スタートアップはまるでRPG。6回の失敗でたどり着いたクラウドのセキュリティSaaSで躍進するCloudbase・岩佐 晃也氏

さまざまなWebサービスやアプリケーション構築の基盤となる、AWSやGCP、Azureなどのパブリッククラウドサービス。今、国内ではこのパブリッククラウドサービス市場が拡大を続けている。IT専門調査会社 IDC Japan 株式会社の調査発表によれば、2022年の国内におけるパブリッククラウドサービスの市場規模は前年比29.8％増の2兆1,594億円となり、2026年には現在の3倍に拡大する見込みだ。

急成長を続ける市場だが、一方でこれらのサービスは重大な事故を引き起こすセキュリティリスクも抱えている。自社で構築するプライベートクラウドに比べて低コストでモダンな開発環境を維持できる代わりに、適切な設定ができていない場合などにはセキュリティリスクにさらされやすくなってしまう。このようなリスクに対応する新サービス「Cloudbase（クラウドベース）」を開発したのが、Cloudbase株式会社の岩佐 晃也（いわさ・こうや）氏だ。今回、岩佐氏にインタビューを実施し、10歳から始めたというプログラミングの経験や6回のピボットを経て辿り着いたという「Cloudbase」の開発ストーリーなどを語っていただいた。

パブリッククラウドのセキュリティリスクに備える「Cloudbase」とは

まずは「Cloudbase」について、具体的にどのようなサービスなのか教えていただけますか？

「Cloudbase」はAWSやGCP、Azureなどのパブリッククラウドにおける、設定ミスを始めとしたセキュリティリスクを自動で診断可能なプラットフォームです。企業が使用しているクラウドの構成をわずか5分ほどでスキャンし、システム上で設定ミスを危険度ごとに表示します。

定期的なスキャンも行えるため、クラウド構成に変化が生じても新たな設定ミスを早期に発見可能です。もしミスが見つかった場合、弊社で修正方法に関するドキュメントも用意しており、企業の担当者は簡単かつスムーズに設定の修正を行うことができます。

このようなサービスが必要となる背景についても教えてください。AWSのようなクラウドは、サービス提供者がセキュリティを担保してくれるものと思っていたのですが……。

クラウドサービスの提供者は、すべてのセキュリティに対応しているわけではありません。パブリッククラウドは「責任共有モデル」を採用しており、クラウドの基礎部分のセキュリティ対策は行っているものの、顧客データやアプリケーション、Firewallの設定、サーバーサイドの暗号化といったサービス利用企業側のセキュリティ対策までは対応していないのが普通です。

なるほど。では、クラウドサービスを利用する企業は、どのようなセキュリティ対策を行えばよいのでしょうか。

クラウドサービスにおけるセキュリティ事故は、人為的な設定ミスが9割を占めています。例えば、過去には安全にサーバーに接続する手段である「SSH」のポートを公開設定にしてしまったために、不正アクセスが起こり、個人情報の流出が発生した事例がありました。セキュリティを担保した上でクラウドを利用するには、このような設定ミスを常に確認し、迅速に修正していくことが大切です。

AWSやGCP、Azureは非常にカスタマイズ性の高いクラウドサービスです。これらを使ってさまざまなものをつくれる反面、自分たちで設定する各種項目の中には誤るとセキュリティリスクを高めてしまうものが数多く含まれています。クラウドの使用量が増えるほど設定する項目数も増えますから、セキュリティ対策はより複雑になります。大企業でクラウドサービスの利用が進まないのは、このようなセキュリティリスクの問題がクリアできないからなのです。

そのようなセキュリティリスクを短時間で一気に洗い出し、対策行動につなげていけるのが「Cloudbase」なのですね。

そうなんです。僕らは「Cloudbase」を通じて、企業のDXを大きく進める推進力をつくれると考えています。例えば、国内企業ではサーバをいじるためにセキュリティ部門の許可が必要となり、3～6か月の期間を要することも多いんです。しかし、このようなスピード感では欧米企業には勝てません。彼らはその期間があれば、サービスのアップデートを何度も繰り返してユーザーニーズを的確にとらえてしまうからです。

セキュリティリスクを大きく減らし、クラウドでの環境構築のハードルを下げることができれば、日本も欧米企業と同じ土俵で戦うことができるはずです。「Cloudbase」は「守り」の製品と見られやすいのですが、僕らは「攻め」の製品でもあると考えています。国内企業がクラウドを利用してどんどん挑戦できるようになれば、いつかテスラのような企業が生まれるかもしれません。この事業に大きな可能性を感じ、非常にワクワクしています。

ゲームのレアアイテム欲しさに、10歳でプログラミングを独学

「Cloudbase」の事業アイデアに至った経緯を教えてください。

創業後に6回のピボットを経た結果ですね。セキュリティの分野に思い至ったのは、僕が10歳のころから、趣味で自分の持つゲームソフトのプログラムを書き換えていたからだと思います。ゲームのプログラミング言語を読み解いて、敵が自滅するように書き換えてみたり、自分がプレイしていない時でも自動で動くようにしてみたりして、ひとりで遊んでいました。今考えるとセキュリティの脆弱性をハッキングしていたんです。

プログラムの書き換えを10歳で！ すべて独学ですか？

そうです。インターネット上のコミュニティも含めて、すべて自分で調べて知識を得ていました。そんな風にゲームを動かす仕組みが分かってくると、次第に自分で便利なものをつくりたいと思うようになりました。実際に中学生までは簡単な2Dゲームや、自分がよく見るサイトに素早く飛べるポータルサイト、ゲームの挙動をワンクリックで変えられるプログラムなどをつくっては、自分で使って楽しんでいました。

今考えると、現在の事業にもつながる「自動化」を自分の手で実現できることに、当時から喜びを見出していたのかもしれません。プログラムによって新しいことができたり、違う景色が見られたりすることに面白さを感じていましたね。

起業の根底にあるのは、「誰かを喜ばせたい」という想い

岩佐さんは、高校以降はどのように過ごしていたのでしょうか。

高校生のころはプログラミングから一度離れ、部活動と勉強に勤しんでいました。京都大学の工学部に入学してからは再びプログラミングに触れ、技術を学びながら実装する日々を送っていましたね。在学中にエンジニアのアルバイトやインターンも経験し、大学4年生の10月に名称変更前のLevetty株式会社を起業しました。

大学在学中に起業したのは、どうしてですか？

大学時代にエンジニアとしての実務経験を積む中で、多くの方に使っていただけるサービスづくりに挑戦したいと思ったからです。

アルバイトやインターンをする中で実感したのですが、エンジニアの世界はある程度の技術レベルまで行くと各個人の力量に大差がなくなり、ほんの少しの差を埋めるために3～5年の歳月を費やすプロアスリートのような世界になっていくんですね。そういう世界を見るにつけ、自分にはそこまでできるか分からないと、ある種の挫折感を覚えました。

また、エンジニアは高い技術力で良いものをつくればユーザーを満足させられると考え、読み込みを少しでも早くするといったパフォーマンス改善を行うことも多いものです。その改善自体は有用ですばらしいことですが、僕自身はすでに需要のあるサービスの改善をしていくよりも、多くの人に需要のあるサービスを新たにつくるという形で社会にインパクトを生み出したいと思いました。そこで、ひとつの手段として起業を選択したんです。

社会に与えるインパクトを重視して、エンジニアの道から起業家の道へと移られたのですね。

そうですね。僕は人を喜ばせることが大好きで。よく「嘘だ」「綺麗ごとだ」と言われてしまうのですが、ひとつの哲学として、僕に関わった人みんなに笑顔になって帰ってほしいという想いを持って生きています。「世の中で広く使われるものをつくりたい」と思ったのも、その延長線上にあることなんです。

「誰かを喜ばせたい」という想いは、子どものころから持っていたものなのでしょうか？

人を喜ばせることが好きになったきっかけはいくつかありますが、一つの大きな背景としては、もともと人見知りで根暗な性格だったことが挙げられると思います。小学生の時は学校から一人で帰宅しながら、自分の嫌いなところ探しをしていました。友達が少ないとか、面白くないとか、指折り数えていた時の情景を今でも鮮明に覚えています。

そういう一面を持っているからこそ、相手のことを慮ろうとしますし、自分の行動で誰かが喜んでくれることが大きな喜びにつながるんです。自分のつくったもので人を喜ばせることができるという意味では、アーティストなどにも憧れを抱いていましたね。

6回のピボットを経て学んだ市場理解の大切さ

先ほど、「Cloudbase」にたどり着くまでには6回のピボットを経験したとのお話もありました。実際にどのようなプロダクトをつくってきたのでしょうか？

実は大学在学中、事業アイデアを持たずに「起業する」と宣言していました。そんな時にEast Venturesの金子さんにお会いして、「明日からでも東京に来るなら1,000万円出資する」と言っていただけたことで、東京に拠点を移して起業することに決めたんです。自宅とオフィスが整った2019年10月からようやく起業にこぎ着けることができたのですが、当時は六本木のオフィスにパソコンと自分の体一つだけがある状態。そもそもこれから何をしていくかを考えるところから始まりました。

金子さんからもいろいろな事業アイデアをいただき、その中からまずはAR技術を使ったアプリを開発しました。このアプリをもとに大手通信会社のマーケティング部門と取引できたのですが、新型コロナウイルス感染症の流行が始まってしまい、現実世界と関わらなくてはならないARは事業として難しいとピボットを決断しました。

次はどのようなプロダクトを開発したのでしょうか。

コロナ禍で「Zoom飲み」が流行っていたため、人狼ゲームのできるビデオチャットを開発しました。3週間ほどで開発を終えてリリースしたところ、想像以上に多くの方に利用していただけたのですが、マネタイズが難しく次の事業にピボットすることになりました。

それからは夜8時以降に3分だけ友達とつながれる音声SNS、24時間で投稿内容が消えるSNSなども開発・リリースしたのですが、toC向けのサービスはどれもマネタイズが壁となり、事業化を断念しました。

つくったものが無駄になってしまうのは、とても悲しかったですね。失敗するたびに、自分の人生を振り返っては何がしたいのか、どうやったら使われるものをつくれるのだろうかと、考え続けていました。そこで思いついたのが、toB向けのサービス展開でした。

どのようなサービスを開発されたのでしょうか。

最初はiOSアプリのテストを自動化するサービスを開発しました。サービスの事前登録を開始したところ20社ほどから問い合わせをいただいたのですが、この時は技術的な難易度の高さに加えて、法人相手にビジネス展開する難しさにも直面して。僕が学生起業したこともあり、ビジネスでの敬語がうまく使えなかったんです。営業時にどのような言葉で自社サービスを説明すればいいのかも分からず、せっかく企業と面談できても本契約は1社も取れない状況が続きました。そのため、この事業も諦めて、次はセキュリティ教育のサービスに移りました。

ここでようやく、ゲームのプログラム書き換えの経験が役立つのですね。

そうなんです。周囲のエンジニアを見ていても、セキュリティについてきちんとした知識を持っている方は少ない印象を受けました。そこで、合法的にハッキングできる環境を用意して、実際に手を動かしながらセキュリティの脆弱性について学べる教材をつくったところ、一気に100万円ほどの売上を立てることができました。

この事業ならうまくいくかと思ったのですが、セキュリティ教育の市場について調査すると成長性の限界が見えてきました。日本のエンジニアは毎年3万人しか増えていない状況から考えると、1人につき3万円の教材販売では年間9億円のビジネスにしか育たないことが分かったのです。VCに入っていただいている状況で、エンジニアのセキュリティ教育を軸に進めていくことは難しいと思いました。

でもこれ、本当はサービスをつくる前に分かったことなんですよね。僕はアイデアを自分ですぐに形にできてしまう分、事業をつくるための事前リサーチが足りていなかったんです。そのことを先輩起業家の株式会社HOKUTO代表 五十嵐 北斗さんにご指摘いただいて、ようやく気づくことができました。

五十嵐さんとは、どのようなコミュニケーションがあったのでしょう。

ちょうど一昨年、2021年の秋ごろでしょうか。East Venturesのシェアオフィスで深夜までコードを書いていた時、北斗さんがふらっと僕のところにやってきました。「何してんの？」と聞かれたので、「事業伸ばしてるんです」と答えたのですが、北斗さんは「いやいや、そうじゃなくて。君がやろうとしている市場の競合やターゲットは何社いるのか、ターゲット企業の規模はどれくらいなのか分かってる？ホワイトボードに書いてみて」とおっしゃって。

北斗さんのその質問に、当時の僕は正確に答えることができませんでした。ターゲット企業の中に上場企業が何社あるのかも知らなければ、競合企業の売り上げ規模も分からなかったんです。

市場が把握できていなかったから、これまで何をやっても無駄になっていたのだと、そこで初めて気づくことができました。それからはコードを書くのをやめ、3ヶ月間徹底的にリサーチをしていきました。セキュリティ領域で一番良い事業は何かを探っていた中で出てきたのが、現在の「Cloudbase」のアイデアだったのです。

Cloudbaseは2022年3月のベータ版リリースから、猛スピードで事業が拡大していますよね。その理由はやはり、これまでとは異なるアプローチで事業開発を行い、サービスへの確信が持てていたからなのでしょうか。

そうですね。さまざまな情報を調べて、分からないことは人にも話を聞くことで、クラウドのセキュリティ領域ならいけるはずと確信を持つことができていました。失敗は早く経験しようと思い、ベータ版をリリースする前に、事前登録でどれくらいの企業が集まるかを確認するテストマーケティングも行いました。そこで20社ほどの申し込みがあり、そのうちの8割ほどが契約を前向きに検討してくださって、それでようやくこのサービスでいこうと決断。3月にベータ版のリリース、8月に正式版のリリースを行うことができました。

可能性の連鎖でチャンスをつかんだ。アメリカVC・Arena Holdingsが出資を決めるまで

資金調達についてもお聞きしたいです。今回のシードラウンドの資金調達では、アメリカのVC・Arena Holdingsが日本で初めてシード期のスタートアップに出資したことが話題となりました。Arenaに評価されたポイントはどこにあると考えていますか？

日本におけるパブリッククラウドのセキュリティSaaS市場の伸びしろと、先陣を切ってその市場に切り込んでいった点を評価していただいたのではないかと思います。クラウドのセキュリティ分野は、海外ではペインも大きく市場も大規模ですが、日本ではまだきちんとしたプレイヤーがおらず、一部の企業が海外製品を使用している状況があります。海外のセキュリティサービスは、高額な割に使いづらいものも多い。僕らは適正な価格で、どのような方でも運用しやすいサービスを提供していますから、今後日本でも爆発的に増えるであろうクラウドサービスのセキュリティ課題に対して大きく貢献できる可能性を見ていただけたのだと考えています。

Arenaの出資はスムーズに決まったのでしょうか？

「Cloudbase」のベータ版に関して情報を出してから、数時間後には問い合わせをいただきました。Arenaの出資が決まるまでには、今回の資金調達を共同リードしてくださったDNX Venturesの倉林さんともお話をしています。今回はArenaが僕らの事業内容を精査した上で、DNXが僕たちの人物像をチェックするという流れで出資決定に至ったそうです。

なるほど。今回は本当に錚々たるメンバーからの資金調達を発表されていますが、このような状況について岩佐さんはどう感じていますか？

昨年の今ごろは一人でひたすらセキュリティ教育サービスを手がけていたので、現在の状況は本当に想像ができていなかったですね。Arenaに注目していただけたのも、運がつながった結果です。ArenaはSmartHRにも投資をしているのですが、弊社のニュースを以前、SmartHRの宮田さんがSNSで拡散してくださったことがありました。それがなければArenaとはつながらなかった可能性が高いです。そして、そもそも宮田さんと出会えたのは、とある起業家向けの新年会に僕が代理で出席したことがきっかけでした。さまざまな可能性の連鎖があってこそ、今の状況があると思っています。

岩佐さんはそういった可能性をつかむためにも、人とのつながりをつくることは普段から意識されているのでしょうか？

投資家や起業家の集まる会合など、未来が大きく変わりそうだと感じる場には、積極的に訪れるようにしています。特にここぞという場では、果敢にアタックしているかもしれませんね。

例えば、今回出資してくださったSmartHRの宮田さんには僕から積極的にアプローチしました。投資のお願いをしたところ、一度はお断りされてしまったのですが、それでもめげずに「宮田さんに相談する口実が欲しいだけなんです。10万円だけでもいいんです」とお伝えしたところ、「10万円なら」と宮田さんがぼそっとおっしゃって。その言葉を聞き逃さずに、すかさずその場で握手して、出資を決めていただきました。最終的には相当な額を出してくださって、宮田さんには本当に感謝しています。

刻々と状況の変わるスタートアップで働く日々はRPGのよう

ここからは、ぜひ貴社の社風なども教えてください。最近、社名を変更されたと伺いました。

そうなんです。もともとは「レベチ（レベルが違うの意）なことがしたい」という想いを込めてLevetty株式会社という社名にしていたのですが、2022年11月8日に社名とサービス名を統一し、Cloudbase株式会社へと生まれ変わりました。今は会社を新たなフェーズへと動かしている時期で、オフィスも移転したばかりですし、バリューも社内で検討して新たにつくり変えたところです。

新しいバリューはどのようなものに決定したのですか？

「お客様に深く寄り添い学び、共に成長しよう」という意味の“With Clients”、「思考のロックを外し、どうしたらできるかを探し求めよう」という想いを込めた“Unlock”、「お客様を、チームを、自分自身を、そして世界を、ワクワクさせよう」というメッセージを込めた“Be an Entertainer”の三つを新たなバリューとして設定しました。

このバリューに決めるにあたっては、弊社のフルタイムメンバー8名とも話し合いました。全メンバーが体現できていることとして、これらの言葉が出てきたのはとても面白かったですね。ほかの会社にはない、弊社らしいバリューを設定できたのではないかと思います。

今後、どのような方に入社してほしいですか？

エンジニアでもビジネスサイドでも、新しい状況を自らキャッチアップして、学んでいける方にぜひ入社していただきたいです。というのも、セキュリティ分野のスタートアップは、国内ではほとんどプレーヤーがいません。また、大企業を相手にSaaSを売るようなスタートアップもなかなか見かけません。両者をかけ合わせると全くの未開拓分野といっても過言ではない市場なんです。だからこそ、僕らは日々どんなプロダクトであるべきか、どんな課題をどのように解決するのが理想的かといった根本的なところから議論し、サービスづくりを続けています。前提にとらわれず、新しいことを生み出したいと考える方にジョインしていただけたら嬉しいです。

今後の展望についてもお聞かせください。

今後は、国内のクラウドセキュリティ領域で最も使われるサービスを目指しつつ、いずれはアメリカ市場にも挑戦していきたいです。アメリカは市場規模も大きいですし、日本のスタートアップでアメリカに進出して成功した事例はほとんどありません。国内のスタートアップのエコシステムのためにも、僕らがアメリカ進出の成功事例をつくっていくことができたら理想的だなと思います。

創業したばかりの起業家に、ぜひ応援メッセージをいただけますか？

僕らもまだシード期のスタートアップなので、このような場でメッセージを述べるのもおこがましいのですが、創業直後は自分の力不足を認めることが大切だと思います。その上で人に話を聞き、先輩方の意見を取り入れていく。そうすることが新たな活路を見出し、チャンスをつかむきっかけになるのではないでしょうか。

起業家の先輩方も、以前はその先輩にお世話になっているからこそ、後輩をサポートしたいと考えている方も多いんです。事業に本当に必要な情報はネットには落ちていませんから、積極的に人と関わり、話を聞いてみるようにしていただけたらと思います。

最後に、読者へのメッセージをお願いいたします！

スタートアップの醍醐味は、日々刻々と状況の変わる面白さにあると思います。メンバーが1人増えるだけでも社内の空気が大きく変わりますし、契約が1社とれただけで経営状況も大きく変化します。ゲームに例えるなら、スタートアップで働く日々はまるでRPGです。強い味方や武器を手に入れれば敵が倒しやすくなりますし、戦いを続けていくと自分たちのレベルが上がって、さらに強い敵にチャレンジできる。そんな感覚を日々味わえると思います。

もちろん、スタートアップはゲームのように「クリア」の定義がありません。その時々の状況で経営判断の分岐もたくさんありますから、難しさもあります。でも、会社の中で挑戦し続けていれば次のキャリアにもつながりますし、世間で言われているよりもリスクは少ないように思います。スタートアップに転職したいと考えている方は、ぜひチャレンジしてほしいです。