法を取り入れました。

「このリスクは年間○億円の損失可能性がある。対策コストは○千万円」と、経営層が投資判断をしやすくなるようにまとめます。これにより、経営会議でも、他の事業リスクと同じ土俵で議論できるようになります。

上場企業様を含め導入が進んでおり、現在も定量化精度の向上を重ねています。

私たちが目指しているのは、経営者がセキュリティを単なる「コスト」ではなく、将来の損失を防ぐための「経営投資」として判断できる状態をつくることです。

レッドチーム目線で「実は今にも攻められる」という現実をお見せした上で、何に投資すべきか合理的に決められる状態をつくる。そこを一緒につくっていくのが、私たちの役割だと考えています。

事業を始めた経緯をお伺いできますか？

そもそもサイバーセキュリティに興味を持ったきっかけは、大学時代に参加したセキュリティキャンプというイベントです。

マシンをハッキングする演習に参加し、一見難攻不落に見えるシステムが、非常に簡単にハッキングされてしまうことを知りました。この経験からサイバーセキュリティへの関心が深まっていきました。

この業界に入って10年ほどになりますが、当時、ほとんどの企業でセキュリティ対策が十分にできていませんでした。特に自社の情報資産さえも把握できていない企業が多く、セキュリティ人材もいないという状況に、非常に強い危機感を覚えました。

この課題を解決するには、経営者がサイバーセキュリティの重要性を理解する構造をつくるしかない。そう考え、最初のキャリアとして、当時レッドチームとして優秀な方達が多かったデロイトトーマツサイバー合同会社に入社し、自ら攻撃者目線で企業やシステムを評価する実践を積んできました。

しかし、技術力だけでは経営層に十分な影響力を持てないと気付きました。CISOと対等に議論し、経営判断に繋げるには、技術をビジネス言語に変換するスキルが必要だったのです。そこで経営視点も磨きながら、起業しました。

世界トップレベルの環境で良いサービスをつくる

仕事におけるこだわりを教えてください。

世界トップの環境で戦うことを常に意識しています。

サイバーセキュリティの最先端は、間違いなくアメリカ、特に西海岸です。AIを活用した攻撃の自動化や、クラウド環境を狙った新しい攻撃手法など、最新のトレンドは常にアメリカから生まれています。私たちはその動向をリアルタイムで追いかけ、日本市場に適用することにこだわっています。

具体的には、アメリカのFortune500でグローバルCISOを務めていた人材と連携し、グローバル水準のサービス設計をしています。「日本から、世界最高水準のサービスを提供する」ということが私たちのこだわりです。

起業から今までの最大の壁を教えてください

企業でのコンサルタントからフリーランスを経て、起業家になる過程での考え方の違いです。

コンサルタントやフリーランスは職人として専門的な知見で顧客に価値を提供しますが、起業家はビジネスを作り収益を上げることを考えます。この思考の転換に苦しんだ時期がありました。

乗り越えるために、起業家や投資家の先輩に自分のアイデアを話しながら、ビジネスとして成立するように考えをブラッシュアップしました。

また、セキュリティは信用第一の業界なので、個人から始めて大手企業の信頼を得ていくことも非常に大変でした。今も課題ではありますが、日本にない新しいやり方や、AIやクラウドなど人材不足で対応できていない領域で先行し、大手よりも早くサービスを展開することで優位性を生みだしています。

経営者目線で、セキュリティリスクを可視化する

進み続けるモチベーションは何でしょうか？

サイバーセキュリティという難しい分野を理解してもらえた時です。

技術的な内容を、ただ説明しても経営者にはなかなか伝わりません。だからこそ、実際の抜け道や攻撃経路を自分で見つけ、経営者の関心に沿い分かりやすく説明し、納得してもらえることに大きなやりがいを感じています。

社内でも、相手の立場に立って説明することを徹底しています。具体的に説明することで、相手も何を言われているかがイメージしやすくなります。

サイバーセキュリティにも同じことが言えます。ただ「対策をしないと危ない」では伝わりません。このシナリオによって企業が攻撃される可能性があるというような具体的なシナリオを考え、問題点を明確に伝えることを、社内でも徹底しています。

今後やりたいことや展望をお聞かせください　

誰もが当たり前に使うプロダクトを作り、全ての企業が使えるサイバーセキュリティのインフラを作りたいと考えています。

世界では400万人のセキュリティ人材が不足しています。人を動かすビジネスモデルだと、中小企業に届かなくなってしまいます。加えてサイバーセキュリティの人材は雇用が難しいことも課題となっています。

だからこそ、その人材に代わるプロダクトを作り、グローバルに展開することが必要だと考えています。

戦略としては、まずはプロダクトの検証を進めやすい日本で事業を拡大します。アメリカのトップレベルの技術を日本で展開して基盤を固めた後に、グローバル展開を進めていく予定です。

心が動くことを全力で取り組む

起業しようとしている方へのアドバイスをお願いします

右脳を大事にしてください。

今の若い世代は、どの進路が有利か、どのキャリアが将来の選択肢を広げるかと、左脳的な損得ばかりで考えて選択している人が多いように感じます。ですが、そればかりだと、自分が心から夢中になれることから遠ざかってしまいます。

そのため、まずは右脳的なアプローチに取り組んでみてください。自分の心が動くこと、少しでもときめくことに全力で取り組んでみる中で、本当にやりたいことを見つけて欲しいです。

それから左脳に切り替えて、どう社会にとって意味あるものにできるか、ビジネスとして成立させられるかを考えるべきだと思います。

採用を強化されているそうですね。どのような人材が理想でしょうか？

グローバルに挑戦したい人、大きく成長したい人です。

具体的には、世界で勝負したいと考えるセキュリティの専門家を求めています。セキュリティの分野には、AIやクラウド、ARやVRなどさまざまな専門家がいます。全てをカバーできる人材はいないため、各領域のスペシャリストに加わってほしいと考えています。

また、セキュリティビジネスやグローバル展開、スタートアップに関心のあるCOO候補も募集しています。

ご興味がある方は一度お問合せください。

本日は貴重なお話をありがとうございました！

起業家データ：高岡哲也 氏（Linkedin）

企業情報