(編集部註:本記事の文字数は全部で 1 万 6,236 文字あります)
いまから 9 年ほど前、日本のデジタルプラットフォーマーとも呼べるある企業グループの IT 系子会社でセキュリティを担当する技術者をインタビューする機会があった。仮にA社のB氏とする。
記者はその人物がかつて商社系セキュリティ子会社に在籍していたときに一度か二度取材して話を聞く機会を持っていたのだが、人から顔と名前を覚えられない特技を持つ記者を、果たしてその技術者の方はすっかり忘れていた。要は先方は完全に初対面の人間として記者と接していた、ということを言いたい。
なごやかな雰囲気のもとでインタビューは進行し、過不足なく話を聞いて取材が終わり、最後にエントランスで社名ロゴを背景に写真撮影などをして立ち話をした際に、A社B氏がかつて商社系セキュリティ子会社在籍時に同僚だったある男の名前を口に出すと、これまで終始おだやかな笑顔を浮かべていたその人物の顔が厳しく険しい表情に一瞬で変わった。
柔和な仮面の下に隠されていたザラザラしたハードボイルドな人柄、あるいはメッキの下の地金(じがね)が見えたような気がして職業的に記者として興奮したのを覚えている。こういうのを自在に引き出せたらそれが優れた取材者である。そのためにわざわざ失礼なことを言って積極的に怒らせる人も優秀な編集者や記者にはよくいる。
終始穏やかな、なんならヒゲがセクシーな「イケてるおじさん」のペルソナでインタビュー対応の役を全うしていた人物の心をそれほどかき乱したかつての同僚の名は松野真一。脆弱性診断やセキュリティ診断の業界では多少知られている。松野は日本のサイバーセキュリティ業界の歴史上二度、セキュリティ診断のパラダイムを変えるという仕事に深く関わった。
「松野?」と厳しい表情に豹変したA社のB氏は記者の目をまっすぐに見てそう問いかけてきた。「松野だと貴様? おまえいま松野って言ったか?」完全にそういうトーンだった。心の中のオートマチック拳銃のスライドが前後して弾倉から銃弾が薬室に送り込まれ、金属同士が互いに親密に一体となる不吉な音が聞こえたような気がした。
まだ足りない気がするので、ここから先を読む人がさらに大きく減ることを承知で書くが、娘が性犯罪被害に遭った父親が、不意打ち的に犯人の名を聞いたら、ああいう顔をするかもしれない。困惑、憤怒、侮辱、激昂、慟哭、怨嗟、無念、あらゆる種類のネガティブな感情が顔面のモーフィング動画のようにほんの一瞬だけめまぐるしく表情として浮かんで消えた。
なにしろ立ち話中である。手を伸ばせば届く距離にお互いが立っている。B氏の顔から首、肩から腕、そして腹部から腰へと彼の全身の筋肉に非常事態呼集がかけられ、いつ記者のみぞおちに正拳突きが発射されてもおかしくない張り詰めた時間が 1 秒か 2 秒流れた。10 秒にも 20 秒にも感じられる 1 秒であり 2 秒だった。
(また)やらかしてしまった。何か大いにヤバいことを言ってしまったことは明白だった。しかしこれを口に出せば必ず「オールOK」になるであろう魔法のワードを記者は持っていた。
「はい。松野さんです。松野さんが最近新しい会社を起業したようですよ」と、若干のどをこわばらせつつも、しかし口調はことさらにのんきを装ってそう言った。
元同僚が新しい会社を作ったなら、一般の社会人なら、それについて実際どう思っているかは別として、それに対する返答はたったひとつしかない。すなわち「そうなんですね。うまくいくといいですね」である。
以前こんなことがあった。記者の勤務先の会社のメディア事業部(記者が所属する部門)の営業部長であるT島さんが、外資系の大手 IT 企業(“ナショクラ” と呼ばれる格の企業で、広告営業にとっては実績になる部類のクライアント)が ScanNetSecurity 主催で n × 100 名規模のイベントを開催してくれるならいつでも n × 100 万円の予算を出しますと言ってくれたんですよ、とワクテカで記者の席までやってきたのだ。
「是非 ScanNetSecurity 主催のイベントを開催して n × 100 万円取りに行きましょうよ」と言いたげなその顔には、マークトウェインの小説が描くみずみずしく光る少年時代のような爽やかな空気が漂っていた。オラといっしょにランニング姿に麦わら帽をかぶって、青い空の白い雲めざして自転車でどこまでも駈けていこうゼ。T島さんの顔はそう語っていた。
しかしT島さんは知らない。そこで、その IT 大手が宣伝したい商品が、導入初期費用が安く見積もっても約 3,000 万円、その後も毎年 2,000 万円からのライセンス費用が発生し、なおかつそんじょそこらの技術者では運用できないような高度かつ繊細な SIEM プロダクトであり、ライセンス費用と近いお金をかけて大手町だの水天宮だのといったセキュリティ企業にマネージドサービスを依頼しなければならなくなるような末路しか待っていない、導入することイコールたいへん厄介な運用負荷が発生するものであることを。
そんなことは知らないし、それどころか何ら興味すら持っていない。もっと言うと積極的に無関心ですらあった。つまり営業部長として典型的態度だった。
導入まで早くて半年か 1 年、毎年安くても 2,000 万から 3,000 万の費用がかかるようなプロダクトを押し売りされることが火を見るよりも明らかなセキュリティセミナーを開催としたとして、はっきり言おう。標準的な ScanNetSecurity 読者なら絶対に 1 人も参加しないと。まったく想定ターゲットから外れた層なら 13 名程度申込はあるかもしれない。そもそも SIEM という言葉を知らないような 13 名である。
しかしT島さんにはもちろんそうは見えない。ScanNetSecurity は多いときは月間 40 万ページビュー、ユニークユーザーが 20 万人もいるのだから、100 人や 200 人集めるくらい楽勝だとトムソーヤの澄んだ瞳で信じきっている。営業部長として満点のマインドセットだ。
その話は結局丁重にお断りしたのだが、驚くべきことにT島部長は記者から「傷つけられた」表情をしていた。権力勾配的には向こうの方が上であるにも関わらず。ジャン・リュック・ゴダール監督の名作映画に「ピエロ」の名を冠した作品があるが、これ以降記者は「ゴダールの名作映画の作品名から “ピエロ” を取った人」と社内で正式認定されることになる。本稿執筆時点でそれは変わっていない。
長い前置きになったがこのように利害が一致しなかったとしても、T島部長が営業部長としては同僚や部下思いのナイスガイであるという事実は揺るがないし、こういうしこりが互いの間に残り続けて終生永遠に消えないだろうが、たとえば記者がどこかに転職でもして、そこで誰かから「たしかあなたのかつての同僚のT島さんが起業独立したらしいですよ」などとある日聞かされたとしたら、間違いなくこう言うだろう。「そうなんですね。うまくいくといいですね」と。さらにそこに「それは素晴らしい」とか「広告営業の世界で役職のある人で、あんなにジェントルで部下に思いやりがある人はあまり会ったことがない」とすら付け加えるかもしれない。そしてこれは本心でもある。
しかしである。かつての同僚の近況を聞いた後、その人物A社のB氏は数秒間絶句すると、鋭い視線をアイコンタクトして外さないまま、首を心なしか右に傾けることで刃物のような視線の角度をさらに鋭利にした。それは回転させながらナイフを人体に深く刺し込もうとする動作を想起させた。そして、次のように怒気をこめて言い放った。
「あんの野郎・・・!」と。
「・・・」に入る言葉が何だったのか。記者はその後 9 年間ずっと考え続けている。
なにせ「あの野郎」ではなく「あんの野郎」なのだ。もちろん「野郎(YAROU)」の「ROU」は巻舌だった。たった今起こったことのように記憶がよみがえるし一生消えない。
「・・・」に入る言葉は、あくまで本稿執筆時点での仮の解答に過ぎないが、
「あんの野郎 生きていたのか」
「あんの野郎 殺してやる」
口調からこのいずれかであったというほぼ確信に近い思いを 9 年間を経て記者はやがて抱くようになる。なぜなら、そうだとしたら記者自身もその思いに共感できること大だからだ。
そのインタビューにさかのぼること 2 年か 3 年ぐらい前、松野真一は当時 EC サイトの構築や支援を行う企業で取締役を務めており、「ScanNetSecurity さんとの協業についてお話をしたい」という甘言を弄して(かんげんをろうして)記者の前に現れた。A社B氏とかつて同僚だった商社系セキュリティ子会社はとっくに去った後だった。
しかし「協業」とは名ばかりの押し込み強盗のような訪問だったことを思い出す。松野真一がのたまった文言は下記の通り。曰く「松野の会社の顧客である EC サイトの管理者などをメンバーとした、セキュリティを軸にしたコミュニティを作りたいという素晴らしい志を私は持っている。ついてはそのコミュニティに対するコンテンツ提供として ScanNetSecurity が配信している情報のうち、会員限定で提供している記事をすべて RSS で提供していただきたい。お支払いする対価はコミュニティが軌道に乗った時点でおいおい相談させていただく。ScanNetSecurity にとってとても価値のある提案であることは理解いただけると思う」
2025 年ドナルドトランプのような国家元首が存在している時代となっては、もはやそれほど読者にインパクトはないかもしれないが、約 10 年近く前にこの提案を聞いた記者は、まるで飲食店に来て「自分の友達全員にただで飯を食わせてほしい。代金は友達が出世したらお支払いする可能性もある。ところで出していただくメニューだが、このレストランの中で最高価格帯のものだけをいただく」と言っているのと同様大変なショックを受けたことを覚えている。
最初はやんわりと遠まわしに断っていたのだが(当たり前だろ バーカ!)、腰を落ち着けて一向に帰ろうとしない。妥協策として帰ってほしい一心で、会員限定の記事ではなく一般公開している記事の提供なら検討できると言ってみたがむしろ火に油で、「ScanNetSecurity さんにとって最も重要なのは会員限定記事だと思っています。ぜひ会員限定記事をご提供ください。このレストランにとって最も大事なのはフカヒレとキャビアと 16 世紀のワインだと思っています。フカヒレとキャビアと 16 世紀のワインを無料でいただければと思います」と単に語調が強くなっただけだった。
柳腰で対応は続けていたものの、記者の頭の中では冷静に「これは110番するしかないな」と考え始めていた。有料コンテンツをただでよこせと言っている時点で商法に抵触する。またこれだけ居座っているのだからすでに東京都の迷惑行為防止条例などにも関わってくる可能性が十分にあった。だからここは理由をつけて部屋を出て110番しよう、そう心の中ではっきり決めた瞬間のことだった。
急に黙って薄く微笑み、まるで潮が引くように一瞬で松野が退却モードに変わるのがわかった。こういう輩(やから)は超能力のように自らの引き際を知ることができる。だからこそのさばりつづけることができるのだ。このときの松野の寂しそうな表情を忘れない。サイコパスと直観した。サイコパスは人の気持ちが理解できないのではない。むしろ共感能力は常人より高い場合すらあって、だからこそパワーを子や配偶者、同僚や組織、社会等に対して行使できる。人の気持ちを理解はするが興味の対象が自分なのでそれを気にかけるすべを知らないだけなのである。
記者がこれまでの人生で、猛烈な押し売りや営業を受けて警察を呼ぼうとはっきり決心したのは 2000 年代直前に東京に出てきて、高井戸のコインランドリーで怒号を上げ続ける讀賣新聞の拡張団員に新聞の契約をさせられそうになったときと、2020 年にコロナ禍で引っ越しをした際に家に呼んだ引越のサカイの営業マンが 18 時から 21 時まで居座ったときと、「有料会員向けコンテンツを無料提供しろマン」こと松野真一、生涯たったこの 3 人だけである。
しかし後になってから記者は感謝の念を持つようになっていく。
感謝とは、端的に言うなら、ScanNetSecurity というメディアの保有する様々な資産のうち、最も大事なものは何なのかという問いかけを長く消えずに結果的に記者の胸の中に残したことである。
「やつはとんでもないものを盗んでいきました」という言葉があるが、盗まれそうになったことでもっとも大事な資産が何かに気づくことができた。それも知識として知ったのではなく、松野のような強盗と対峙した恐怖体験として体得することができた。いまとなっては( 1 ミリの 1 兆分の 1 の 1 兆分の 1 程度ではあるが)松野に強い感謝の念を持っている。
1998 年の創刊から長く運用し続けているというブランドも ScanNetSecurity の資産だろうし、有料会員制をとっている当時としては珍しい Web 媒体というのも資産である。尖ったセキュリティ企業がスポンサーとして入っているのも、Yahoo! Japan 他多数のニュース媒体に記事を転載しているのもアセットにあたるだろう。
しかし松野という強盗が盗もうとしたのは有料会員向けの会員限定記事だけだった。高価なスリピーススーツにソフト帽をかぶりマシンガンを構えたイメージ上の強盗松野は、背筋を伸ばしてツカツカと優雅に、まっすぐに会員限定記事という名の金庫に向かって最短距離で歩いた。長い目で見てこの気づきは間違いなく媒体運営にプラスの効果をもたらしたことは否定できない。
きっと「松野? あんのやろう・・・」の紳士も、不幸にも人生の中で松野真一の同僚となってしまったことで、きっと自分にとって最も大事なものを、スカートの中に手を突っ込まれるがごとき、倫理や人道に抵触しかねない許すべからざる方法で盗まれそうになり、それを必死で守ったご経験をお持ちであったに違いないのではと思う。それは技術者としての彼のアイデンティティそのものであったに違いない。初対面の(と彼は認識している)記者に「あんの野郎」などというイカしたセリフを吐いてしまったのは社会人として正気の沙汰でないが、隠しきれずにこぼれてしまったイノセントな本心だと感じた。
松野真一は大手 SIer を経て、いろいろ気まずいことが起こっていた時期にB氏と同僚となる商社系セキュリティ子会社に入社し、本社から事業整理の目的で派遣されていた飯沼勇生と行動をともにし、脆弱性診断サービスを軸に事業を立て直した功労者の一人である。
飯沼松野チームの計画のもと、業界の鬼才異才を次々とリクルーティングした。その中にはのちに名和利男になる前の名和利男や、のちに福森大喜になる前の福森大喜などがいた。
飯沼と松野らが取った戦略は、今となっては当たり前のやり方に聞こえてしまうのだが、当時は誰からも一笑に付され小馬鹿にされるものだった。
当時の脆弱性診断とは、企業が AppScan などの診断ツールのライセンスを契約して、訓練を受けた技術者がツールを走らせてその結果をレポートする。それ以上のものでもそれ以下のものでもないサービスだった。それを彼らは「ツールだけで攻撃のバリエーションを網羅することは不可能であり、経験とセンスを持つ選ばれしハッカー的な技術者が手動で攻撃し、実施する診断でなければ意味がない」というマニフェストをある日唐突に提唱した。
最初の数年間、すべての顧客にこう言われたそうだ。「ツールを使わないで人間がやって漏れが出ないの? セキュリティ診断を人間がやるなんてホントに大丈夫? 誰か依頼する人いるの?」と。
その懸念のカウンターとして彼らが黒船的に持ち込んだのが、黒船ならぬ Black Hat USA の母体となったイベント、DEF CON で毎年開催されているセキュリティ技術者のセキュリティ技術競技会 DEF CON CTF での参加成績だった。
DEF CON CTF はもちろん、とてつもない高いハードルであり、セキュリティ技術者をアスリートに例えるならオリンピックにも該当するかもしれない。そこで上位入賞したなら間違いなく技術者としてのレベルとセンスは世界有数である。ここまでは正しい。しかし、そこで必要とされた想像力や集中力が、網羅性なども重視する日本の企業が求める脆弱性診断に必要な能力と、完全な対応関係にあるのかというと、必ずしもそうとは言えないはずだったはずだ。
しかし、当時のユーザー企業は、その対応の詳細の検証をしないまま、DEF CON CTF 本選に行くような優れた技術者がいるなら イコール 優れた診断サービスを提供する会社であろう、という元々は飯沼がビジネス的野心を多分にこめて仕込んだ、フェイクニュースとまでは言えないものの仮説に過ぎない考えを受用してしまった。
それだけではない。CTF そのものが持つ研鑽し高め合う競技性がもともと超絶面白かったことから、非常に多くの技術者がこの価値観に部分的にせよ賛同した。やがてユーザー企業がみごとに染まっていく事態を見て取ったセキュリティ企業も続々とこの世界観に乗っかった。
かくして「良い診断」というものの定義が気づいたらいつの間にかすっかり別物に交換されていた。いわばそれまでの診断を盗んだのである。
このあたりで断っておくと、何も飯沼勇生なり松野真一がたった 2 人かそこらで診断の定義を天動説から地動説に塗り替えた偉人的人物であったなどと言う意図は必ずしもない。両名とも偉人とは真逆の人物だ。だからこれは、たとえば阿部慎司が NTTコミュニケーションズで「セキュリティ機器のお守りをする SOC」から「分析して予兆する SOC」を先駆的に始めたように、同時多発的に起こったことだろう。
2025 年現在、セキュリティ企業とそのユーザー企業は、度合はそれぞれであれ松野らが作った天ではなく地球が動くという価値観の世界にいる。すなわち、診断サービスの優劣は匠の職人であるホワイトハッカーを何人擁しているかで決まり、そこでいう優れたホワイトハッカーとは(1)DEF CON なり SECON なりの CTF の成績、(2)Google や Meta のような大手が開催するバグバウンティプログラムの報告実績や Pwn2Own などの賞金獲得額、(3)JVN などへの脆弱性報告実績、等々によってある程度定量的に評価することができる、という考え方だ。これでいいのだ。正しい時代がやってきた。国分裕的な最高のセンスと技術そして倫理感をあわせ持つホワイトハッカーが、診断やペンテストサービス業界を牽引していく。一件落着。
とは、残念ながらならなかった。
極論するとセキュリティ対策とは、ある時期までは金のある一部の企業の道楽的なものだった(極論)。しかし、そういった状況は、サイバーセキュリティ経営ガイドラインが策定され、毎日のように不正アクセスやランサムウェア被害が報じられるようになったことで大きく変化していく。すなわちセキュリティ診断の供給が完全にパンクする勢いで需要が爆増したのである。
チンケな会社から診断依頼が来ると見積額を 2 倍にして婉曲的に断ることで、かえって少なくないケースで相手を怒らせることで広く知られた会社があるが、聞いた噂では同社は 2025 年現在、恐るべきことに東証プライム上場企業からの問い合わせにすら同様に断っているという。決して肩を持つわけではないが物理的に供給が追いつかなくなっているのではと思われる。経産省が望む通りに既存産業の DX が進んだら、いずれ歯医者や美容院と同じくらいの数セキュリティ企業が日本に存在しないと成り立たないのではあるまいか。
もし教育や訓練などによって、国分裕的天才技術者を毎年 2,000 人も 3,000 人も育成できるのならいいのだが、天才は育成して育つものではない。キャンプは王道の教育活動で素晴らしい人材育成の成果を上げてきたが、佐々木良一先生がキャンプ発足当時の記者会見で「トップガン」といみじくも語った通り、優等生の中の優等生を生み出すタイプの人材育成であり、規模としては限定的であることに疑いがない。
この状況で松野真一が行ったギャンブルは、もう一度診断のパラダイムをひっくり返すことだった。松野が描いた青写真は次の通り。
2000 年代前半に、それまで熟練の職人が時間と手間をかけて行っていた携帯電話の金型開発の「標準化(粗く言うと誰でもできるようにすること)」に成功した企業が持つ標準化のノウハウを、(少々雑な言い方になるが)DX 的にアップデートして、ソフトウェアテストの業界にそれを適用して大躍進していた企業を、ある日松野は発見した。
匠の職人の仕事とされ属人的ノウハウの集積とも言われた携帯の金型開発でも、そしてソフトウェアテストでもその業務を標準化できたのなら、脆弱性診断業務でもそれは成功する可能性が高い、そう考えた松野はその可能性に 100 を投じる。ソフトウェアテスト企業の子会社として起業し代表に就任した。
「たとえ会社が大成功したとしても大して自分に実入りはない」と以前松野が取材で語った。どこぞの強欲な新自由主義経済の勝ち組野郎どもの VC から出資を受けた方が何倍も、なんなら 10 倍も経済的に松野は潤うのだが、それでは診断の価値観をリブートするという意味がなくなる。そう考えた。
あまり細かくここでは書かないが、診断の標準化とは、優秀な診断員が診断作業のときに手を動かしたり頭を動かすこと全てを(ほんとに全てを)記述して分類を行い、いわばデジタルツイン的な精緻な作業体系をプラットフォーム上に再構築することである。それら作業リストは OWASP、NIST、PCI DSS などと対照比較され、それぞれの基準を満たす整理も同時に行われる。
ただ丁寧に作ったマニュアルじゃないかと思われそうだが「手を動かしたり頭を動かすこと全て」というところがポイントだ。つまりセキュリティの専門家でなくても一定の事務処理能力なり判断能力のある人(そうであるかどうかは採用時にかなりしっかりした Web ベースの試験を受けさせ判断する)であれば、誰でも研修を経れば脆弱性診断ができてしまうところまで判断なり作業を分解していく。ここに標準化の真骨頂がある。取材していて印象的だった言葉は「イエスかノーかしかないところまで作業や判断を細かく分ける」というものである。
こうして、一定の訓練さえすれば診断経験も理系教育もプログラミング教育もゼロだった人たちが、なんならパソコンの操作すらそれほど習熟していなかった人たちでさえ、OWASP 基準を満たす網羅的診断業務を、かつてなかった再現性で(チームや作業者による精度や工数の差が恐ろしく小さい)行えるところまで標準化は仕上がっていた。
記者は、単純にこの松野の試みを面白いと思って、天動説が地動説に変わるのを目撃するかのような思いで見ていたのだが、診断業界に携わる人にとっては必ずしもそうではなかった。
松野の起業直後頃、この松野の標準化の挑戦を、これもかつての松野の同僚である草場英仁に話をしたことがあった。ちなみに草場による松野評は「松野は TOEIC 200 点くらいなのに、いざ海外に行くと現地のエンジニアとすぐ無茶苦茶仲良くなれるのが不思議で仕方がない」である。どのように標準化が進められ、どのように人材不足の課題が解決されるかについて草場に手短に説明したが、道に落ちた石を見るような目でずっと話を聞いていた草場が最後に言った言葉は「それの何が面白いんですか?」であった。上澄み数%に位置する技術者である草場にとってごく自然な反応であったと思う。
A社のBさん。もっといい話があります。それは、起業直後に標準化のめどがたったある日、松野はとある高いクオリティで定評がある診断会社を訪ね、提携の話を進めようとしたことがあったという。しかし、現場技術者からの猛烈な反発に遭い、1 時間後には血だらけになって服もボロボロ、何本か骨が折れ、歯もいくつか失った状態になって、捨てる予定の毛布にくるまれて、ビルの外に放り出されていたという(編集部註:物理的暴力を受けた事実はありません。あくまですさまじい反発を受けたことのイメージであり比喩的表現です)。
「とある診断会社」の名はもちろん出さないが、表参道の路面店的ブランドの会社だと思っていい。要は記者がよく記事に書く水天宮大手町八重洲丸の内三田平河町海岸等々のどこかか、またはそれに近い企業である。
松野が提案したスキームは、網羅性担保のための単純作業のくり返しなど、人件費の高い天才エンジニアに任せるのは経済効率性の低い作業部分を松野の標準化チームが受託して作業を行い、天才エンジニアには天才にしかできない領域に専念してもらう、というものだった。
診断企業の取締役クラスは大いに乗り気で、トライアル的に診断が行われ、松野とハイブランド企業の天才肌の診断員たちとの会合が持たれたのだが、そこで松野は現場の職人たちにフルボッコされることになる(そりゃそうなるだろう)。標準化によってできることや、実現可能なスケールの規模がもたらす経済性などには全く目を向けず、ひたすら些細なミスや不備を、攻撃的に執拗に徹底的に上げつらい吊し上げるちょっとしたグアンタナモ的会議が進行したという。
さながらその様は、まるで長男の妻が炊いた米粒の一つ一つに難癖をつける長男の母のような緻密な糾弾だったに違いない。そこにいるのは技術的マッチョの世界で上位数%として成功して尊敬されている者ばかり。彼らの目に松野は、既存の価値観を破壊するテロリストにもクーデター指導者にも映ったはずである。
だが「取締役クラスは乗り気であった」と書いた通り、松野が持ち出した新しい地動説、すなわち「属人性が排除され作業者によるばらつきがなく」「診断実施前に 300 から 400 項目にわたる診断項目を事前に提出し、その項目数がたったひとつも増えも減りもしない診断を行い」「ある程度コストパフォーマンスが良く(決して安いというわけではない)」「診断員採用の課題をクリアしているので受注できる診断量がスケールできる」などなどは、世のユーザー企業、特にそれこそハイブランド企業の診断サービスを年ごとに(安全および心理的安心のために)替えて使っていたようなヘビーユーザーにこそ大いに好感され、積極的に受け入れられた。
それだけではない。DX でデジタル資産が増えて、サプライチェーンの弱い鎖への攻撃増加などによって、2025 年現在、CTF 的世界観の頂点に君臨していたはずの水天宮大手町三田八重洲平河町丸の内海岸のような診断企業ですらも、多かれ少なかれたとえば AeyeScan のような気の利いた先進的なベンチャーの技術を活用して、量と網羅性とばらつきのない再現性の高い診断サービスの提供を価値としてホームページに掲げるような時代になった。
国分裕的天才が尊敬され影響力を持つこと自体はこれまで通り揺るぎないが、そこにもう一つ新たな軸となる価値観を持ち込んだのが松野真一たった一人の功績などと言うつもりはサラサラないが、またしてもそれを言い出した最初期の人物であり、それを先進的にかつ組織的に実施しビジネスとしても成立することをみごとに実証した人間であることは確かだ。
だがここで考えてみてほしい。もとはといえば松野や飯沼勇生こそが「ツール診断はクールではなくハッカー診断こそクール」という世界観を作りあげた。それを標準化による再現性とスケールという新しい価値観へとふたたび、つまり二度塗り替えたことになる。診断を二度盗んだともいえる。もっと簡単に言うなら「オマエが言うか」これに尽きる。
新しい診断の世界観に賛同した企業達、すなわち松野真一の会社の顧客等を取材する機会が何度かあった。ある日、松野に同行して、ユーザー企業ではなかったはずだが大学の学部長を取材する企画があり、徳丸さん的重鎮でも全く緊張することのない記者に似合わず少々緊張している様子を見て取った松野が言った言葉は今も忘れられない。
「実はぼく、今年になって 3 人に告白して 3 人ともフラれたんですよ。どう考えるといいと思いますか」記者の目を正面から見ていた。まるで幕末の志士が日本の未来を語るようなまっすぐな表情だった。
「松野さん、それはきっとその女性が皆、人を見る目があったということではないでしょうか」などと本音を吐くことはしなかったが、取材直前の緊張がかなりほぐれたことは確かであった。
診断どころか、PC にさわったこともそれほどないような、完全「セキュリティ真水人材」を採用した松野の会社とその姉妹会社が雇用した診断員の人数はやがて 100 人を、そして 200 人を超えていった。
まちがいなく今後、LAC、GSX、BBSec、KCCS(当時)などの品質と量において大手とされる診断会社に追いつき追い越せというところに迫っていた 2024 年 12 月、松野は取締役会で代表取締役に再任されず、かといって相談役や顧問といった在任中の業績に対する敬意を示す象徴的役職に四半期程度つけるといったセレモニーもなく、まるで床に突然穴が空いて奈落に落ちたかのごとく唐突に会社を去った。
一体これは何なのだろうと当時不思議に思ったものだ。何かをやらかした可能性もある。きっとA社のB氏がこの情報を得ていたら一週間くらいは飯ウマだったと推定する。
突然代表を去った経緯を照会してはみたが「話せることはない」という実質的取材拒否であり、どうやらほんとうに知らないという感触を得た。やがて松野が立ち上げ育てた会社からはキーパーソン的スタッフが 1 人減り 2 人減った。
しかし一方で、個性派路線からは変わってしまったものの、企業としての価値はむしろ増しているのではないかとも感じていた。なんなら松野真一はとっくの昔に消えていても会社は十分伸びていたかもしれない。これは検証してみるに値する仮説だ。もちろん本気で言っている。
たとえばである。先に挙げたハイブランドの診断企業と提携しようとして、現場の師範代的な腕に覚えのある技術者に米粒一つ一つに至るまで難癖をつけられる惨事を招いたことだって「松野が行って説明したから」という要因が超大きいはずだ。他の役員が訪問していたら、コンビニ袋を頭にかぶせられてボロボロになるまで殴られ、エントランスの外へ放り出されるほどの悲惨な結末にはならなかった可能性が高い(編集部註:物理的暴力を受けた事実はありません。たいへんな反発と糾弾を受けたことのイメージであり比喩的表現です)。
つまり松野だから感情を逆なでしたのであり、松野だから匠の技術者たちは信用しなかった。もし松野が世界平和を主張したらそれすら拒否された可能性も否定できない。
それ以前に、そもそも標準化のために、福森大喜ほかとチームを組んで DEF CON CTF に立ち向かった日々に蓄積した、あらゆる攻撃テクニックの基礎から最良の上澄みまで、それはすなわち技術者としての自身の市場価値を生み出すもの全ての棚卸を行い、標準化プラットフォームにすべて惜しみなく投げ捨て社会に共有した時点で、松野の仕事の半分以上はすでに終わっていたような気もする。空っぽの男。愛犬家連続殺人事件用語でいえば、自分自身によって「透明にされて」しまった人間だった。
今年 2025 年 3 月 14 日、渋谷の IDaaS 企業のイベント取材が終わったその足で記者は約 2 年ぶりに松野真一と渋谷で会って取材する機会を得た。昨年社長に再任されなかったのはセクハラなのかパワハラなのか業務上横領なのか特別背任なのか糾弾し問いただす趣旨のインタビューである。
指定されたのは Shibuya Sakura Stage のカフェ。「どうもどうも。ご無沙汰してます!」といつもの軽いノリで松野は取材会場となったエクセルシオールカフェに現れた。おそらく告白してフラれる記録を順調に更新しているものと推察する。
松野は競走馬を保有する馬主(うまぬし)でもある。茂岩兄貴なみに筋肉質で細身なのは自ら騎乗するからだ。今もジョッキーとしてレースに出るのだろう、贅肉がなく、さほど小さい顔でもないのだが、モデルのような外見上のカリスマが漂う。上から下までユニクロしか着ないのだが、Flatt の井手康貴と同様、センスが良いのでくやしいがハッとする印象を残す。
松野によれば、契約上 2 年間はセキュリティの事業を起業したり役員に就いたり等はできないのだが、松野が代表を外れたと知れ渡った当日に複数の会社から仕事の打診があったという。考えてみると松野はセキュリティの玄人(と人を見る目がある女性)以外からはモテモテなのだ。社員にも好かれていた。
今はセキュリティではない企業と、とある行政機関で、デジタルサービスの設計や企画などの手伝いをしているということで、むしろ以前より経営者としてのストレスなどが減ったせいか元気そうですらあった。
いろいろ質問を向けてはみたが、やはり契約上語れないことは語れない。それは取材前にわかっていたこと。だが、個々の質問への反応や、そのときの表情、あるいは何を否定して、何を否定しなかったかといった、あくまで間接的な傍証を組み合わせて記者が最終的に推定した仮説は次の通りである。
セクハラ、モラハラという線はおそらくない。いくつかそういう事例に間接的に触れたが、セクハラの場合は公表はしなくても社内にだけはある程度情報をリークするはずだ。部下の人望があった社長が急に予告なく消えたりしたら社内で社会不安が起きるからである。
松野の会社のスタッフを何人か取材してきたが、日頃から松野は古参の社員から気安く「サイコパス」と呼ばれて親しまれる存在でありそういう社風でもあったから、モラハラというのも想像しにくい。基本モラハラとは、上から降ってくる過剰な数値目標等を抱える器のない管理職が吐瀉物のように部下に対してぶちまけるから起きるのであって、大ブレイクはしていなかったものの充分に成長し儲かっていた事業だったからこの可能性も低い。
もし横領なら、親が上場企業でもあるので、それこそ以前本誌で記事にしたバリオセキュアのように、なんならどんな手口でいくら横領していたのか等の情報が公表されることもある。公開しなくてもこれも社内で限定的にせよリークされるだろう。
何らかの理由で、親会社の総帥の逆鱗に触れて更迭されたというのも、ありそうでなさそうな仮説である。診断を標準化させて、人材採用の課題をクリアして、スケールする診断サービスを作るというのは松野のイノベーションである。それに、まともな企業経営者なら誰しも喉から手が出るほど欲しい成長領域のサイバーセキュリティ事業会社をグループにもたらしてくれた功績もある。まだ上場できていないところは減点ポイントにはもちろんなるが、松野の嗅覚で立ち上げここまで育てたのに急に更迭などしたら、これからの M&A や幹部人材採用に少なからず影響がある可能性もある。従ってこの可能性も低い。
何よりも、親会社の総帥は松野真一のような銀行強盗マインドを持ちきっちり成果も上げる輩(やから)に対して多少なりとも My Men とまではいかずともシンパシーを抱いているのではないかとすら思う。これは想像に過ぎないが。
筋トレに明け暮れて、肌つやも良かったから、病気やあるいは鬱などの健康問題も除外できる。そもそもサイコパスは容易に鬱になどならないはずだ。
また、松野の会社と姉妹関係にあった二つの会社のうち、一つは社長はそのまま留任し、もう一社では(たしか)松野がセキュリティ企業から引き抜いて役員に就任させた人物が代表に昇格もしている。松野と関わる一族郎党全員の首をはねる的なことは全く行われていない。
誠にぼんやりした見立てで申し訳ないが、おそらくは深夜に田畑を訪れて水路を自分に有利なように地道にずらしていくような、そういう鎌倉時代や室町時代の武士のこすっからい努力的な政治的な動きに何らか巻き込まれた結果、再任されなかったのではないか、これが最後まで残った仮説である。かといって新代表がそういう動きをしたとはほぼ見えない。
松野はゴルフをしたりキャストがいるような店で接待をしたりされたりといった広義の政治的活動にこれまであまり力を入れてこなかった。飲むのはアルコールではなく高価なプロテインだけ。趣味は筋トレと自分であり興味があるのも筋肉と自分。そんな領主がある日気づいたら、自分の田畑も家屋敷も他人名義に書き換えられていて驚いた、そんなコミカルな真相なのかもしれない。
もしこの仮説が正しいとすると「叩いても何も出なかった」という信じがたい仮説の仮説が浮かび上がる。鎌倉時代や室町時代の侍のようなこすっからい政治的な動きが本当にあったのなら、松野の素行を叩きに叩きまくった誰かがいたはずだろうからだ。
松野がセキュリティ領域の会社を作ったりすることができない 2 年間は、長い期間にも思えるが意外にそれはあっという間だろう。診断を二度盗んだ松野真一が契約の縛りから解かれたときどんな仕事に着手するのかは、引き続き記者として興味がある。
「またセキュリティの業界で新しいことを試してみたい。もう具体的なアイデアはある」取材で松野はハッキリそう語った。今度はどんな既存の世界観をアップデートしリブートするのか。少なくない人にとってそれは、特に既存の価値観や利権構造にいる者にとっては、迷惑行為以外の何ものでもなく、テロともクーデターとも映るかもしれない。
最後に。A社B氏が聞いたら最高にメシウマのとっておきエピソードで本稿を終えよう。
診断標準化の会社を起業して軌道に乗った頃だが、松野は騎手として競馬に出走し、走行中に落馬して首の骨を折るという事故に遭った。生きている方が不思議な事故だった。サラブレッドが何頭も疾走するダートに転がり落ちて、頸椎骨折だけで済んだのが奇跡だし、後遺症なく全快したのも奇跡だ。まるでニキ・ラウダや北野武のようなエピソードである。A社のB氏はきっとこう言うだろう。「誰かちゃんと頭を潰しておけよ」
しかも奇跡的に生命を取り留めただけならまだしも、なんと事故に遭った翌日にスケジューリングされていたクライアントとの打ち合わせをリスケもせずに(誰か止めろ!)、望月峯太郎『ドラゴンヘッド』の生活指導教員のようなギブス姿で客先に現れ、満面の笑顔を振りまきながら、大いに昨日起こった自分の大怪我をネタにしつつ、商談を有利に進めもしたという。
自分の持つすべての診断あるいは攻撃テクニックをデジタルツインとして移植して空っぽになった時点で松野の社会での、あるいは人生での仕事は一度終わったのだと思う。しかしまだ生きてこの世でやる仕事があるから生かされた。なぜ「あんの野郎」ならぬこんな奴が生き残ったのか。本誌は今後も追っていきたい。
