[創業者対談]クラウドエース×株式会社FFRI

本連載は、クラウドエース株式会社の創業者である吉積が、創業者で既に上場を経験している経営者と対談する連載企画です。

創業者にとって上場は、会社の運命を握るターニングポイントと言っても過言ではありません。上場までの苦難と喜び、上場を機に訪れる変化。経験者達はそれらをどう受け止め、乗り越えてきたのか。これから同じ道を歩もうとするクラウドエースの創業者が、対談によって引き出したエピソードの数々をお伝えしていきます。

3回目の対談相手は、吉積と徳島の同郷で、日本で始めてサイバーセキュリティの研究開発会社を立ち上げた、株式会社FFRI代表取締役社長、鵜飼裕司さんにご登場いただきました。

起業のきっかけ – セキュリティの研究開発のためアメリカへ

吉積：　すごい丁寧に事前アンケート書いていただいて。あまりここまで詳しく書いていただけるのも珍しいです（笑）。

鵜飼さん：　あれ、そうなんですか（笑）

吉積：　いや、人柄が出てるなぁ、ちゃんとしてるという（笑）まず、アンケートにも書いていただいてるんですが、起業のきっかけをお話していただければなと。

鵜飼さん：　前職はアメリカの会社でエンジニアをずっとやっていたんです。

吉積：　アメリカの会社の日本支社？

鵜飼さん：　現地の会社です。現地のベンチャー企業なんですよ。なんでそんなとこ転職したの、っていうのもあるんですけど（笑）

学生時代から趣味でセキュリティーをやっていて。もともとの研究はコンピューターサイエンスでもちょっと畑の違う医療画像工学っていう、冠動脈石灰化や肺がんとかを自動抽出するっていうパターン認識というのをやっていて。

その時、たまたま使っていたワークステーションがハッキングされて、、、っていうのがきっかけです。私の使っていたワークステーションから、別の大学にハッキングしてたらしく、、、。最初は「お前がやったんじゃないのか！」とか言われてエライことになったんですけど（笑）

それで結構ショックを受けて。そもそもハッキングってどうやってやるの？って感じで。当時 Google はなくて、Infoseekっていうので色々調べたのが、セキュリティに入ったきっかけです。

吉積：　なるほど。その原因はわかったんですか？

鵜飼さん：　原因はわかりました。当時Solarisを使ってたんですけど、単純にパッチが全然あたってなくて。昔よくあったじゃないですか、普通にグローバルIPアドレスがみんなついてる、とか。それはやられますよ、っていう（笑）

吉積：　ルーターで防御も何もせず？

鵜飼さん：　そういうナット的なものも何もなく、、、。昔の大学は全ての端末にグローバルIPが付いてて、全てアクセスできたんですよ。セキュリティについて、少しでもわかっていればそういうことにはならないんですけど、当時はインターネットが出初めて直ぐくらい（90年代）だったので、そういう時代だったんですね。

そこからセキュリティに興味を持ち始めました。プログラミング自体は小学校5年生くらいからやっていたので、ハッキング技術も調べれば分かるだろうと思って色々調べてみると、C言語で書かれたソースコードが出て来て。それで、読めないコードはないだろうとみてみたら、全然意味がわからなくて。それで結構衝撃を受けて、一気にハマっていった感じですね。

吉積：　こんな高度なことやってるんだみたいな？

鵜飼さん：　そうですね。A4一枚くらいのコードをみて、意味が分からないという体験を始めてしたので。普通コーディングしてたら出会わないようなトリッキーなコードが出て来て、技術的に興味を持ち始めました。

そこから色んな研究を個人でやっていたんですが、当初サイバーセキュリティって日本には市場もなくて、人もほとんどいなくて。この辺の技術を知ってる人がほとんど北米の人だったので、その人達と、よくやりとりをしていたんですね。

当時、日本にはこの分野で少しセキュリティを事業としてやってる会社は出て来ていたんですけど、研究とか開発をする会社がなくて、面白くないなと思ったので、セキュリティ業界へは就職しなかったんです。

吉積：　それは2000年代前半？

鵜飼さん：　2000年ですね。で、開発をやりたいっていうのがベースにあったので、元々の研究分野に近いKodakの研究所に入って研究開発をやりました。でも入ってすぐに、北米のサイバーセキュリティがすごく盛り上がってきて。結構採用も活発だったので、何社からかお声がけをいただくようになりました。ネットで結構活動をしていたので、論文とかが目に留まったのかな、と思うんですけど。それでオファーをもらって前職（アメリカ）へ転職したんです。

最初は英語も喋れないし、新卒がすぐアメリカの会社に転職するハードルも高いし、1社目は大企業で、2社目はよく分からないベンチャー企業、、、なんか怖いなってのもありました（笑）

2年半くらい悩んだんですけど、ずっとお誘いをいただいていて、やっぱりセキュリティ業界に行きたい、日本にはどっちみち研究開発をやってる会社はない、ってことで、意を決してアメリカのベンチャー企業に転職しました。

吉積：　アメリカのどこですか？

鵜飼：　南カリフォルニアです。ロスとサンディエゴの間くらい。実はあの辺、サイバーセキュリティ村みたいなのがあるんですよ。eEye Degital Securityという会社で、ベンチャー企業ではあるんですけど、CTOが結構有名人で、業界の中ではすごく有名な会社で。世界中から名うてのホワイトハッカーみたいなのを集めてすごいチームを作ってたんです。

そういった意味ではセキュリティ業界で知っている名前の人がいっぱいいて、結構行って衝撃を受けましたね。エンジニアの環境としてはめちゃくちゃよかったです。

最初は世界中のこんなに有名な人たちと戦えるのかなと心配だったんですけど、意外なことに結構戦えて。切磋琢磨してすごく楽しかったですね。

吉積：　日本人は鵜飼さん1人？

鵜飼さん：　1人ですね（笑）街でもほとんどいないって感じで。海外で生活すると日本を遠巻きでみるって感じのことを経験されるかたがいらっしゃる人が結構いると思うんですが、私もそうで。

セキュリティだけじゃないと思いますが、大体北米で生まれた基礎技術とか、新しい製品とか技術とかがまずあって、それを日本が輸入して展開するってパターンが非常に多く、エンジニアとして、０を１にする人の側にいたのでそれはそれで楽しかったんですけど。

一方で日本の業界をみていると、技術を輸入するだけだといかんのじゃないかっていう思いがずっとあって。特にサイバーセキュリティって安全保障が絡む重要なテーマでありながらも、北米に頼っているっていう状況もあって。

当時、日本でなにか大きな問題が起きたときは日本で独自に問題解決ができずに、北米のベンダーに完全に頼っている状況だったんですね。でも、北米からすると日本ってマーケットサイズはグローバルに比べて10分の1くらいだから、扱いが10分の1になるんですね。

自分みたいな研究開発エンジニアに、日本からの要求が降りてくる前に、大体ビジネスレイヤーでフィルターされるっていう状況が続いていて。

しっかり日本でもサイバーセキュリティをやっていかないと、安全保障上も問題があるだろうし、色んなイノベーションが日本で起きる中で、サイバーセキュリティも動いていかないと、ある意味イノベーションって進んでいかないと思うので。日本のテクノロジーっていうのが、やはり北米に主導されることに懸念をしていて。日本でもセキュリティの研究開発ができるような会社ができたらいいのになってずっとみていたんですけど、できなかったので会社を作ろうっていうのが起業のきっかけですね。eEyeで日本法人を作ろうっていうのもあったんですけど、それだと北米の技術を日本に売るだけなので、それはいかんなと思ってそれはやめて。それでこの会社を立ち上げたんです。

立ち上げ当初から製品のリリースまで

吉積：前の会社は何年くらいいたんですか？

鵜飼さん：4年くらいですね。

吉積：4年もいたんですね！やめた後はすぐに日本に帰ってきて起業したんですか？

鵜飼さん：そうですね。

吉積：1人で？

鵜飼さん：今のCTOの金居と一緒に 起業しました。
最初は1人だったんですけど、北米にいる時に、途中で金居が入ってきて。彼も結構有名なエンジニアで、当時（90年代）にネットで活動していた時にもいた、数少ない日本人の1人だったんです。
eEyeでは、日本の展開もやるぞっていうことで、製品を日本語化するプロジェクトチームを作るっていうので数人入って、最終的には5人くらいの日本人がいましたね。

吉積：金居さんも想いは同じだったんですか？

鵜飼さん：そうですね。彼も元々研究開発エンジニアで、気質が私と似ていたので、どうせやるなら自分たちでやりたいよねっていう。ただ、両方ともエンジニアなので、「起業とはなんぞや？」という感じで（笑）全く知らずに立ち上げて、よく生き残れたなと思いますね。

吉積：普通は、もう1人、営業的な人が入ってきたりしますよね。

鵜飼さん：ファイナンスとかね。元々北米でも色んな活動をやっていて、日本でもお客さんとかパートナーさんとか、会社というよりも人と繋がっていて。そういった方々に助けられたので、意外と環境には恵まれていたかな、と思います。

吉積：論文とかで名前が売れてたので、日本に帰って来てもそのまま活動ができたんですね。

鵜飼さん：そうですね。日本のセキュリティ業界の人ともお話をする機会もあったので。前職で製品を作って、日本での展開もやっていたので、人脈ができていたのは非常に助けになったと思います。

吉積：立ち上げはあまり苦労されなかったとのことですが、その後苦労された点などありますか？

鵜飼さん：一番苦労したのは、2009年から10年ですかね。あの頃は非常に大変でした。
弊社製品の「FFRI yarai」の研究開発を始めたのが創業から少したった頃くらいで、そのリリースが2009年なんです。そうは言ってもセキュリティって製品作るだけじゃなく、色んな問題があるので、その問題をお客さんとかパートナーさんとかと、解決していたんですね。

最初はスポットで案件を受けていたので割と楽だったんですが、FFRI yaraiを本腰入れて作るぞ、となって、人をたくさん入れだして。ソフトウェアを出してそこで事業をやっていくんだ、と。
そこで大きく舵を切って、そこから売れるまでに非常に時間がかかったんですね。新しい技術を作って、それを売っていくまでに時間がかかったのがしんどかったのはありますね。

吉積：そこは専門というか、営業部長的な人を入れようとは思わなかったんですか？

鵜飼さん：まあいたんですけど、製品自体がものすごく新しいコンセプトで、マーケットがなかったんですね。なので、なんにもないところからマーケットを作っていくってところになると、単純な営業活動だけじゃなくて、他の活動を並行してやっていかなければならなかった。

FFRI yaraiは、今で言う所の「NGAV」とか「NGEPP」の、次世代アンチウイルスってカテゴリーの製品なんです。いわゆる普通のウイルス対策ソフトってパターンファイルになっていて、世界中のウイルスを集めて、それを一個一個パターンファイルにして、その膨大なデータベースをマッチングして使うっていうのが基本なんですね。
ただ、当初から新しい脅威っていうのが見えていて。例えば標的型攻撃みたいな、特定の相手を狙ってマルウェア感染させて情報を抜いて来たりだとか。特定のところを狙うので、マルウェアのサンプルが集まらないんですね。そうすると、パターンデータベースに載せられないので、絶対検知されないという問題があって。こういうものどうするんだっていうのがエンジニアの世界では問題になっていました。

コンピューターウイルスも自動生成するって技術が色んなところで研究されていて、自動生成されると何が起きるかっていうと、1日に5000~6000とかのの規模感のウイルスであれば、頑張れば集められるし、パターンハブ作って配信もできるんですけど、今って1日30万とかできてるんですね。自動生成できるので。パターンデータベースに、とてもじゃないけど乗らないぐらいのウイルスをいくらでも作れちゃう。こういう技術が普及した時に、どうするの？っていう問題があったんです。

普通に考えて、パターンデータベースには限界があるので、パターンに頼らないやり方で、検知しないとダメだというのは前々から言われていて。それをエンドポイント向けに初めて作ったのが我々で、FFRI yaraiという製品が、おそらく世界で一番最初です。

吉積：世界で初なの？

鵜飼さん：私の知る限り一番最初です。今はウイルス対策ソフトの、昔ながらのシマンテックとかがいくつかありますけど、NGAVとかはまた別のトリガーがあって。一応我々が一番最初です。

当時、パターンファイルを捨てるって宣言をして、製品を出し、一部の人には受けが良かったんですけど、実はパターンファイルが破綻してるっていうのを知っている人はごくごく一部なので、よくセキュリティを知っている人にしか刺さらなかったんですね。マーケットでは、今までのアンチウイルスソフトと何が違うの？みたいな風に言われるので。

吉積：実績が安心だよね、みたいな？

鵜飼さん：当然実績もあるし、「まあ、困ってないですから」みたいな感じで。当然そういう反応をされるかなとは思いますけれど、困ってないのは検知も防御もできてないから、っていうのもあるんですけどね（笑）。ある意味そういう時代で、マーケットの認知が広がってくるまでが大変でしたね。

吉積：でも、それまでに資金調達はできたんですよね？どうやったんですか？

鵜飼さん：ベンチャーキャピタルですね。

吉積：ベンチャーキャピタルの人に、その話を理解してもらうの難しくないですか？

鵜飼さん：そうなんですけど、意外とウイルスソフトのパターンマッチングっていうのはこういう風に破綻していて、っていうのをちゃんとデータを持って説明すれば、割と誰でもわかる話ではあるんですね。そこはそういうことになってるんですねっていうのを理解していただいて。
逆にいうと、これって説明をするとわかる話なんですが、説明をしないと絶対に届かないし、わからない話なので、マーケットをこれから作っていかなければならないんですね。ここが非常に大変でした。担当者の方に話をして、「これは確かに必要だよね」って理解してもらっても、その人が今度は上を説得しなきゃならないし。コンセンサスができていないので、必要性を理解してもらうのがすごく大変でしたね。

吉積：当時から、自動生成されて何十万もできちゃうっていうのはわかっていたんですか？

鵜飼さん：そうですね。そういった攻撃の技術自体も何年も前からコンセプトはできていたので。我々のような研究をしてきた人間には、その事実は珍しくもなんともないのですが、結局FFRI yaraiって振る舞いとか構造情報とか、メタなとこだけで検知をするっていう技術なんです。パターンファイルを捨てるという宣言をしても、それは流石に無理だろ、みたいな感じで、誰も手をつけなかった部分に一歩踏み込んだっていうのが、我々が最初にやったことだと思ってます。

吉積：僕はその分野あまり詳しくないんですが、検知率みたいなのあるじゃないですか？第三者機関評価みたいなのってあるんですか？

鵜飼さん：第三者機関評価も、その技術に全然追いついていなくて。当時やっていたのって「今年流行ったウイルスベスト100」みたいなもので、そりゃパターンマッチングが一番点数でますよって話なんですよ（笑）
ただ、実際のところ発生してすぐのウイルスって検知できないですし、評価機関もウイルスの検知ができないので、そこの見せ方も最初苦労しましたね。

標的型攻撃だったり、いわゆるウイルス対策ソフトが効かない事例っていうのが急に出始めたのが2011年で。標的型攻撃で防衛関連企業がやられて、防衛機密が某国にバレましたみたいな記事が一般紙にバーンと出て、そこから急激にモメンタムが変わったんですよ。それまでもIT専門誌とかセキュリティ専門誌ではそういう事例っていっぱい出ていたんですけどね。

その時に我々の製品と事実を担保するために、実際に色んなところのインシデントで本当に使われたサンプルを入手して、FFRI yaraiが入っていたら止められたか、っていう検証をして、そのレポートを上げ始めたんですね。アップデートしてではなくて、前々から防御できてたっていうのを載せるようにして。

例えば、ウイルス発生が2010年の1月だったとして、2009年の1月に出したエンジンで防御できてました、みたいな。エンジンをリリースした時期と実際に報道した時期をセットにして。
FFRI yaraiはパターンファイルを持っていないので、しょっちゅう更新する必要もなくて、年に2回くらいなんですよ。なのでエンジンのリリース日も特定されていて、それで、未来のものを防御できていたっていう事例がいっぱい溜まって来て、それをずっとウェブに上げ続けているのが我々だったということですね。

ベンダーにとってのリスクは、ものすごい大きいインシデントが発生した時に、検知防御できましたリストの中に載っていないと、当然ダメでしたよねっていう風になるので、メジャーなものを、もし防御できなかったら大変なことになります。
幸いにして2009年のリリースから、ずっと事例を上げ続けてるんですけど、メジャーなものは一応全て防御できています。

吉積：マイナーなものは100%ではない？

鵜飼さん：100％ではないですね。名前がついていないものとか、漏れはあります。

吉積：こういうのって、パターンファイルのやつと両方入れた方がいいんですか？

鵜飼さん：そうですね。それもよく聞かれるんですが、得意な分野が違うので。パターンファイルでしか防御できないものもあるんですよね。

例えば、よくウェブサイトで出る「ウイルスに感染したのでこのウイルス対策ソフトを買ってください」みたいなやつあるじゃないですか。で、それを買ってインストールするんだけど、実際はウイルス対策プログラムが何も入ってないものだったといった詐欺行為。こういうのって中身が入っていないので、悪意のある事もなにもしないんですね。構造情報も普通のソフトウェアに見えます。
こういうソフトウェア自体が悪意のある動作をしないソフトウェアを振る舞い検知で防御しようと思うとものすごく大変ですし、逆にするべきじゃないと思っているんです。そういうのはパターンファイルが得意ですし、FFRI yaraiはパターン型ウイルス対策ソフトと並行してお使いいただくのが、ほぼ大多数ですね。

上場を決意した瞬間

吉積：（防衛関連企業に対する標的型攻撃問題のあった）2011年から潮目が変わって、事業としてはいい流れになったと。

鵜飼さん：そうですね。多くの会社で「うちの会社は大丈夫か？」みたいな話になって、大丈夫じゃなかったっていう状況になって。日本でも、国としても相当気にし始めて、2014年にはサイバーセキュリティー基本法も整備されて。

吉積：上場を決意したタイミングというのはいつなんですか？

鵜飼さん：創業当初からです。なんでかっていうと、こういったセキュリティ技術ってお客さんがどうしてもエンタープライズとか、政府、各府省ですので、どこの馬の骨かわからない会社に自分のところのセキュリティー、または安全保障を預けていいのかって議論になると思うんですよね。
なので、上場することによって一定の信頼を得るっていうのは当初から必要だと思っていて。そうしないと、お客さんがせっかく製品が良いってなっても、なかなか説明ができないっていうのもありますから。

吉積：それでVC入れて、加速したって感じなんですね。内部監査的なものを強くしようとかそういう思いはなかったんですか？

鵜飼さん：サイバーセキュリティ企業として信頼を得るのが一番重要なので、いわゆるガバナンスとかコンプライアンスは、上場するしない関わらず、やるべきことはしっかりやっていこうってことで10年前くらいに今のCFOがきて整備していった感じですね。

吉積：上場は創業時から決意されているということですが、なにか上場に向けて困った事とかはありますか？

鵜飼さん：当然実際の形式を満たしていかなきゃならないっていうのはありますが、上場準備をしていく段階で、色んな意味で会社は強くなっていくので、実際上場できるできないに関わらず、そういうことをちゃんとやっていくっていうのは会社の成長を支えるのにすごく重要だなっていうのはやり始めてすごく実感しましたね。

吉積：やり始めて？

鵜飼さん：やる前はあまり深いイメージはなくて。ガバナンスをちゃんと強化するってどういうことなんだろう、っていうのを実際のプロセスで体現していくっていうのは、貴重な経験になりました。

吉積：数字を追うみたいなのは、COOとかがいらっしゃるんですか？

鵜飼さん：数字は、最終的には経営者である私がみているのですが、当然数字って積み上がっていくものなので、営業担当が管理をしていくってことになります。

吉積：僕の場合、数字は僕では無理だなって思って、今はCEOの青木っていうのが管理しているんですよ。それで上場に向けて今やっています。

鵜飼さん：当然売上利益は会社にとって重要なものの１つなので、そこは必達していくんだっていうのはしっかりやっています。それが結果的にうまくいくかどうかっていうのはありますけど、もしうまく行かないということがあるなら、なるべく早くその予兆を察知して、戦略を変更していくっていうのは必要だと思います。

吉積：ちょっと意地悪な質問かもしれないですけど、セキュリティって悪さをする人がいると、ばっと売り上げが上がるんじゃないですか？

鵜飼さん：いや、実はないんですよ。よくそれ聞かれるんですけど、お客様がエンタープライズだったり官公庁だったりするので、なにか対策を考えないといけない、それで対策をしようかなって思いついてから対策をするまで何年もかかるんですよ。リードタイムがエンタープライズだと2年くらいかかるっていうのがあって。なのでバーっと盛り上がってガッと入る、とかはないですね。
　
吉積：それだけ遅れがあるんですね。

鵜飼さん：ありますよ。コンシューマーとか、SMEビジネスだと内的要因で変化するとかはありますけど。
なので、ある意味ビジネスも既存のお客さんはちゃんとFFRI yaraiをアップデートしていれば、使い続けられるので、サブスクリプションみたいなビジネスモデルになっています。

吉積：FFRI yaraiの継続率ってどのくらいなんですか？

鵜飼さん：95％くらいですね。ほぼ全てのお客様が更新されています。

吉積：なるほど。その他、人とか組織面で何か、上場してよかったことなどありますか？

鵜飼さん：採用とかですかね。エンジニアは集まってきたんですが、それ以外は苦戦をしていて。とんがってるし、面白いなって感じできてくれる人はいたんですが。上場して状況がよくなって、途中から新卒に切り替えました。上場前も後もそうですけど、会社って1年前のことは大昔のことみたいになるわけで。そうすると、何かをやる人がいなくなったり、足りなくなったりするので、常に新しいことができる人が必要になっているっていう状況ですね。どっちかっていうと常に困っているというか（笑）

改めて感謝する事

吉積：最後に、改めて一番感謝することなどありますか？

鵜飼さん：そうですね、、、まぁ、エンジニアが起業して今に至るわけですけど、普通だったら潰れてますよねっていうのはあると思うんですよね（笑）
正直、エンジニアリングしかわからない人間がここまで色んな事業ができるようになったのは、色んな人たちが助けてくれたからであって。取引先やお客様もそうだし、よくこんな数人で立ち上げた会社に優秀な人が入ってきてくれたな、っていうのもありますし。人は大事だとなと思うところはありますね。

吉積：日本の安全保障をやってるんだ、っていうのはすごいなと思っていて。そういうところに共感して来てくれてる感じなんでしょうか？

鵜飼さん：日本を守っていくんだっていう風に共感してくれる人もいますし、日本で地に足をつけて研究開発をやるんだ！って共感して来てくれてる人もいます。今まで日本でこういう会社がなかったので、サイバーセキュリティ業界でも「遂にこんな会社が！」っていう風に盛り上がっていただいて、そこでかなり応援もいただきました。

吉積：VCもそんな感じで共感していただいたんですか？

鵜飼さん：VCは、最初は皆さんよくわからないけど研究開発してる会社、くらいな（笑）でも、途中で色々共感していただいて、出資していただきました。

吉積：そうなんですね。上場だけじゃなく、セキュリティも含めとても勉強になりました。ありがとうございました！

編集後記

サイバーセキュリティを軸に、起業や上場についてお話ししていただきました。サイバーセキュリティ技術を知る人が日本にほぼいない時代から研究し、日本でゼロからマーケットを広げていった鵜飼さん。元エンジニアならではの情熱が伝わる対談になったのではないでしょうか。