【前編】創業時から変わらない「一貫性」で業界をリード　GMO Flatt Security CCO・豊田恵二郎が語る、「エンジニアの背中を預かる」姿勢 / 開発者向けブログ・イベント

専門集団として、独自のアプローチでサイバーセキュリティを追求するGMO Flatt Security株式会社（以下、GMO Flatt Security）。
日本初となる、セキュリティ診断を自律的に行うAIエージェント「Takumi byGMO」など、サイバー攻撃から開発環境を守る製品を送り出しています。
「エンジニアの背中を預かる」というミッションの実現に向けてさまざまな取り組みを進めるGMO Flatt Securityの事業を、デザインから支えるのが執行役員 CCO（Chief Creative Officer）を務める豊田恵二郎さんです。
今回は、豊田さんにGMO Flatt Securityの創業からの歩みや「Takumi byGMO」の展望などについて伺いました。

豊田恵二郎（とよだ・けいじろう）｜GMO Flatt Security株式会社執行役員CCO

東京大学工学部航空宇宙工学科卒。東京大学在学中に株式会社ラブグラフでのインターンやフリーランスでデザイン制作に幅広く携わる。2017年、代表取締役CEOの井手とともに株式会社Flatt（現・GMO Flatt Security）を創業。
CCO（チーフクリエイティブオフィサー）としてデザイン全般の統括を担うほか、執行役員としてプロフェッショナルサービス事業部を統括。プロフェッショナルサービス事業における事業戦略の策定から開発者向けマーケティング（DevRel）の実行まで幅広い領域を管掌する。

eコマース⇒サイバーセキュリティの「筋の通った」事業ピボット

—GMO Flatt Securityは、当初のeコマース領域からBtoBのサイバーセキュリティ領域へとピボットされています。まったく異なる領域への転換ですが、どのような判断があったのでしょうか。

豊田

代表の井手が2017年に会社を作った時からずっと言い続けているのが、「1兆円企業を作る」ことです。これは彼の中で絶対不変のものとしてある柱なのですが、1兆円企業になるためには、グローバル規模の大きなマーケットでスケールするビジネスをしなければなりません。

最初のeコマースへの挑戦は事業売却という形で畳んだのですが、次に会社として何をやるかを決める時にも、「世界規模になり得る領域でビジネスをやる」という姿勢は一切ブレませんでした。

サイバーセキュリティはグローバル規模のマーケットですし、井手自身も初期の株式会社メルカリでのエンジニアインターン経験など、技術者としての親和性がありました。井手にとっては「自分ごと」として面白みを感じるものだったんです。

そして現在取締役Co-CTOの米内にも大学の知り合いとして気軽に声をかけられる関係にあったため、サイバーセキュリティを次の領域として選んだというのがピボットの流れです。

外から見ると意味のわからないピボットに見えると思いますが、実際には「スケールし得る領域で価値を出していく」という会社の方針は一本筋がしっかり通っているんです。この一貫性こそ、最も大事な部分ですね。

我々はピボットもしますが、それは顧客にとって良い価値を提供したいからこそ行うものです。その考え方や技術力の高さが顧客に十分伝わっている限り、ネガティブなイメージは持たれないと思います。顧客に我々の一貫した信念が十分伝わっていることが、安心と信頼の源泉なのだと自負しています。

—「Takumi byGMO」については昨年末から事業の力の入れ方を変えたと伺いましたが、具体的にはどのような判断をされたのでしょうか。

豊田

我々は「Takumi byGMO」の新機能として、マルウェアパッケージをブロックする「Guard」と、CI/CD環境の全操作をカーネルレベルで記録する「Runner」の2機能を2026年3月に提供開始しました。

▼Takumi、ソフトウェアサプライチェーン攻撃対策領域へ進出。コード一行で開発環境のマルウェア対策を実現

とくに「Guard」のブロック・通知機能については、現在世界的な問題となっているソフトウェアサプライチェーン攻撃の問題に対処すべく、メールアドレスを入力すれば個人・法人問わず誰でもすぐに使える形で無料提供しています。

2025年末の時点で、当社は「2026年以降はソフトウェアサプライチェーン攻撃の問題がさらに深刻化する」と予見していたのですが、実際にリリースから1ヶ月も経たないうちに、週間1億ダウンロードもあるような有名パッケージであるaxiosがマルウェアに汚染されるという一大事件が発生しました。

それ以降「Takumi byGMO」の「Guard」機能の登録が急増し、5月中旬時点で1日に2000万件以上のパッケージダウンロードが本機能を通じて行われています。わずか2カ月少々でこの数字を積み上げられたので、この判断は本当に正しかったなと。事件が起きたこと自体は非常に残念なことですが、その対策となるサービスを世の中に出せていたことは、すごくポジティブなことでしたね。

従来の機能も変わらず提供しているので、これはピボットと表現すると大袈裟に感じますが、顧客価値に即した正しい意思決定だったと思います。

常に「エンジニアの背中を預かる」姿勢を貫く

—「Guard」「Runner」の新規提供開始という変化には、どのような一貫した「筋」があるのでしょうか。

豊田

今はAIが便利そうなパッケージをどんどん引っ張ってくる時代です。人間はAIが提案したものを、中身をチェックせずに承認するという場面も増えてきました。

こうなるとソフトウェアサプライチェーン攻撃を防ぎづらいのですが、「Guard」「Runner」はそうした潮流の中でも悪意ある攻撃者に対抗できる機能です。

セキュリティは非常に広い領域ですが、僕らは「世界の主役は開発組織とそこで働くエンジニアである」と位置づけています。そして、そのような人々がお客様です。今、ソフトウェア開発組織でAI活用に興味がない人はいませんよね。そのため、AI時代に固有のリスクに即した価値提供が僕らにとって大事であるということが言えます。

それに限らず、「Takumi byGMO」の脆弱性診断機能や当社エンジニアによるプロフェッショナルサービスにおいても、「どういう領域を手がけるか」「どういうUXでサービスを提供するか」といった設計のすべてが、「エンジニアに喜んでもらえるように」というゴールから逆算されています。

情報発信も同様です。技術ブログを通していろいろなノウハウを開示し、そこで信頼頂いている部分があります。GMO Flatt Securityが技術力のある企業だということがエンジニアユーザーの皆さんに伝わっていれば、それが安心や信頼といったブランド力につながると信じています。

—「エンジニアの背中を預かる」ために、GMO Flatt SecurityとしてもAIによるセキュリティ製品の開発をこれまで以上に推し進めていくのでしょうか。

豊田

半分正解で、半分違うと言えるかもしれません。詳細は割愛しますが、「Guard」も「Runner」もソフトウェア製品としては非AIなシステムがコアな機能を提供しています。

「Guard」なら、「ユーザーがインストールしようとするパッケージが悪性のものなら止める。そうでないなら止めない」というごくごくシンプルな要件です。これはAIで実現する必要はありません。むしろ、するべきではないでしょう。

一方で、「どのパッケージが悪性か」を判断する弊社独自のデータベースはAIも活用しつつ構築しています。適材適所ということですね。

既存のセキュリティ診断機能も、AIによるソースコードやデモ環境の検査が主たる部分ですが、誤検知やハルシネーションを防ぐための仕組みは非AIで実装されています。

「エンジニアの背中を預かる」ために、AIは最大限活用すべき武器ですが、手段に囚われ過ぎてはいけません。

—今後、「Takumi byGMO」をどのように成長させていきたいとお考えですか。

豊田

AI技術は日進月歩で進化しているので、すごく先のことは見通せません。ただ、今は間違いなくソフトウェアサプライチェーン攻撃のリスクがかつてないレベルで大きくなっている状況だといえるので、まずは「Guard」や「Runner」といった機能の拡充を第一目標に据えています。

もっとマクロな言い方をすると、「エンジニアに求められているものを常に作り続ける」ということです。現在ソフトウェアサプライチェーン攻撃から開発環境を守る機能を作り続けているのは、今まさにそれが求められているからに他なりません。

未来の話は神のみぞ知る部分ですが、全く予見が出来ないわけでもありません。モデルの進化や新たなリスクの発生があれば、そこに対して最大限柔軟に動きたいという思いは持っています。

時代が変わっても、「エンジニアの背中を預かる」というミッションは変わりません。このミッションの実現に向かって柔軟に対応していくというのが、セキュリティ事業開始時から現在まで、そしてこれからも一貫するGMO Flatt Securityのスタンスです。

今後もユーザーの皆さんからの反応を見ながら、「エンジニアの背中を預かる」というGMO Flatt Securityのミッションを実現するために頑張っていきます！