“信用に足る”ということを証明するために　GMO GlobalSignが、グローバルに連携するためにやっていること

9月1日からGMO GlobalSignホールディングスに

唐澤稔氏（以下、唐澤）：GMO GlobalSignの唐澤です。本日はこのような機会をいただき誠にありがとうございます。この時間は、海外からのいろいろなメッセージやコメントも含めまして、GlobalSignのエンジニアリングと製品開発の概要について紹介したいと思いますので、よろしくお願いいたします。

改めて自己紹介しますと、私はGMO GlobalSignの唐澤と申します。私はGMOクラウドの取締役も兼任しておりまして、2011年にGMOクラウドにジョインしました。そこから3、4年くらい、初期のパブリッククラウド、今のALTUS（アルタス）のロールアウトに従事してきました。

2015年に GlobalSignが北欧でID管理会社をM&Aしまして、そこからGlobalSignのビジネスに参画するようになりました。2016年から、次世代の認証局システムの設計と開発をスクラッチで始め、現在に至ります。

前職はほぼ14年くらい、アメリカのMicrosoftでアフリカ大陸以外でデータセンターを作っていました。ハイパースケールと言うか今でいうOffice365の前身みたいなものとか、あとはHotmailの全体のインフラ設計とデプロイメントを担当していました。

（右にいるのが）浅野で、浅野は2000年から電子認証のビジネスに関わっていまして、浅野とたぶんあと10名くらいが、もともとGlobalSignのファウンディングメンバーみたいな感じだと思います。

浅野室長は、2000年からバルチモアテクノロジーズというPKIの会社にて技術分野に従事していまして、2006年にGlobalSignにジョイン。2019年から、GlobalSignのシステムもそうなんですが、実際海外でのR＆Dしているアウトプットを、どのように日本にもってきて、日本市場に当てはめて、ロールアウトしていくか、というところに従事してもらっています。

Laurence Pawlingは、2003年からGAFAのような多国籍企業で、ロンドンを拠点にキャリアをスタートしました。2016年からGlobalSignにジョインしまして、2017年からGlobalSignの次世代高速大量発行システムのロールアウトに参画してもらっています。

CISO（Chief Information Security Officer）のArvid Vermoteは、前職はE&Yにいて、マネージャーとしてアフリカ地域もしくはヨーロッパのサイバーセキュリティ部隊を統括していました。2018年にGlobalSignにジョインしまして、セキュリティー部門の統括を皮切りにコンプライアンス部門およびITを含めた部門の統括の職責に就いています。

これはGlobalSignのロゴなんですが、ちょっと本題に入る前に1つお話したいのですが。我々のペアレントカンパニーであるGMOクラウドが、9月1日をもちましてGMO GlobalSignホールディングスという社名に変更いたします。

これはもともとGlobalSignで培ってきたIDの管理であったり、認証の基盤であったり、そういった部分とクラウド側で培ってきたインフラやソリューションの事業を、より高次で、今まさに起ころうとしているデジタルトランスフォーメーション、今すでに起きているところもあると思うのですが、そういったところでなくてはならないトラステッドサービスに成長させていきたいと。今回の社名の変更が、スタートになりますので、今後のシナジー効果を注目してもらえれればと思います。

SSLのようなデジタル証明書を軸にしたセキュリティ専門企業

GlobalSignについてですが、弊社はSSLに代表されるようなデジタル証明書を軸に、ECサイトもしくはオンライントランザクションをセキュアに実行可能にする、専門企業です。

基本的には、ホスティングの付加価値サービスとして、SSLを中心にドライブしてきています。それを中小企業に広げて、と言ってもケースバイケースなのですが、大きめのエンタープライズにもアップセルをかけているところです。

直近3、4年くらい前から、大量高速発行システムをIoTであったり、大量の文書署名市場をターゲットに開発している最中で、それをロールアウトしていくことが、今GlobalSignの技術、製品開発チームがフォーカスしているところです。

これがマーケットセグメントなのですが、グローバルで見たときに、リージョンもしくは各国で濃淡があるとは思うのですが、先ほど申し上げた中小企業であるとか、ホスティング、クラウドサービスプロバイダー、エンタープライズ、政府系のプロジェクトといった、マーケットエリアでのプロジェクトへの参画要請が、年に複数回か入ってきます。

当然のことながら、そういった既存ビジネスも伸ばしていくんですが、みなさんもご承知の通り、証明書自体がやはりコモディティ化してきているという側面もあります。ですので最終的には証明書を軸にしたサービスであったり、企業様でいろいろなSSLやコードサインなどデジタル証明書を使う場面があると思うのですが、それらの個別証明書に付随する付加価値サービスを今順次開発しているところです。

これが、ちょっと違った切り口でみた、GlobalSign製品のポートフォリオです。先ほど話したSSLもそうですが、じゃあそのSSLを使ってリセールするとか、そういう違った仕組みですよね。

コードサインであるとかS/MIME、文書署名は、マーケット的には規模の経済性を背景にかなり熱くなっています。この部分のビジネスを強烈にドライブして、それを付加価値サービス展開にもっていく。例えばGAFAM（ガファム ＝Google, Apple, Facebook, Amazon, Microsoft）みたいな、ものすごいトラフィックを吐くようなサービスも一緒に技術、製品開発およびビジネス展開している側面もあります。

開発でもそうですが、インフラのキャパシティレベルでトレンディングを追って、例えばトラフィックをどれだけさばけるようなインフラにしなければいけないというのは、ある程度わかります。例えば来月から大容量が必要とされるビジネスが入ってきました、となると、それが指数関数的に、ドドンと増えてしまうというような現象も多々見受けられます。

ですので技術的な手当てもそうですけれども、やはりグローバル拠点でのセールスチーム、もしくはBizDevチームと協調しながら、実際のキャパシティエンジニアリング、キャパシティマネジメントというのも、インフラ的には今注力しているところです。

ここが、たぶんGlobalSignのビジネスがものすごくユニークなところだと思います。もともと我々のインフラ自体は、それぞれの基礎技術的な話でいうと、通常のテクノロジースタックで完結すると思うんですよね。

ただ、証明書を発行申請する、それを登録する、発行する、それを失効するというようなX.509、またそれに準ずるような標準仕様に合わせて動作するようなことも準拠しなければいけない、またそれらを第三者的に監査可能な形で業務遂行するといったところが非常にユニークなところで。

こういった標準仕様は、X.509だけじゃなく、いろいろなものがあります。そういった環境の中で通信の安全性とか利便性の向上というのを、先ほど出ていたCAB F、CAB Forumという業界団体で、合議制でいろいろ決めています。

たぶんCAB Forum自体は、参加している企業が50社以上あると思います。基本的にはブラウザですね。大手もそうですし、オープンソースもそうですが、ブラウザは全部そこに入っていて、あとは我々も含めて公的な企業も入っていて。なんちゃっても入ってたりはするんですけれども。あとめずらしいところでは、クレジットカードの会社も入っていたりします。

GlobalSignが信用に足るということを証明するために

先ほどもお話ししましたが、すべて合議制でものごとを決めていく集合体なので、すべてはバロット（投票制）というか、議決で全部ものごとを決めていきます。また先ほど申し上げた公的認証局の”公認”の部分ですが、我々もここの部分、いわゆるブラウザがGlobalSignは信用に足るということを証明しなくてはいけない。

これは我々だけではなくて、ほか競合企業もそうですけれども、それに対して我々はこういうことをしているので信用に足りますということを照明するために、（スライドの）下にある「WebTrust」の監査基準を通さなくてはいけないのですが、これが非常に厳しいもので、たぶんWebTrustでは私が知る限りでは、6つくらいその下にサブカテゴリーの監査要項があります。我々が今監査を受けているのは、WebTrustだけではなくて、ISOの27000系、あとはPCI DSS、シンガポール政府発行の監査要項、およびNAESB（北米エネルギー規格協会）といったところの監査も受けて、監査承認を受けてうえで、公的認証局という処遇を受けています。

そういう意味で、参入障壁は非常に高いと思います。2、3年前に、中東のある国から指名入札みたいなことがありまして、そのプロジェクトのメンバーとして参加していろいろヒアリングしたことがありました。

結局データセンターの作り込みもかなり特徴的であるし、やはりコストもかかると。それを作ったうえで、運用オペレーションも非常にコストがかかるので、そこは諦めたという経緯もあります。

これが現在のGlobalSignの営業している国々ですね。技術開発と製品開発、PMと呼ばれる人たちも含めてですけれども、基本的には日本、イギリス、アメリカ、シンガポールで、先ほどいったいわゆる付加価値のあるサービスを作る部分は、インドでやり始めているといったところです。

先ほど申し上げたECですけれども、ECのみならず、今後例えばIoT分野への積極参入という話になっていきますと、そこで例えばですけどヘルスケアなどにも利用される場面もあるかと。ですので、より高次での可用性といったものも考えないといけない局面にいるかと思います。

最低でも3拠点。我々は現在でもデータセンターを運用していますし、パブリッククラウドもケースバイケースで利用してますが、そこを150パーセントずつでキャパシティを組んでいけば、仮に1つ落ちたとしてもすべて100パーセントで捉えることができるという設計にして、今まさに動いているところです。

GlobalSignのインフラチームVP（統括責任者）

こういったグローバルでの展開のチャレンジを我々と一緒に日々切磋琢磨しているヨーロッパから2人のメッセージをもらっているので、ちょっと流してもらえますか？　お願いします。

――簡単に自己紹介と担当業務を教えてください。

Laurence Pawling氏（以下、Pawling）：Laurence Pawlingと申します。GlobalSignのインフラチームVP（統括責任者）で、入社して約4年が経ちました。インフラチームは世界中でGlobalSignのすべての認証局と付随するサービスを管理しています。チームは英国、シンガポール、日本、そしてフィリピンの4ヶ国を拠点としています。そのうち3ヶ国でインフラを提供しています。

――新型コロナウイルスによる日常生活への影響について。

Pawling：インフラチームとしてはコロナウイルスによる影響はそこまで受けていません。もともとリモートで働ける環境で、というのも万が一なにか起きた場合に、いつでもどこからでも修正できるようにするためです。

ただコラボレーションなど影響を受けている部分もあり、ホワイトボードを囲んで行う会議や対面での共同作業など色なアイデアをチーム内で議論するのが好きなので、全員がリモートワークのときはそこがかなり難しいですね。

――コロナウイルスの状況下でとくに大変だったことと、その困難をどのように乗り越えたか教えてください。

Pawling：どうしても1つ選べと言われたら、何度か実際にデータセンターに出向かなければならなかったことだと思います。認証局としてメンテナンスやPKI（公開鍵基盤）関連の業務など、どうしてもリモートでできない作業があるため、データセンターに行く必要がある場合はエンジニアの安全をきちんと確保していましたが、自宅からデータセンターまでの安全性を基準に誰が向かうべきかという優先順位をつけたリストもあります。

よって、データセンターまで徒歩や自転車でたどり着ける人が最優先で対応することになります。さらに災害復旧時の手順も構築し、もしロックダウンの規制がより厳しくなったり、例えばシンガポールでの感染リスクが高まった場合にイギリスで管理機能が実行できるようにしたり、その逆の場合も同様ですが、なにか起きても運用が継続できるようにしています。

――GlobalSignで働いていて最高にワクワクすることは？

Pawling：PKIは非常に難しい業界ですが、そのおかげでおもしろくもあります。とても難しい分野で理解しにくく多くのニュアンスや機微を読み取らなければなりませんが、私やインフラチームで働きたいというタイプの人々はその困難に挑戦することにやりがいを感じています。

わかりにくことを理解したり、暗号法に関連した難易度の高い数学を理解することでとてもワクワクします。またGlobalSignではそのチャレンジに挑む機会があるだけでなく、実際に変化を生み出すことができます。

グローバルな企業として定評があるぐらい大規模な組織であると同時に機敏さがあり、成長中で絶えず活動しており、エンジニアとして入社初日からチームや会社に貢献ができる実感をもてる小規模な組織という点も魅力的です。

GlobalSignのCISO

――簡単な自己紹介と担当職務、そしてGlobalSign入社までの経歴を教えてください。

Arvid Vermote氏（以下、Vermote）：Arvid Vermoteと申します。ベルギーに住んでいます。GlobalSignにどうやってたどり着いたかというと、最初の仕事はバイオリン奏者だったのですが、音楽家としての生活があまり合わなかったので、IT業界に移り、サイバーセキュリティ対策でコンサルタント会社内にハッカーのチームを立ち上げました。

GlobalSignは自分のお客様のうちの1社だったのですが、LaurenceをはじめGlobalSignのメンバー数名と知り合い、転職しないかという勧誘を受けたことがきっかけです。

――新型コロナウイルスによるベルギーでの日常生活への影響について。

Vermote：かなり影響はありましたね。通常の移動が可能なときであれば、世界中を飛び回ってGlobalSignの多くのオフィスで、チームメンバーと頻繁に顔を合わせています。というのも、自分のチームメンバーは11の拠点に約40人いるためです。

またCISOという役職である以上、組織のさまざまな側面すべてが安全であることを保証しなければならず、実際に各オフィスを訪問しないと、オフィスのメンバーと信頼関係を築くこともオフィスの安全を保つのも難しいと感じています。

もちろん出張は必須というわけではありませんが、実際に対面で話したほうが信頼関係を構築しやすいですし、セキュリティが頑丈な会社を運用するにあたり、大勢の信頼が非常に重要になります。

よってコロナウイルスによる最大の変化は、出張で世界中のオフィスのメンバーに会うことや唐澤さんやLaurenceと集まって多くのことを議論し合意できていたことが、急にすべてリモートになったことですね。

――コロナウイルスの状況下でとくに一番大変だったことと、その困難をどのように乗り越えたか

Vermote：最も難しかったのはGlobalSignが提供するサービスです。GlobalSignではデジタルIDを提供しており、つまりデジタルIDが実際の人と一致しているかどうかを証明しています。一般的にはデジタルIDを申請している当事者が実際に役所に行き本人確認を行わなければならないのですが、コロナウイルスの影響で役所に行けなくなった。このためデジタルIDを提供し続けながら万全な体制で不正を防ぐ代替案を考えなければなりませんでした。

とくに通信手段がオンラインしかないうえに、ディープフェイクなどの最新技術により、不正なのか、デジタルIDを申請している本人なのかを見抜くことが困難になってきている中で、本人確認の手段を考案するのが一番の課題でした。

――GlobalSignで働いていて最高にワクワクすることは

Vermote：まずはじめに経歴や文化が多様なメンバーで構成されたグローバルな組織で働くことができるという点ですが、なによりパートナー全員の業務、PKI、そしてGlobalSignに対する熱意がすばらしいと感じています。そんな仲間に囲まれ、仕事への熱意に溢れた環境でみんなが好きなことや得意なことに取り組めるように促す文化が、GlobalSignで、今までそして今後も最も重要な価値観だと思います。

パートナー同士の関わりや複雑で文書化されていない技術をグローバルで管理できる数少ない企業の一員であるということが自分の業務とGlobalSignに対する活力となっています。GlobalSignのさまざまなパートナーと一緒に働くことができるのは本当に最高です。

GlobalSignがどうやってグローバルに連携しながらプロダクトを作っているか

唐澤：ご清聴ありがとうございました。元バイオリン奏者がITのCISOになるみたいなけっこうユニークはバックグラウンドを持った人材がGSにはたくさんおります。

ここでちょっとギアチェンジしまして、今のコロナの状況でとくにリモートワークであるとか、それにまつわるID管理、文書証明など、そのあたりの開発の流れが、GlobalSignでそどうなっているのかについて、浅野から概説してもらいたいと思います。

浅野昌和氏（以下、浅野）：それでは私からGlobalSignの中でプロダクトの開発が、グローバルに連携しながらどうやって行われているかについて説明したいと思います。

GlobalSignのプロダクトに関しては、プロダクトオーナーという人たちが1人ずつ各プロダクトにアサインされています。主にアメリカを拠点にしているメンバーが多いんですけれども、こういったプロダクトオーナーが、プロダクトのスペックであるとかロードマップを決める権限をもっています。

実はグローバルに、各拠点にリージョナルプロダクトマネージャー、RPMって呼ばれる人たちがいて、彼らが各拠点のニーズとかリクワイアメントを集めてくる役割をしているんですね。

そうやって集めてきたリクワイアメントをプロダクトオーナーに投げて、プロダクトオーナーはそれをインプットして、あるいはさっきちょっとお話がありました「CAB Forum」での検討内容であったり、あるいはWebTrustの動向であったり、あるいはマーケティングのデータであったり、こういったことを総合的に判断してロードマップを引きます。

ロードマップが一旦引かれると、それぞれのスペックについて、各開発チームとプロダクトオーナーの間で落とし込んでいく作業になります。これは主にConfluenceというwiki的なツールを使って日常的に行われています。あとは毎週もしくは隔週でオンラインミーティングをして、プロダクトオーナーと開発メンバーがいろいろ話をしながら行われます。

ある程度スペックの落とし込みができたら、今度は実際にJiraのほうにチケットを作って、各チケットをどのスプリントで実装するかをプロダクトオーナーと開発チームで決めて、リリースプランができる感じですね。実際に開発チームが実装して、最終的にプロダクトオーナーのレビューを受けて、オッケーであればリリースしていくと。そういうような流れになっています。

実は最近とくにいろいろ反響をいただいている、GlobalSignの親会社であるGMOクラウドがもっている電子印鑑、電子契約のソリューションであるAgree。こちらのほうも、日本のマーケットをターゲットにして日本で開発したプロダクトだったのですが、これを世界に拠点をもつGlobalSignを通して、グローバルで売っていこうじゃないかということになりました。

このプロジェクトを進めるにあたり、GlobalSignのインドの開発拠点がAgreeのグローバル化に必要な開発を担当することになっています。

既にGMOクラウドのプロダクト担当者あるいは開発のメンバーと、GlobalSignのインドの開発メンバーが、どこをどうやって変えていけば世界で売れるものになるかをいろいろ話し合って、コラボレーションしながらプロジェクトを進めています。

これからもっといろいろなリージョンで売っていくために、例えば各国の法制度にどうやって合わせていくかとか、そういったことも考えながら製品のグローバル化をどんどん進めていくつもりです。こういうかたちで、日常的にGlobalSign、あるいはGlobalSignとGMOクラウドの間で世界的にコラボレーションしながら、開発が進んでいる状況です。

海外では外国語はプログラミング言語のようなもの

浅野：私から続いて、ワールドワイドで働きたいと考えているエンジニアの方、これをご覧になっているエンジニアの方にメッセージということでお話したいのですが。まずコロナでリモートワークが本当に日常化して、例えばオフィスにいなくても仕事ができるよねとか、あるいは東京にいなくても仕事ができるよねっていうのが普通の状態になっていると思うんですね。

だけど我々、ともすると日本というエリアに限定してこれを見がちなんですけれども、実はこれはグローバルに言えることで。日本のプロジェクトであっても日本にいなくても開発に参加できるよねとか。日本人じゃなくても開発できるよねみたいな感じに、もうどんどん加速していっていると思うんですよね。

言語の問題はありますけれども、逆にそれさえクリアさえできれば、例えばアメリカとかイギリスの優秀なエンジニアが日本のプロジェクトに参画するとか。あるいは日本のエンジニアと遜色ないアジアの、あるいはロシアのエンジニアの人たちがもっと日本よりも安いコストでエンジニアリングをするとかっていうことが現実的になってきていると思うんです。

そういう国際的にエンジニアの人たちが競争にさらされている状態がどんどん加速度的にできあがってきていると思うんですよね。そういったことをまず、エンジニアの方々は意識したほうがいいんじゃないかなと思っています。

なので、みなさんが国際的な中で、ご自身がどうやってエンジニアとして国際競争力をもっていくは、これからすごく重要だと思うのです。こういうことを意識して積極的に外に出ていく。本当にボーダーレスになっていると思いますので、そういったことを気持ちとしてもちながら、日々取り組んでいくというのは大事なんじゃないかなと最近思っています。私からは以上です。

唐澤：私からも一言ありまして。海外で働く、もしくは英語でいろいろなことをやるというのは、けっこういろいろなことをあちこちのメディアで言われていると思うのですが、言葉の壁は当然あるとは思うのですけれども、アレルギーがあるというのはちょっと問題かなと思うんですよね。

ほかの言葉が嫌いっていう人はいるんですけれども、例えば東アジアの方たち、韓国の方であるとか中国の方は、英語を学ぶのは、それこそJavaを学ぶ勢いで学んできているわけですね。なので、基本的には自分の価値を一番高められるところに移動して就労する。

例えば違う言葉をしゃべれれば、それがプログラミング言語みたいになると。やはりそのへんの気持ちの切り替えというか、そこらへんもちょっと考えていくのが1つ。

あとはやっぱり一芸に秀でることですかね。「こいつの必殺技はこれだ！」っていうのを周りにいる人に見せられないと、まあ信頼に足るっていうわけではないですが、頼りになるとは思われないので。そこはやはり「自分の爪はこうあるんですよ」っていうのを磨いたうえで、ほかの人たちとも例えば違う言語で意思疎通しながらやっていくことが大事かなと思います。

以上です。