GMO Developers Day 2023｜【KEYNOTE】世界1位のホワイトハッカーが集まる「エンジニアの楽園」をどう作ってきたのか？ / 開発者向けブログ・イベント

GMOインターネットグループでは、2023年12月5日（火）～6日（水）の2日間、エンジニア・クリエイター向けカンファレンス「GMO Developers Day 2023」をオンライン配信（YouTube Live）にて開催しました。

開催4回目となる今年は「Re imagination -新たな可能性の追求」をコンセプトに、「AI（人工知能）」「セキュリティ」「エンジニア」などの技術とクリエイティブによる挑戦について、全32セッションをお届けしました。本記事ではGMO Developers Day 2023のDAY1にて開催された、「世界1位のホワイトハッカーが集まる「エンジニアの楽園」をどう作ってきたのか？」をご紹介します。

登壇者

牧田誠
GMOサイバーセキュリティ byイエラエ株式会社代表取締役
GMOインターネットグループ CISO（最高情報セキュリティ責任者）/
グループセキュリティ監査室技術・セキュリティ担当

GMOサイバーセキュリティbyイエラエの代表取締役である牧田誠が、ハッキングコンテストで「世界1位」の称号を手にした自社チームの組織作りを解説しました。

評価されない尖った人たち

今回のセッションのテーマについて牧田は、「エンジニアやクリエイターが、正しく世界で評価されているのか、才能のあるエンジニアやクリエイターが評価される世界はどんなに素晴らしいか、深掘りをしていきたい」と話します。

牧田は、この「正しく評価される」ことを10年以上かけて追い求めていたと言います。牧田がイエラエセキュリティを創業した10年前、世の中では天才ハッカーだと呼ばれるようなセキュリティエンジニアでも評価が極めて低かったといいます。

給与は新卒レベル、「もしくはアルバイトかと思うぐらい低かった」（牧田）というレベルで、世界トップレベルの力量があるにもかかわらず裁量も少なく、そのわりに業務量だけが多かったそうです。

そんな「ブラック」な状況で潰れていった人たちも見てきたという牧田。そうした状況を変えようと、牧田は創業したのだといいます。

ただ、そんな天才ハッカーたちは「朝が弱かった」（牧田）。天才ゆえの集中力で、夜に寝るのも忘れて研究などに没頭してしまって夜型になってしまったことで朝に出社できず、満員電車にも乗りたがらず、スーツを着て客先にも行きたがらない。そういったことで評価が下がってしまっていたというのがハッカーたち。

しかし、その成果は期待値を超えて、「感動するレベルの仕事をする」（同）というのがそうした人たちだったそうです。「尖っているところはものすごい尖っている」という人たちで、当時の会社のルールでは評価されづらかったため、世界トップレベルの技術を持っていても新卒並みの給与しかもらえなかったのだと牧田はいいます。

しかし、「時代を作ってきたのはこうした尖った人たち」だと牧田は強調。例として、大阪・関西万博での飛行が予定されている「空飛ぶクルマ」を紹介。実際に実証実験を見たという

牧田は、クルマが空と飛ぶという姿に感動したそうです。

空飛ぶクルマ自体はソフトウェア制御でクラウドからも接続ができる設計ですが、制御がすべてコンピュータ経由で、サイバー攻撃によって脆弱性を突かれて墜落してしまうような、人命に関わる攻撃も起こりかねないわけです。そうすると事業の継続性も危ぶまれます。

こうしたサイバー攻撃から人命や事業を守れるのは「尖った人たち」と牧田はいいます。攻撃をする側の、いわゆるクラッカーも尖っている人たちであり、対抗するためには同様に尖った人が必要というのが牧田の考えです。

給料、休み、裁量

そんな人たちが評価されていなかった状況を変えようとした牧田は、起業して3つのことをしたといいます。それは、シンプルに給料を高くし、休みを増やし、裁量も増やすということです。

給料は、「単純にその成果で評価すること」だと牧田はいいます。期待値を超えて成果を出す人たちの成果を評価し、定量的に報酬を支払うことにすれば、自然と給料は上がります。

企業の評価制度は減点方式になりがちですが、朝起きられない、ミスをしたなどの弱みではなく強みを評価し、できた成果に着目すること。しかも「大事だと思うのは、短期ではなく長期で評価をすること」と牧田は指摘します。

人は常に同じパフォーマンスを発揮できるわけではないため、短期間の成果だけを見ると見誤りかねないわけです。1週間、1カ月、1時間と、短時間に成果を出さなかったとしても、1年間トータルの成果で見たら調子のいい3カ月で1年分以上の仕事をしていた、ということもありえます。

そうして評価して給与を上げていったことで、現在の社員の平均年収は860万円になり、「最終目標は世界一高い給与」と牧田。まだそこには至っていませんが、「まずは日本一を目指す」（同）そうです。「プロなのだから、給料を高くするのは、非常に大事なポイントだと考えています」（同）。

ちなみに、同社はコロナ禍の前からフルリモート、フルフレックスの制度を導入していました。これも、「成果さえ出せば働く場所も時間も関係ない」（同）という考えによるものです。

2番目の「休みを増やした」という点は、途中入社の多いイエラエでしたが、一般的には入社後半年で有給休暇が10日付与されます。しかし、イエラエの場合は途中入社でも子供の病気で入社後すぐに休まなければならないことはあるため、入社当日から15日間の有給休暇を設定しました。これはイエラエ創業時から決まっていたそうです。

さらに10連休を年間3回以上確保。年末年始は有給休暇を組み合わせることで17連休というパターンもあるそうです。「去年、一番長かった人は24連休がありました」と牧田。

さらに牧田は「残業はゼロが理想」と指摘。「マイナスでもいいと思っている」とまで言い切ります。イエラエはフルフレックスのため、残業時間マイナス=勤務時間が規定に届かないということになり、給料が減ってしまいます。ただ、人間にはバイオリズムのような好不調の波があるため、仕事のパフォーマンスが出せないようなら「この期間は自分の勉強や個人的な研究の時間にする」といった具合にしても構わないそうです。

好調になったらまた戻って成果を出せば問題ない、というのが牧田の考えです。なぜなら「エンジニアには成長するためには時間が必要」だと牧田はいいます。毎日終電まで残業していたら、書籍を読んで勉強したり、新しい脆弱性をテストしてみたり、新技術に触れるといった余裕がなくなってしまうからだとしています。

3つ目の「裁量を増やした」という点は、「原則として、エンジニアがやりたいと言ったことに関して、まずはノーと言わない」という主義なのだといいます。継続するかどうかは成果を見て判断するそうです。

「エンジニアの転職理由はキャリアアップ、スキルアップ、給与、労働時間」（同）。そうした中で、やりたいことが社内でチャレンジできて、給与も上がり、ワーク・ライフ・バランスが取れるような会社では転職の必要がなくなるわけです。

エンジニアのやりたいことがビジネスにも繋がります。一例として牧田は、6～7年前に自動運転に興味を持ったエンジニアがいたのでテスラを購入し、「みんなで分解して、半田付けもして分析した」（同）経験を紹介します。

当時、自動運転だけでなく車に関する事業が何もなかったイエラエですが、現在では国内の自動車メーカーがセキュリティを心配しているので調査してほしいという依頼が増え、「凄く大きな事業になっている」（同）そうです。エンジニアの興味から始まって事業として成立した例です。

必ずGiveから始めて世界一に

こうした話をまとめて牧田は、「会社の成長の起点はいつでもGiveであるべき」だといいます。給与、労働時間、裁量の3点で「世界一働きやすい環境」を整えて「Give（与える）」すると「必然的にいい（才能のある）人たちが集まってくる」と牧田は指摘。

こうした集まった人たちは尖った人たちなので、品質の高い仕事をしてくれる。そうしてできあがった成果物である製品を、「最高品質最低価格」（同）で提供すると、当然利益が上がる、という好循環に繋がるのだといいます。

「この10年間、ずっと右肩上がりで成長を続けている」と牧田。最高品質の製品が最低価格で提供されるわけで、「お客様からしたら買わない合理性がない」と牧田はアピールします。

そして利益が出たら、会社の内部留保や株主還元ではなく、まずは社内の才能あるエンジニアやクリエイターに還元して、さらにそれがさらなる才能を集まってきて……という好循環を「弾み車」と牧田は表現。「必ずGiveから始めなくてはならない」と強調します。

結果として、この10年で多くの天才ハッカーが集まりました。牧田は「フェルミ推定」と注釈を入れつつ、「日本で一番多く集まっている」との予測を示します。

さらに集まった天才ハッカーの退職率はゼロだといいます。イエラエという会社のことを分かって途中入社するような優秀なハッカーは誰も辞めていないのだそうで、230人規模まで成長。「エンジニアの楽園といわれるようになってきた」と牧田は胸を張ります。ただ、「残念ながらまだ、クリエイターの楽園というところまではいけていない」（同）とのこと。

こうしてエンジニアの楽園に優秀なハッカーが集まったことで、国際的なハッキングコンテスト「DEFCON31」において、イエラエのチームは世界一に輝きました。しかも「圧勝してきた」そうです。

スーツを着ている男性のスクリーンショット

中程度の精度で自動的に生成された説明

実際のコンテストでは、題材となったMicrosoft Azureに対して、Microsoft自身も把握していない脆弱性を使ってハッキングをしたので、「想定された解き方を超えた勝ち方で、完勝という言葉がふさわしい」と牧田は自賛します。

こうしたコンテストだけでなく、1年間でゼロデイの脆弱性40件以上発見、ペネトレーションテストの侵入成功率90％以上、防衛省・警察庁にも協力して日本のサイバーセキュリティに貢献している、といいます。

GMOインターネットグループは、日本のドメインの約81％、サーバーの約57％をカバーしています。牧田は、日本の81％のドメインに対してサイバーセキュリティのサービスを提供することで、日本のインターネット全体を守るというチャレンジを考えているそうです。月額980円の「GMOサイバー攻撃ネットde診断」というサービスで、それを実現したい考えです。

こうしたことができるのは、優秀なエンジニアなど「尖った人」がいるからだと牧田はいいます。こうした「世界一」の技術者たちが出してくる成果は、「期待値を超えすぎていて芸術レベル」だと牧田は話します。

「機能だけでは他社との差別化は難しい」と牧田は指摘し、何かを突き詰めていくことで芸術レベルまで昇華させたサービスが勝利するとの考えを披露します。そして、企業に求められるダイバーシティ（多様性）について、「理想とするのは国籍や性別などの多様性ではなく、色々な才能が集まること」と牧田は強調。

まとめとして牧田は、「この時代の価値を創っているのはエンジニアやデザイナーで、会社の宝、社会の宝。才能が正しく評価され、活躍できる。成果に対してきちんと報われる。それを見た子供たちが憧れを抱いて将来の夢になる」と、そんな世界をGMO Developers Dayの2日間で一緒に想像してほしいと呼びかけました。