中谷翔の公開職務経歴書です。
- 株式会社SecDevLab 代表取締役CEO
- AIを活用した独自のペネトレーションテストツール研究開発。セキュリティテスト等のセキュリティサービス。
専門はセキュリティ&プライバシー技術・認証技術・データベース・ストリーム処理など。コンピュータサイエンスに関する分野は一通り押さえている(つもり)。
- Black Hat USA 2025 (Arsenal) "wish: An AI-Powered Natural Language Shell for Penetration Testing" (2025/08)
- HackFes.2025 "RapidPen: AIエージェントによる高度なペネトレーションテスト自動化の研究開発" (2025/07)
- セキュリティ・ミニキャンプ in 大阪 2025 "体得しよう!RSA暗号の原理と解読" (講義資料) (2025/03)
- セキュリティ・キャンプフォーラム 2025 "AIエージェントによるペネトレーションテスト初期侵入全自動化の研究" (2025/03)
- Beam Summit 2023 "Developing (Experimental) Rust SDKs And A Beam Engine For IoT Devices" (講演動画) (2023)
- ET & IoT West 2022 招待講演 "IoT・車載機で動作するストリーム処理系SpringQLの紹介" (2022)
- Shumpei Shiina, Sho Nakatani, Takumi Hiraoka, and Kenjiro Taura, "PrivJail: Enforcing Differential Privacy in Pythonic Data Processing," TPDP 2025
- Sho Nakatani, "Memory Efficient Stream Processing for IoT Devices," 2022 International Conference on Algorithms, Data Mining, and Information Technology (ADMIT), 2022, pp. 129-139, doi: 10.1109/ADMIT57209.2022.00029.
- Jun Nakashima, Sho Nakatani, and Kenjiro Taura. "Design and Implementation of a Customizable Work Stealing Scheduler." ROSS2013
- 椎名峻平, 中谷翔, 平岡 拓海, 田浦 健次朗, "PrivJail: 差分プライバシーを強制するPythonライブラリ", 第17回データ工学と情報マネジメントに関するフォーラム (DEIM2025)
- 中谷翔, "End-to-end 秘密計算ストリーム処理の構想", 第15回データ工学と情報マネジメントに関するフォーラム (DEIM2023)
- 中谷翔, Ting Chen, 田浦健次朗, "ストリーミングデータを扱うワークフローの外部モジュールの扱いに着目した低遅延実行", SWoPP2013
- 中島潤, 中谷翔, 田浦健次朗, "スケジューリング方針をカスタマイズ可能な軽量スレッド処理系の提案", SWoPP2012
- 中谷翔, Ting Chen, 田浦健次朗, "ワークフローアプリケーション基盤としての並列DBの性能評価", SWoPP2012
- 中谷翔, 中島潤, 田浦健次朗, 近山隆, "再帰的に生成したタスクに対するデータ局所性を考慮するスケジューラの実装と評価", 情報処理学会 第74回全国大会 (学生奨励賞,推奨卒業論文認定)
- Sho Nakatani, "RapidPen: Fully Automated IP-to-Shell Penetration Testing with LLM-based Agents," 2025 arXiv, https://arxiv.org/abs/2502.16730
- 特開2025-089067
- 時間的局所性に着目した低容量クラスタのためのデータ分散配置
- 特願2025-080819
- LLMを用いたペネトレーションテストの自動化・精度向上・高速化手法
- 特開2024-163723
- ブロックチェーンと暗号技術を用いてデータ交換とその完了記録をatomicに実施
- 特開2024-115673
- 秘密計算での分散ストリーム処理
- 特開2024-115935
- 秘密計算での分散処理
- 特開2024-127056
- 複数サービスをまたぐデータ流通のため、エンドユーザーのID連携の手間を削減
- 特開2024-100252
- 複数組織をまたぐデータ流通のため、プラットフォームがエンドユーザーの個人情報を得ず、かつ参加組織同士でのエンドユーザーのトラッキングを防止しつつ、データ流通のチケッティングを行う
- 特開2023-123074
- メモリ消費量低減を優先目的としたストリーム処理のタスクスケジューリング
- 『n月刊ラムダノート』Vol.4 No.1(2024): 「手を動かして学ぶストリーム処理入門」 (中谷翔)
- PWS Cup 2024 ベストアタック賞 / 総合7位 (2024)
- KAT-TUNE チームとして出場
- IPA未踏プロジェクト (2012)
- "High Performance SQLite": SQLiteに対し、適応的プリアロケーションとハッシュ値によるGROUP-BYの手法を適用し、2.8倍の高速化を達成。
- ICTプログラミングコンテスト DeNA賞 (2012)
- "DDDFS (Dynamically-Duplicate Distributed File System)": 冗長性・レイテンシ低下を意図した広域分散分散ファイルシステムの実装を2名で共同開発。
- セキュリティ&プログラミングキャンプ2010 プログラミングコースLinux組 修了 (2010)
- ファイル削除のシステムコールに応じ、ファイルの中身を数度0埋め上書きするようなカーネル層のファイルシステムを開発。
- OffSec Certified Professional (OSCP; certification)
- Burp Suite Certified Practitioner (BSCP; certification)
- CISSP (certification)
- 情報処理安全確保支援士(合格; 未登録)
- 統計検定2級
出場したもの
| 出場時期 | コンテスト | チーム | 順位 | 特記 |
|---|---|---|---|---|
| 2024/10 | Automotive CTF 2024 世界決勝 | TeamOne チーム (5名) |
4位 / 6チーム (上位67%) | writeup |
| 2024/09 | Automotive CTF 2024 日本決勝 | TeamOne チーム (5名) |
2位 / 5チーム (上位40%) | writeup |
| 2024/08 | Automotive CTF 2024 予選 | TeamOne チーム (5名) |
5位 / 382チーム (上位1.3%) | writeup |
| 2024/03 | picoCTF 2024 | laysakura チーム (1名) |
72位/6954チーム (上位1.0%) | writeup |
| 2024/02 | 防衛省サイバーコンテスト 2024 | laysakura (個人戦) |
7位/450人 (上位1.5%) | writeup |
| 2023/10 | SunshineCTF 2023 | laysakura チーム (1名) |
46位/821チーム (上位5.6%) |
後追いで解いたもの(個人)
| 解答時期 | コンテスト | 順位 | 特記 |
|---|---|---|---|
| 2024/08 | Automotive CTF Season1 | 1位/1371人 (上位0.07%) | writeup |
- 言語Sandbox環境の脆弱性とその真因の考察 - RestrictedPythonを題材に (Python Advent Calendar 2024) (2024)
- ソフトウェア研究における脅威モデリング(Cyber-sec+ Advent Calendar 2024) (2024)
- XZ UtilsのSWサプライチェーンとOSSエコシステムの話 (Secure Liaison By Secure旅団) (2024)
- 〜そのイメージ、本当に信頼できますか?〜 CVE-2024-21626 でホストのrootを奪取する (2024)
- Streaming Systems輪読会 (2022-2023) 主催。発表多数
-
AIエージェントによる全自動ペネトレーションテストツール RapidPen 研究開発
-
自動車セキュリティ
- Automotive CTF対策として、公知情報から確立した戦略や技法をまとめた記事 - 自動車セキュリティ(カーハック)知見まとめ
-
DID/VC (アイデンティティ技術)
- VCのセキュリティ的考慮事項をサーベイ(ブログ記事)
- VC-API仕様ドラフトの和訳・解説(ブログ記事)
- VC-API仕様ドラフトに関するW3Cへの意見・提案(GitHub Issue)
- VCDM v2.0仕様ドラフトに関するW3Cへの意見・提案(GitHub Issue)
- Holder, Verifier実装者のためのIssuerのMockを開発中 (vc-mock-issuer)
-
Rust OSS開発
- trie-rs: トライ木に基づく文字列検索ライブラリ。簡潔データ構造の自作ライブラリ、louds-rs と fid-rs をベースに開発しており、省メモリかつ高速なのがウリ。
- serde-encrypt: Rustの暗号・シリアライズライブラリを開発。Rustでは serde というシリアライズライブラリが広く使用され、他言語と比べると多くのデータ構造がシリアライズ可能である。serde-encrypt は、serde でシリアライズ可能なデータ構造なら何でもシンプルにハイブリッド暗号方式でやり取りできるものとして作成している。
- SpringQL: IoT機器での動作を想定したストリーム処理系。
- apllodb: RDBMS。DDLに際してレコードの更新・削除を一切不要とする特殊なセマンティクスを持つ実験的なもの。
-
学生時代の諸々
- MySQLite: SQLiteデータベースを読み書きするMySQLストレージエンジン というのを実装し、成果発表。
- Linux のスケジューリング調査と超低優先度プロセスの実装
- 真・SSEを使って8flops/clockを実現する: SSEは(今はAVXに取って代わられた) x86_64 のSIMD命令セットだが、その理論性能である「単精度浮動小数での8flops/clock」の実現のためのノウハウ。
-
また、以下の技術についてはフルスクラッチで実装した経験がある。
- RDBMS, ストリーム処理系, OS, C(サブセット)言語コンパイラ, Python(サブセット)インタプリタ, CPU (FPGA x Verilogで、load/store, ALU程度の簡単な命令セットのもの)
認定スクラムマスター資格保有。
プロジェクトメンバーが最大限力を発揮するためのプロジェクトゴール制定やプロジェクト進行(スクラムで言うところのスクラムイベントの活用)と、ソフトウェア工学に基づいた計画・見積もりに強み。また、これを再現性のある技法としてコーチングすることができる。
プロジェクトメンバーが15名程度の内製開発、10名程度の外注開発などの実績がある。
ある会社様にコーチングした際の資料: 開発プロセス・スケジューリング基礎
株式会社SecDevLab / 代表取締役CEO (2025/06 - 現在)
事業内容は会社サイト参照。
トヨタ自動車株式会社 / 主幹 / Principal Researcher (2021/09 - 2025/09)
- (継続) 新規プラットフォーム事業企画開発(プロダクト責任者兼開発責任者)
- 差分プライバシーデータプラットフォーム研究(セキュリティ・認証部分主担当)
- 社内データのプライバシー保護に関する取組
- コネクティッドカンパニーの先端技術戦略(カンパニーフェロー付)
- 車載機〜クラウドにおける、データのセンサリングから分析までのデータフロー・データ基盤の研究開発
- SpringQL (車載機・IoT機器向けストリーム処理系) のOSS開発(author)
- Rust SDK対応のため、Apache BeamのRust SDK開発コミュニティを主導
- E2E秘密計算ストリーム処理の研究
- SpringQL (車載機・IoT機器向けストリーム処理系) のOSS開発(author)
- 新規プラットフォーム事業企画開発(プロダクト責任者兼開発責任者)
Idein株式会社 (2020/03 - 2021/08)
IoTデバイスへのソフトウェア遠隔インストールを実現するための研究開発を行う。
- 事業内容:インターネット証券事業
- 資本金:91億2万1636円(2019年3月末時点)
部員最大9名のマネージメントと部門のロードマップ作成を行った。
顧客のサービスへのエントリ(口座開設)に関する箇所を管轄とするシステム基盤を担当する部門であり、金融庁などの行政機関の厳しい法令要件がある中、現実世界の顧客をシステムで集約・活用できるようにモデリングすることが重要。
部長としての仕事は3割程度で、残りはバックエンドシステム開発を行う。eKYCシステムの選定と導入も主担当。
フィナンシャル・テクノロジー部(開発部門)部長。最大40名程度のエンジニアのマネージメントを行った。 2018/10より経営会議参加。執行役員制度が設立された2019/05より兼執行役員。
経営とエンジニアリングを双方向につなぐ動きや、プロダクト開発に最適化した横断的な組織づくりに注力。
開発プロジェクトマネージメントを主に担当。
いわゆるプロジェクトマネージメントの動き(ステークホルダーと協調し、開発内容を明らかにする / 開発計画を立案)と、スクラムマスターとしての動き(開発チームの自律的な活動を支援)を半々で行った。
見積り, 制約理論, CCPMなど、ソフトウェア工学の知見を用いて、再現性のあるプロジェクト運営を心がける。プロジェクトのゴールを達成することのみならず、開発チームの成長を重視。
マーケットデータ(株価・ファンダメンタルズ)を取得/配信するサービスの開発や、証券システムの裏方の設計・開発。
ソーシャルゲームと比べて法整備などが厳格なことから、実世界をモデリングしてプログラムに落とし込むことの重要性を学び、DDDを身につけた。
Webセキュリティ対策についても、脆弱性診断結果を受けてのリスク管理・対応計画策定・実装修正をリード。
エンジニアスペシャリストとして入社。
- 事業内容: ソーシャルゲーム事業、インターネットサービス事業等
- 資本金:103億97百万円 (2015年度)
月間10億円規模の売上を持つアプリの運用・業務フロー改善担当。チーム全体で100人規模となっておりコミュニケーションコストの増大などの弊害が生まれているが、業務フローを改善することでチームの人数を削減してより低コストな運用ができるよう素地づくりを行う。
ソーシャルゲームモバイルアプリが共通に使うサーバサイド機能を提供する Sakasho の開発・運用。
機械学習(特に深層学習)を各種事業領域に活用するための少人数プロジェクトに参画。主にジャパンリージョンゲーム本部への活用を担当し、ソーシャルゲームのプレイログを活用したユーザ運用改善の立案と、機械学習そのものが楽しさの核であるようなゲームのPoC開発を行った。
- クラウドセキュリティプロダクト開発
- ペネトレーションテスト
- Web app
- Windows AD
- IoT機器(物理・遠隔侵入)
- 脆弱性診断
- Web
- AI
- IT・セキュリティコンサルティング (顧問)
- ソフトウェア研究開発
- 複数社で秘密計算・差分プライバシー・データベース・Web地図エンジンなどの研究調査・開発実績あり。
- 認定スクラムマスター
- 証券外務員一種・二種
中谷 翔 [email protected]
その他各種SNSでのご連絡でもOKです。