社内で13人しかいない階級「シニアエンジニア」(シニア以上は25人)に、入社してわずか9カ月で昇格したセキュリティ対策室のもりたこくん。今回は、もりたこくんがどうやって高い技術を身につけたのか、なぜペパボを選んだか、どんな仕事をしているのかを、同じチームで働く先輩・ひろやんさんと共に伺います。
森田 浩平(もりたこうへい)
twitter: @mrtc0
あだ名:もりたこ
シニアエンジニア。最近ハマっていることは、 OSSのバグレポートや脆弱性レポートを見ること。
伊藤 洋也 (いとうひろや)
twitter: @hiboma
あだ名:ひろやん
プリンシパルエンジニア。最近ハマっていることは、『インサイドWindows 第7版 』を読むこと。
もりたこくんの仕事
ー もりたこくんは今どんな仕事をしているんですか?
もりたこ: 会社のセキュリティにまつわること全般に首をつっこんでいます。主な業務としては、毎日流れてくる脆弱性の緊急度や重要度から優先順位をつけて対応することです。多い時だと1日に100件以上ある中からペパボのサービスに関わるものを選んで、ミドルウェアやOSに脆弱性が出たときどれくらい影響があるのか?攻撃手法はどういったものなのか?それを防御するためにはどういう対策をとればよいのか?などを調査・対策しています。日々の業務のほかにも、ペパボで導入を進めているセキュリティツールをさらに使いやすくする取り組みや、サービスの脆弱性診断、各サービスでインシデントが起こった際の対応判断も担当範囲です。
ー 入社してすぐに全社的なセキュリティ関連業務を任されたんですか?
もりたこ:はい。最初は新卒研修もあったんですけど、並行してセキュリティにまつわる業務を担当してきました。
ひろやん:セキュリティエンジニアは、幅広いレイヤーの技術を習得しなくちゃいけないんですが、もりたこは新卒とは思えないくらい高いレベルの技術を習得済みだったので、通常業務をどんどん任せていきました。
ー もりたこくんの「すごいポイント」を具体的に教えてください。
ひろやん:セキュリティに関するコンテストやアルバイトを経験していたので、技術力だけでなく実務で機能させるスキルがあったこと、それからWebアプリケーションのスキルが突出していて、入社時点で社内で一番詳しい!と言い切れるレベルにありましたね。
今のレベルに到達するまで
ー 学生時代、どうやってセキュリティの勉強をしていたんですか?
もりたこ: 好きなこと(=セキュリティに関する技術)で遊んでいるうちに、身についた気がします。
ー 好きなこと! セキュリティの分野にのめり込んだきっかけは?
もりたこ:高校三年のとき、パソコン室のファイアウォールを抜けたくて、そこからセキュリティにハマっていったというか…(笑)あとは「CTF(Capture the flag)」というセキュリティの技術を競い合うコンテストがあるんですけど、これに参加することで、広いレイヤーの技術を習得していきました。なので学校で体系的に勉強して身につけた訳ではないです。
ー 学生時代にやっておいてよかったことは?
もりたこ: 2点あります。1つは特定の分野にとらわれるのではなく、どんどん手をだしていったこと。分野として、WebアプリケーションとWebセキュリティ中心に、あとはネットワークもやっていたんですけど、実際に手を動かしながら習得するスタイルが今も役に立っています。
もう1つは「セキュリティ・キャンプ」への参加です。セキュリティに関心ある学生が全国から一堂に会して合宿するイベントなんですけど、学生とのつながりはもちろん、業界の最先端で活躍している大人たちとのコネクションが学生のうちにできたのが、一番大きかったです。今もつながりがあって、情報交換できる点で役に立っているなと感じています。
ー ちなみに今やっている勉強法は?ひろやんさんも教えてください!
ひろやん:技術の勉強をするとき、入門書からせっせと上るパターンもあれば、いきなり難しい本から入って、どうやってクリアにしていくか?を考えるトップダウン型のアプローチがあって、長い目線で技術を習得するのであれば、後者のやり方がおもしろいと最近感じています。
もりたこ: 僕も基本的には同じ考え方ですが、書籍のようにまとまった文献ではなく最新の研究資料やその分野で著名な人のブログ記事を全て読んで、その過程でわからないところが出てきたら、ギャップを埋めていくやり方をとっています。
ー ふたりとも低いところから上を目指すのではなく、あえて上から入ってわからないところを潰していくようなやり方で知識を身につけているんですね。
ペパボだからできること
ー 数ある選択肢の中でペパボに入社した理由は?
もりたこ:ペパボには「ロリポップ!」のようなレガシーなサービスと「minne」のような新しいサービスが混在しているので、サービスによってセキュリティの状況が違うところがおもしろいなと感じていました。特にホスティングの分野は特殊な環境で、ペパボでは「LINUXカーネル」という低いレイヤーも知らないといけないため、自分の能力として身につけられたらいいなという気持ちもありました。
ー なるほど、ペパボの多種多様なサービス展開だからこそ、身につけられる能力があった。
もりたこ:はい。でもそもそもペパボを選ぶ以前に、実は新卒入社した会社でセキュリティをやるつもりはそこまでなかったんです。学生のとき脆弱性の診断をアルバイトでやっていて、どのサービスを診断しても、ほとんどのケースで脆弱性がみつかる。みつからないことが少ないくらいです。じゃあ、どうやったら脆弱性を減らせるか?というと、いかにして開発現場の常識としてセキュリティを根付かせていくかが重要だと考えたんです。
なので、セキュリティよりも先にまずは開発の現場を知らなくてはいけないと思ったので、自分がWebアプリケーションの領域が得意ということもあり、Webアプリケーションを開発している会社という観点で会社を選んでいったんです。
ー Webアプリケーションを開発する会社の1つにペパボがあったんですね。入社してみて感じるペパボのいいところを教えてください。
もりたこ:仕事を進めるプラットフォームとして、社内の独自サービスではなくGHEやSlackで日常のほとんどの業務が回るというのは、効率的だと感じています。どのサービスのリポジトリも基本的に全て見れるし、全て自分たちでプルリクできたりイシューを立てられるところも、オープンでいいですよね。
あとは、何かを始めようとすると、みんなの「のっていき」がすごくて。誰も批判したり止めず「いいじゃん!」って、応援してくれる。みんなが後押しするムードは、ペパボらしいチャレンジ精神あふれる文化だなと感じています。
ー 後押しといえば、もりたこくんをシニアへ推薦するとき、ひろやんさんはどんな観点ででアドバイスしましたか?
ひろやん:そもそもペパボ のエンジニア職位制度は「入社して何年目」といった制限がないので、若手でもチャレンジできるものです。もりたこに関しては既に実力があったとはいえ、社内での実績がないと突破はむずかしいので、ペパボで実績をつくるためのポイントをコーチングしました。例えば、実務の効率的な回し方や、どんな場面で誰に頼るべきかを教えたり。
ー もりたこくんがシニアを目指した理由は?
もりたこ:シニアエンジニアを目指す以前から既に、セキュリティ関連のあらゆる課題に対してリーダーシップを発揮して解決してきた実績があり、今の自分ならシニアに相応しい働きをしているという自負があったからです。あとは、やっぱりお給料も早く上げたい気持ちがありました(笑)
これから挑戦したいこと
ー では、もりたこくんが、これから挑戦したいことを教えてください。
もりたこ:ペパボでは今「Wazuh」などのセキュリティツールの導入を進めているんですけど、それを使って日々の業務を楽にしたり、インシデントが起こったときに対応を自動化するツールをつくれたら。
それから「DevSecOps」という、開発のサイクルの中にセキュリティを根付かせる取り組みですね。例えば、脆弱性診断を自動化したり、リリース前に脆弱性を検知して、後々何か起こったときにコストをかけるのではなく、最初にセキュリティ対策をすることでコストを減らそうという考え方がです。こういった考え方を全社に浸透させたいのですが、短期的にはなかなか定着しないので、しっかり浸透させるためには、2、3年かかるだろうと考えています。
ー チームの今後はいかがでしょう?
ひろやん:セキュリティ対策室は、事業部を包括した役割を担っているので、どこかのサービスで問題が発生したときに、すぐに各事業部のパートナーとコミュニケーションをとりながら、問題を把握して対策を打って、事態を収束させなくてはならないんですね。
なので「CO3(Communication, Completenes, Continous)」というマインドを掲げて、ペパボ全体のセキュリティ力を高めて、ひいてはお客さんを守ることに直結させたいと考えています。
ー 最後に、これからどんな人とお仕事をしたいか教えてください。
もりたこ:セキュリティエンジニアには2つの素養が必要で、1つは幅広いレイヤーを身につけていること、もう1つは、ハックする力だと感じています。脆弱性から防御するということは「その脆弱性を突くには、どういったことをすればいいのか?」という逆の発想をしなくてはならないので、攻撃者の心理を突き詰めて考えられる人がペパボに来てくれたら嬉しいです。
ひろやん:僕も、幅広いレイヤーに興味がある人がいいなと思うのですが、一方で「この分野なら負けない」というスペシャリストも大歓迎です。そういったスキルに加えて、ペパボというチームに楽しくコミットしたいという気持ちが合わさると、セキュリティだったり開発だったりOpsだったり…何でもチャレンジできる環境が待っていると思います。
