ホワイトハッカーが生活者を救う。“バグバウンティ”普及に挑む起業家が目指す世界
脆弱性を見抜くホワイトハッカーの成果報酬型サービス『IssueHunt バグバウンティ』。運営する横溝一将さんはなぜ「才能を持ったクリエイターが報われる世界」を目指すのか?
困り果ててどうしようもなくなった時、誰かの助けや思いやりに救われた経験はないだろうか。あるいは、自分が誰かを救う側に回った経験もあるかもしれない。今回取材した横溝一将(よこみぞ・かずまさ)さんは、そうした「救い」にまつわる経験を糧に、自ら事業を立ち上げ道を拓いてきた人物である。
現在は企業をはじめとしたさまざまな団体、ひいては私たち生活者をサイバー攻撃の脅威から守るべく「バグバウンティ」と呼ばれる仕組みの普及に励む。そんな同氏のこれまでの歩みを紐解いていくと、浮かび上がってきたのはいくつもの「救われた」記憶だった。学生時代に福岡で会社を立ち上げ、10年余りにわたって駆け抜けてきた一人の起業家が抱く、揺るがない価値観と想いを訊いた。
“ホワイトハッカー”の力で、サイバー攻撃を未然に防ぐ
── 『IssueHunt バグバウンティ』とはどのようなサービスなのか、概要を教えてください。
簡単にいえば、ホワイト・ハット・ハッカー(通称ホワイトハッカー)とセキュリティ強化を図る企業とを結びつけるためのプラットフォームサービスです。
“ハッカー”と聞くと、よくテレビドラマに出てくるような仮面を被った悪役を思い浮かべる方もいるかもしれません。たしかに、サイバー攻撃を仕掛け生活者情報の流出を目論むような、いわば“悪いハッカー”も世界には数多くいます。一方で、そうした悪質な攻撃から守るために技術を発揮する“良いハッカー”たちも、世の中にはたくさんいる。それが“ホワイトハッカー”と呼ばれる人たちです。
こうしたホワイトハッカーと企業をマッチングする仕組みは、一般的に「バグバウンティ」と呼ばれています。僕たちが目指しているのは、バグバウンティを通してサイバー攻撃の脅威から企業、ひいては生活者を守ること。『IssueHunt バグバウンティ』の提供によって、個人情報をはじめとしたさまざまな情報流出のリスクを少しでも減らし、より安心して暮らせる世界の実現につなげていきたいと考えています。
そもそも、僕たち生活者が日々利用しているソフトウェアやアプリケーションには、ほぼ例外なく“脆弱性”が存在します。脆弱性とは、簡単にいえばプログラムの不具合や設計上のミスが要因で発生する“欠陥”のこと。この欠陥がサイバー攻撃の標的になったり、コンピュータウイルスの侵入源になったりする。あらゆる情報流出につながりうる、企業や生活者にとってのリスクそのものと表現できます。
ただ、開発元がどれだけ力を注いでも、こうした脆弱性をゼロにすることは技術的に難しい。だからこそ、悪質なハッカーに見つかる前に脆弱性の存在を把握し、攻撃を未然に防ぐことが大切なんです。
『IssueHunt バグバウンティ』はそうした脆弱性の診断をホワイトハッカーが行い、脆弱性が見つかったことを企業に報告することで謝礼を受け取れる、成果報酬型の仕組みです。この運用を通して、悪質な攻撃を一つでも多く予防したいと考えています。
── 「バグバウンティ」自体が日本ではまだあまり馴染みがない仕組みのように感じます。海外ではある程度普及しているのでしょうか。
たしかに、日本国内ではまだほとんど浸透していません。ですが、たとえばアメリカでは、多くの企業が当たり前のように利用している仕組みです。PayPalやEpic Games、Tesla、X(旧Twitter)など、多くの有名企業がバグバウンティによってどれだけの脆弱性を発見したかを公開していることからも、少なからず普及している様子が伺えます。
また、アメリカの場合は企業のみならず、政府機関も率先してこの仕組みを活用しています。いわば、国防のための重要な手段としてバグバウンティが用いられているんです。
それと比較すれば日本にはまだ、バグバウンティの仕組みを活かしてセキュリティ強化を図る文化がほとんど醸成されていない。企業にとっては「セキュリティ強化」自体が直接の利益を生みづらいものでもあるため、どうしても後回しにされやすい側面もあります。
一方で、サイバー攻撃による情報流出は国内でも後を絶たないことは重要な問題とされています。企業や行政をはじめとした団体が「ありとあらゆる」情報を所有する時代になったことで、生活者にとってのリスクは膨らみ続けてる。だからこそ、バグバウンティが果たす役割の大きさは、今後日本においても必ず大きなものになると確信しています。
「無償が当たり前」の構造に変化をもたらしたい
── 横溝さんがバグバウンティに関するサービスを提供し始めた背景には、どのようなきっかけがあったのでしょうか。
『IssueHunt バグバウンティ』の提供を開始する数年前から、「オープンソース」の開発者に対して投げ銭形式で報酬が支払えるサービスの運営に取り組んできたことが、きっかけの一つになりました。
そもそもオープンソースとは、ソフトウェアの設計図であるソースコードを一般向けに公開することで、誰でも自由にそのコードを使用したり、再配布したりできる状態にします。IT企業やスタートアップであれば、オープンソースを使わずに開発する企業はまず存在しないでしょう。
このオープンソースは、文字通り広く公開され“無償”で利用される場合がほとんど。いわば、世界中のエンジニアたちの善意によって成り立っているんです。それ自体は素晴らしいことで、そうした文化があったからこそ生まれたサービスも、数え切れないほど存在します。
一方で、僕はそうした無償で流通している構造自体に、違和感を覚えることもありました。その構造に変化を加えたいと思い立ち上げたのが、先ほど触れた「オープンソース開発者に投げ銭形式で報酬が支払えるサービス」だったんです。
ある時、たまたまそのサービスをホワイトハッカーの方が活用してくれていることを知りました。そこから気になって色々調べた結果、日本には「バグバウンティ」の仕組みをサービスとして提供しているプレイヤーがほとんどいないことを知った。その気づきが、『IssueHunt バグバウンティ』をスタートする出発点となりました。
── なぜ、無償が当たり前とされるオープンソースの構造自体を変えたいと思うようになったのでしょうか。
自分自身のプロダクト開発における経験が大きく影響しています。
2016年頃から、『Boost Note』というエンジニア向けのメモアプリを自社で開発していました。その最中、CTOをはじめ開発陣の中心が一気に抜けてしまったことがあって。高度な開発技術を持っていなかった自分は、それ以上開発を進められなくなってしまったんです。
そうして困り果てていた時に助けてくれたのが、『Boost Note』のオープンソースコミュニティのメンバーたちでした。「力を貸してほしい」と伝えてみたら、実際に会ったこともない、顔も名前も知らない世界中のエンジニアたちが、たくさん救いの手を差し伸べてくれた。そのおかげで、『Boost Note』は世界で数十万人のユーザーに使われるサービスにまで成長できました。
自分が困っているときに、助けてくれたオープンソースコミュニティの人たち。その一人ひとりに対して、何の対価も示さないのは申し訳ないし、何か返したいと思ったんです。同時に、無償でオープンソースのエコシステムを成立させ続けることには、限界があるのではないかとも考えるようになった。「オープンソースは無償で使えて当たり前」という構造そのものを変えたいと思い、行動しようと決めました。
自分を形作ってきた「救い」の数々
── 「無償でよかった」と考えても不思議はない気もしますが、横溝さんはむしろその状況に問題意識を持った、と。
はい。オープンソースコミュニティの人たちの顔が実際に見えるわけではないし、ともすると機械か何かがコードを書いているような感覚を覚える人たちもいるかもしれない。でも実際には、その裏側には確実に人がいるわけです。
繰り返しですが、誰かの善意や意志の積み重ねによって生まれているオープンソースコミュニティの文化は、本当に素晴らしいものだと思っています。そのうえで、時間や労力を費やした人に正当な対価が払われる仕組みがあっても良いのではないか。そうした想いが、当時から強くありました。自分自身、たくさんの“救い”によって支えられてきた経験があるからこそ、自然と芽生えた想いだったのだと感じます。
── たくさんの“救い”によって支えられてきた経験とは、どのような経験でしょうか。
実は高校2年生くらいの頃から、学校にあまり通っていなかったんです。納得のいかない校則があること自体を、どうしても好きになれなくて。それが原因で先生と揉めて、最終的には足を運ばなくなってしまった。
それでも、最後はなんとか卒業できたのはある一人の先生のおかげなんです。英語の担当だったその先生が、僕のことをすごく気にかけてくれて。電話をかけてきたと思ったら、「この授業に来ればちゃんと単位が取れる。だからこれだけは出席しなさい」と。そうやって、自分が卒業できるように導いてくれた。先生がいなかったら、間違いなく高校を卒業できないまま途中で諦めていたと思います。感謝してもしきれない存在ですね。
それだけではありません。学生時代、福岡で起業したばかりの頃にも周囲の方々に救われる経験をしました。
Webサイトなどの受託制作の会社を立ち上げたのですが、創業から2ヶ月ほどで、自分の力のなさに嫌というほど気づかされて。案件も全く獲得できなければ、お客様の要求に応えるだけの技術もない。資金もあっという間に底をついて、「もうやめよう」と諦めかけていました。情けない話です。
そんなとき救ってくれたのが、地場のIT企業で働く方たちでした。お仕事をくれる人もいれば、ご飯に連れて行ってくれる人もいた。毎日のように僕たちの面倒を見て、可愛がってくれました。
その方々には、今でもお世話になっています。あの時の救いがなかったら、間違いなく今の自分はないだろうなと実感しています。
救われ続けてきたからこそ、誰かを救えるものを作りたい
── お聞きしながら、先ほどの『Boost Note』の開発が立ち行かなくなった際のエピソードと通底するものを感じました。
そうですね。自分の人生は文字通り、“救い”によって形作られてきました。これまでたくさんの人が救ってくれたおかげで、僕は今こうして過ごせています。
だからこそ、今度は自分が誰かを救えるような何かを作り上げたい。そうした気持ちは、常に自分の心のどこかにあると思います。
── 「誰かを救えるものを作り上げる」ことが、横溝さんにとってこの先も挑戦し続けたいことになるでしょうか。
はい。そのうえで、まずはいま取り組んでいる事業を伸ばすことに、全力を注ぎたいと思っています。それもまた、支えてくださる方々への何よりの恩返しの一つになると考えているからです。
そして最終的に目指したいのは、「才能を持ったクリエイターが報われる世界」を作ること。ここでいう「クリエイター」とは、一般的な解釈に比べればより広義なものです。たとえば、オープンソースコードをゼロから作り出すエンジニアたちも、僕のなかではまさに「クリエイター」といえる。ホワイトハッカーの脆弱性診断も、実は謎解き的な要素があり、非常にクリエイティブな営みなんです。
国も性別も年齢も関係なく、誰かのために才能を活かそうとするクリエイターたち全員が、適切な機会や報酬を得られる世の中にしていきたい。『IssueHunt バグバウンティ』も、そうした自分なりの理念があるからこそ挑戦している事業でもあります。
たくさん救われてきたからこそ、これからは自分が誰かを救えるように。その一心で、とにかく走り続けたいと思います。
プロフィール/敬称略
※プロフィールは取材当時のものです
- 横溝一将(よこみぞ・かずまさ)
-
IssueHunt株式会社代表取締役社長。1993年生まれ、福岡県福岡市出身。2014年、大学在学中に福岡で会社を創業。WEB制作やシステム受託開発を行う。その後上京し、2016年4月にプログラマ向けのノートサービス『Boost Note』をオープンソースで公開、2018年6月にオープンソースプロジェクト向けの報奨金サービス『IssueHunt』をローンチ。その後2022年7月には世界中のホワイトハッカーへ脆弱性診断を依頼できるバグバウンティ(脆弱性報奨金制度)プラットフォーム『IssueHunt バグバウンティ』のサービスを開始した。