はじめに

こんにちは、Flatt Security プロフェショナルサービス事業部(以下、PfS事業部)の責任者を務める @toyojuni です。PfS事業部ではセキュリティ診断サービスを中核としたプロダクト開発組織向けのセキュリティサービスを提供しており、2019年の事業開始以来増収増益を続けています。

結論から言うと、この1年は我々PfS事業部にとって

1. コミュニティへの還元
2. プロフェッショナル性の追求

の2軸を原動力にし、大きな飛躍を遂げることができた1年でした。これは我々のサービスが「技術者による、技術者のためのサービス」だからこそ原動力になり得たのではないかと考えています。

そして、その成果を社内に還元することで、より働きやすい/成長できる環境へと進化していると感じます。

本記事はプロフェッショナルサービス事業部の2023年を振り返りながら、我々の考え方やアクション、事業の成長、そしていかにして自分たちの働く環境を改善しているか、読者の皆様に知っていただくための記事です。

• はじめに
• PfS事業部とは
• コミュニティへの還元
  • 還元1: 開発者コミュニティへの還元
    • 技術ブログの発信
    • 定量データの公開
    • 言語カンファレンスへの協賛
    • 新卒エンジニア研修をテーマにしたミートアップイベントの開催
  • 還元2. セキュリティエンジニアコミュニティへの還元
    • CTFの開催
    • 有志によるLTイベント「Security.Tokyo」への協賛
    • 様々なプロダクト企業を巻き込んだ、セキュリティトレンドの振り返り/予想記事の発信
    • サマーインターンに17名の学生が参加
    • セキュリティ・キャンプやCODE BLUEへの協賛
    • ドラマ『トリリオンゲーム』のIT・セキュリティ技術監修
  • コミュニティへの還元のまとめ
• プロフェッショナル性の追求
  • 追求1. 顧客への提供価値の向上
    • 「リスクフォーカス型プラン」の提供開始
    • ソースコード診断の無料付帯開始
    • Shisho Cloudとの連携
  • 追求2. 組織・事業の成熟度の向上
    • 採用広報におけるドラスティックな情報公開
    • 新卒採用枠の大幅拡大
    • 政府機関との連携強化
  • プロフェッショナル性の追求のまとめ
• 2023年のビジネス的成長とメンバーへの還元
• 終わりに

PfS事業部とは

我々は事業部のコンセプトとして「専門家による顧客個別の深い課題の解決」を掲げており、これはもう一つの事業部であるセキュリティプロダクト事業部の「ソフトウェアによる普遍的な課題の解決」と対照的で、相互補完的なものとなっています。

そのようなコンセプトに基づいて、PfS事業部ではプロダクト開発に携わる技術者に向けた 「セキュリティ診断(脆弱性診断)」 をメインとし、また、専門家の知識を実践演習を通して学ぶことができるセキュアコーディング学習プラットフォーム 「KENRO(ケンロー)」 を提供しています(なお、セキュリティプロダクト事業部はAWS・Google Cloud運用の課題を解決する 「Shisho Cloud(シショウ クラウド)」 を提供しています。)。

ざっくり表現するとセキュリティ診断およびKENROの2サービスがPfS事業部を構成するのですが、「コンセプトに適っている = 専門家でなければ解決できない課題がある」のであればなんでもやるスタンスです。実際、Webアプリケーション開発の上流工程で設計レビューをさせていただくこともありますし、種々のコンテンツ監修をさせていただくこともあります。

特に、2023年はTBS系ドラマ『トリリオンゲーム』のIT・セキュリティ技術監修で弊社を知っていただいた方も多かったのではないかと思います。

そんなPfS事業部ですが、前述の通り今年度の成長の原動力は「コミュニティへの還元」と「プロフェッショナル性の追求」の2つでした。それぞれ、どのような目的意識でアクションを起こし、どのような成果が得られたのか、振り返ってみようと思います。

コミュニティへの還元

大前提として、Flatt SecurityはPfS事業部に限らず情報発信やイベントの開催・協賛に以前から注力しています。サイバーセキュリティという専門知をブラックボックス化せずに、透明性を高めて外部へ還元していくことが我々のやりたいことだし、その程度で仕事を奪われるようでは「専門家による顧客個別の深い課題の解決」には値しないと考えているからです。

日本のベンチャーキャピタルのCoral Capitalさんは、相当早い段階で強力なオウンドメディアを立ち上げ、元Tech Crunch Japanの編集長だった西村賢さんを迎え入れるなど、(主観ですが)日本のVCとしてパイオニア的な動きを見せていたと考えています。海外でのトレンドも背景にあると思いますが、自分は業種が投資であろうとセキュリティであろうと、このような動きはとても重要なものと考えています。

実際に、自分は現在事業責任者の立場ですが、今も工数の半分以上をこうした外部とのコミュニケーションの設計・実行に充てています。また、こうした施策を進めるチームは自分以外にもセキュリティエンジニア、事業開発、広報といった様々な専門領域を持つメンバーで構成されています。

前置きが長くなりましたが、PfS事業部のコミュニティ還元の動きを「開発者コミュニティへの還元」「セキュリティエンジニアコミュニティへの還元」の2つに分けて紹介します。

還元1: 開発者コミュニティへの還元

例えば弊社の顧客であったり、プロダクト開発組織の中でセキュリティに取り組んだり、関心がある人々に向けて様々な活動を行っています。いわゆるDevRel(Developer Relations)です。便宜的に開発者としていますが、実際にはプロダクト開発に携わる様々な人が対象です。

今年のアクションとしては以下のようなものが挙げられると思います。

技術ブログの発信

Webアプリケーションの脆弱性を主なトピックに骨太な記事を発信し続けています。

定量データの公開

「BtoB SaaS に多く発見された脆弱性Top10」のデータを公開し、認可制御不備といった人間がチェックしなければ対処が難しい脆弱性に関する発信を行いました。

言語カンファレンスへの協賛

2023年はRubyKaigi、PHPカンファレンス、PyConに協賛させていただき、ブース出展を行いました。言語カンファレンスにセキュリティ企業が出展するのは比較的珍しいことだと思います。ブースではSQLインジェクションに関する4択クイズというとっつきやすいコンテンツを用意し、開発者の皆様がセキュリティに触れる機会を提供できました。また、言語カンファレンスではありませんがISUCON 13にも協賛させていただきました。

新卒エンジニア研修をテーマにしたミートアップイベントの開催

エンジニアリング業務を構成するのは技術だけではなく、新卒エンジニアのオンボーディングといった組織面での努力も重要です。しかし、技術要素に比べてこうした領域の知見は業界で横のつながりが薄く共有されづらい、というお話をKENROの顧客の方より伺っていました。そこで、Flatt Security主催でミートアップを開催し、そのような横のつながりが生まれる場を提供することができました。

還元2. セキュリティエンジニアコミュニティへの還元

開発者コミュニティへの発信は昨年からブログなどを通じて実施できていたと思うのですが、セキュリティエンジニアコミュニティへの発信はあまりできていませんでした。

ですが、ありがたいことに弊社も組織や事業が段々と成熟し、社外への発信のパスや手段が増えて来ました。おかげでセキュリティエンジニア向けの還元もようやく本格的に出来始めたのが2023年であると自分は捉えています。

CTFの開催

土日に開催される24時間〜48時間規模のCTFは社会人になるとなかなか時間の確保が難しいものです。そこで、よりライトに1時間程度で取り組めるCTFとして「Flatt Security miniCTF」「Flatt Security Speedrun CTF」といったイベントを2023年は計5回開催しました。

1時間程度でやるにしては難易度が高すぎたりと改善の余地はあるのですが、アンケート結果を見る限りは多くのセキュリティエンジニアの方に楽しんでいただけています。 オフライン形式で一通り開催しましたが、どうしても参加人数や居住地域が限られてしまうのでオンライン形式の実施も来年はやりたいなと個人的に画策中です。

有志によるLTイベント「Security.Tokyo」への協賛

「Security.Tokyo」は弊社CEOの井手が発起人となった有志運営のイベントです。運営は有志で行われていますが、弊社も協賛という形で会社としてできるサポートを行っています。

様々なプロダクト企業を巻き込んだ、セキュリティトレンドの振り返り/予想記事の発信

名だたる企業のセキュリティ担当者の方を巻き込んで、弊社にはない視点でセキュリティトレンドを分析していただき、発信しました。

サマーインターンに17名の学生が参加

2019年ぶりにサマーインターンを実施しました。ありがたいことに100名を超える応募をいただき、最終的に17名の方に参加いただきました。5日間にわたってWebセキュリティの実践的なスキルを習得してもらったので、ぜひ様々な環境でそのスキルを活かして活躍してほしいですね。

セキュリティ・キャンプやCODE BLUEへの協賛

以前から複数年度にわたって協賛させていただいておりますが、今年も両イベントに協賛しています。自分自身会場に出向いてたくさんの学生さんとお話しすることができたので、とても満足しています。来年もたくさんの方とお話しできることを楽しみにしております。

ドラマ『トリリオンゲーム』のIT・セキュリティ技術監修

先ほども紹介したように、弊社として初めてテレビドラマの技術監修をさせていただきました。原作の漫画『トリリオンゲーム』の技術監修を担当していたことからいただいたご縁ですので、池上先生、稲垣先生、担当編集の方には本当に頭が上がりません。

自分は1996年生まれですが、我々世代では子供の頃に見た『ブラッディ・マンデイ』に影響を受けたというセキュリティエンジニアは少なくありません。『トリリオンゲーム』はセキュリティだけがメインテーマではなく、むしろ「起業」の方がメインですが、起業を志す方にも、サイバーセキュリティに興味がある方にも影響を与えることができたら、我々としてはこの上なく幸せです。

コミュニティへの還元のまとめ

振り返っている自分自身さえも「本当に色々やったな」と思わされる量でした。

しかし、これらの短期ではビジネス上のROIが見えづらい、しかし社会に価値があると感じられる還元を狂気をもってやり切ることで、我々は技術で勝負する集団として真の競争力を得ることができるができると自分は確信しています。

短期でROIが見えづらいとは言ったものの、実際にはお客様から「お値段は他社よりちょっと高いけど、Flatt Securityさんにセキュリティ診断を依頼したい」といった言葉をいただくことも増えています。こうした声を励みに、来年以降も技術コミュニティへの還元をますます強化していきます。

プロフェッショナル性の追求

ここまでご紹介した内容は基本的に「お金を稼ぐ」という意味でビジネスっぽい内容ではありませんでした。では、我々は事業を運営する組織として成長はなかったのかというとそうではありません。こちらも、確実な進化が見られたと考えています。

「プロフェッショナル性の追求」という見出しでまとめましたが、その内訳は以下の2つです。

1. 顧客への提供価値の向上
2. 組織・事業の成熟度の向上

追求1. 顧客への提供価値の向上

PfS事業部の売上の多くを占めるセキュリティ診断は、ビジネスとしては目新しくなく昔からあるものです。しかし、それ故に顧客への本質的な価値提供につながっていない業界慣習・構造のようなものもあるのではないかと思っています。

2022年11月に志賀がプロフェッショナルサービス事業CTOに就任して以来、彼の「技術的こだわりを捨てずに、ビジネスとして進化させる」という思いがPfS事業部には強く反映されています。そのおかげで、既存の枠組みに縛られずに新たな価値提供の方法を実践できました。

「リスクフォーカス型プラン」の提供開始

通常、セキュリティ診断は予算に合わせて「機能A, B, Eだけを対象に、網羅的に存在しうる脆弱性を検証する」といった形で診断範囲を限定することが多いです。一方でリスクフォーカス型プランでは「機能A~Fを全て対象にし、網羅的ではないがビジネスリスクの大きい脆弱性から優先して検証する」といった手法を取ります。「バグバウンティ的な調査方法」とも言えます。

どちらもメリットデメリットが存在しますが、大規模なアプリケーションだが全体のリスクを確認したい場合など、後者のニーズは明確に存在しています。

昨年まではこのプランを公開しておらず部分的な提供にとどめていましたが、その有効性が確認できたので今年ついにプランとして公開することができました。おかげで、お客様への価値提供の手法の幅が明確に広げることができました。

ソースコード診断の無料付帯開始

PfS事業部にとって2023年で最も重要なトピックは、間違いなくこの「ソースコード診断の無料付帯開始」でした。

通常セキュリティ診断は、ソースコードなどの内部情報を受け取らないブラックボックス形式で実施され、より深い調査ができるホワイトボックス診断は高価であるという弱点がありました。

詳細な経緯は以下のブログ記事にあるのですが、我々はブラックボックス診断とホワイトボックス診断のいいとこ取りを実現することで、お客様の金銭的な負担を増やすことなく、提供価値を最大化することができました。

現在、弊社のWebアプリケーション診断のほとんどがこの形式で実施されています。弊社の考え方に共感したり、いいとこ取りによってもたらされる価値を理解してくださったりするお客様のおかげで、ソースコード提供を断られることは全くといっていいほどありません。

また、この方針は社内のエンジニアにとっても嬉しい点が存在します。詳しくは後述します。

Shisho Cloudとの連携

プロダクト事業部からは8月にShisho Cloudが正式リリースとなり、本格的な提供が始まりました。PfS事業部のお客様にも続々とご導入をいただいております。

実はShisho Cloudはプロフェッショナルサービスと組み合わせた形で提供されることもあります。まだ公開情報としてお話しできるものがないのですが、Shisho Cloudをお客様に導入いただき、さらに弊社のエンジニアが運用方針やルール整備のコンサルティングに入ることでより包括的な課題解決を提案するケースが進行中です。

追求2. 組織・事業の成熟度の向上

採用広報におけるドラスティックな情報公開

今年、採用情報サイト(https://recruit.flatt.tech)を新たに立ち上げ、少しずつ採用候補者の方向けの情報の公開・整備を進めてきました。

中でも、会社紹介資料の中では平均給与まで公開しているほか、正社員・役員全員のプロフィールが見れるメンバー紹介ページの作成など、かなりドラスティックなレベルで情報公開を行えたのではないかと思っています。

元々弊社は社内の情報の透明性を重視しており、会社の口座残高まで社内の全員が閲覧可能です(わざわざ見に行かなくとも、週に一度Slackに残高情報が流れます)。もちろん社内と同等にすることはできないですが、採用候補者の方に対しても透明性を高めていきます。

また、本記事で大量のトピックを紹介していますが、ほぼ全てのトピックに紐づく公開ページ/資料/記事が存在していることにお気づきでしょうか。これも広報体制が非常に盤石になっていることの現れの一つです。

新卒採用枠の大幅拡大

現在、25卒の新卒採用を目標採用人数6名で進めています。これまで、同時に入社した新卒エンジニアは最大で3名だったため、弊社にとってもチャレンジングな目標といえますが、新卒入社で弊社で活躍しているメンバー達、サマーインターンやセキュリティ・キャンプ、CODE BLUEで出会った学生の皆さんの優秀さを鑑みると、若手層の厚さは確実に組織を強くすると確信しています。

自分の仕事は大規模採用に耐える組織の仕組みづくり、そして彼ら彼女らの道標となれる強力なシニアメンバーの中途採用です。25卒新卒も中途採用も全力で行っておりますので、お気軽にカジュアル面談などお申し込みください！

政府機関との連携強化

弊社メンバーにはセキュリティ・キャンプの理事や講師、複数のSecHack365卒業生が在籍していたので業界における政府機関との連携は元々存在していたのですが、加えて今年は以下のようなトピックがあり連携をより強化することができました。特に入札資格獲得には条件もあるため、組織・事業の成長を象徴する出来事でした。

• CEO井手が国立研究開発法人情報通信研究機構（NICT）ナショナルサイバートレーニングセンターのSecHack365実行委員に就任
• 井手が総務省主催の「北海道起業家甲子園2023」に登壇
• 政府系案件への入札資格を獲得

プロフェッショナル性の追求のまとめ

こちらも長々と書いてしましましたが、お伝えしたかったのは「外部へのアピールだけを頑張っているわけではなく、『顧客への価値提供』そして『価値提供を支える仕組みづくり・未来への投資』にもコミットしてきた」ということでした。

2023年のビジネス的成長とメンバーへの還元

ここまで紹介してきたように、「コミュニティへの還元」と「プロフェッショナル性の追求」の2つを原動力にPfS事業部は大きな飛躍を遂げたと感じています。

具体的には、以下のような成長がありました。

• 売上や単価など、主要KPIの伸長
• 対応できる案件の規模や種類の拡大
• (定性的ではあるものの)業界における知名度・評判

そして、ビジネス的成長、ひいてはそこから生まれる利潤があるからこそ、社内メンバーへの還元も今年は推進することができました。PfS事業部はそこで働くメンバーが何よりも大事なビジネスモデルだからこそ、魅力的な環境づくりに全力を尽くさなければいけません。

還元の具体例として全体的な昇給が挙げられますし(直近1年間における平均昇給実績は年俸で約68万円でした)、他にも業務時間内における社内勉強会の開催、BlackHatのような海外カンファレンスへの社員の派遣等技術者としてのキャリアアップ支援にも手が回り始めたと思います。

しかし、何よりも「ソースコード診断の無料付帯開始」こそが最もFlatt Securityらしいアクションだったと思います。このアクションは先ほど紹介した通り、お客様の金銭的負担を増やすことなく提供価値を最大化できていることがミソですが、実はセキュリティ診断を実施するエンジニア側にも嬉しい側面が複数あるのです。

詳しくはセキュリティエンジニア向け プロフェッショナルサービス事業案内資料 でも確認できますが、ざっくり説明すると以下の2点がポイントです。

• ブラックボックス診断には業務として「しんどい」ポイントが存在し、ソースコード診断の実施によりそれを低減できる
• 案件のたびに毎回ソースコードを読むことが技術者としての成長を支援する

セキュリティ診断は採用における競合企業も多いですが、一種の福利厚生といっても良いこの特徴は強烈な訴求ポイントになっており、この方針をきっかけに働く環境としてのFlatt Securityに興味を持ってくださる方も少なくありません。

すごく正直に言うと、今回打ち出したソースコード診断の無料付帯の方針は画期的すぎて来年も同程度のインパクトがある変化を起こせるかは自信がないのですが(笑)、引き続き既存の枠組みにとらわれずに魅力的な環境を作っていければと思います。

終わりに

「三方よし」と言う言葉があります。「売り手よし、買い手よし、世間良し」が商売において大事という教えです。

本記事の内容に照らしあわせると、以下のような対応関係になると思います。

• 売り手よし: メンバーへの還元
• 買い手よし: プロフェッショナル性の追求
• 世間よし: コミュニティへの還元

この対応関係が種々のビジネスにおける一般論になるとは思っていませんが、「技術者による、技術者のためのサービス」であれば、一定再現性のある話かもしれません。

ですが、この三方のうち弊社の弱点があるとすれば「買い手よし」だと思います。弊社の組織サイズが需要に対して追いついておらず、スケジュール面でお客様に不便を強いているケースが多々あるのです(急ぎの案件のご相談をいただいても、診断の開始が3ヶ月後になってしまう等)。

2024年はこの弱点を克服できるよう、組織を拡大していくことが目下の最重要課題です。エキサイティングで働きやすい環境は用意しました。ぜひ、本記事で紹介したような事業部の考え方に共感し、我々のチームにジョインしたいというセキュリティエンジニアの方はご連絡をいただければ幸いです。

それでは、皆様よいお年を。

▼ 採用情報はこちら

▼ カジュアル面談はこちら