GMO Flatt Security 採用情報/カルチャー/技術的なチャレンジの機会が多く、フラットな組織で働ける!Flatt Securityのセキュリティ診断エンジニアの働き方
募集職種メンバー紹介カジュアル面談選考に応募
募集職種メンバー紹介カジュアル面談選考に応募

技術的なチャレンジの機会が多く、フラットな組織で働ける!Flatt Securityのセキュリティ診断エンジニアの働き方

目次

はじめに

初めまして、Flatt Securityで診断エンジニアをやっているfujirです。私はFlatt Securityに入社して2年経ちます。軽く経歴を説明すると、新卒入社した会社でWebアプリケーションの開発を3年くらい行い、セキュリティに興味が湧いたので診断エンジニアにキャリアチェンジしました。前職で3年くらい診断業務に従事した後、Flatt Securityに入社しました。
 
本稿では、スタートアップ企業であるFlatt Securityの働き方を、解説していこうと思います!すこし一般的な企業さんとは仕事の流れや、組織体制だったり、仕事の領域の幅だったりが違っているかもしれませんので、Flatt Securityに入社を考えている方や、興味がある方は最後まで読んでみてください!

Flatt Security診断エンジニアの業務内容

Flatt Securityの診断エンジニアは基本的に以下の作業を行います。
 
  • 診断
一般的な診断作業を行います。ソースコードを提供いただけるお客様の診断ではソースコードを確認しながら診断しています!ここはFlatt Securityならではかもしれません!
 
▼ソースコード診断無料付帯についての解説記事
 
  • 診断案件の管理
案件管理と言ってもすべての案件の管理を行うわけではありません。Flatt Securityではプロジェクトマネージャー(PM)がすべての案件の進行管理を行っています。
診断エンジニアは担当になっている案件に「診断リーダー」という形でアサインされた場合に、進捗管理・顧客折衝・診断準備などの作業を行います。
 
  • 見積もり
すべてリクエストを確認するようなクローリングは基本的には行わず、診断エンジニアがお客様のご要望や対象の機能等を確認して、診断対象の優先度づけを行い見積もりを作成します。
 
※絶対にクローリングを行わないわけではありません。お客様からのご要望や、案件状況によりクローリングを行うこともありますが、他の企業さんと比べて絶対的に数は少ないと思います。
 
  • 営業同行
基本的に診断エンジニアはお客様とのMTGには参加します。営業さんが回答できないような、技術的な話をするためです。
他の企業さんでは診断エンジニアは参加せず、プロジェクトマネージャー等の役職の方が参加することが多いかもしれませんが、Flatt Securityでは基本的に全員営業同行に参加します。ここもFlatt Securityならではかもしません。
 

組織体制

 
Flatt Securityではセキュリティ診断をPfS(プロフェッショナルサービス事業部)という部門で提供しています。事業部長と事業CTO以外のメンバーに縦割りのような役職は付いていません。
また、プラットフォーム・Web・スマホ専任の部門にも分かれていないため、すべての診断エンジニアは同じ部門・立場も同列になっています。
 
「部門が分かれていないだけで、Web専任みたいな役割があるんじゃないの」と思われるかもしれませんが、専任というものは存在しません。
もちろん、その領域の診断が行える人間が案件を担当するのが原則ですが、現状自分ができない領域の診断にチャレンジできないということではありません。
 
新しい診断領域に挑戦するために技術トレーニングを行なった人に向けて、新しい診断領域にチャレンジするのを後押ししています。その領域の診断ができるメンバー+新しく技術取得したメンバーで診断にアサインし、一人で診断ができるようになるまで一緒に案件をこなしていきます。
他の企業さんのように、部署異動がないので新しい診断領域に挑戦しやすい環境ではないかなと思っています。
 
私もスマホの案件は前職で実施しておりませんでしたが、今はできるメンバーと一緒に案件を担当しています!すべての診断領域を網羅できる診断エンジニアになりたいという個人的な目標があるので、非常に嬉しいポイントのひとつです!
 

案件の特徴

基本的にモダンな対象が多く、ほとんどのWebアプリケーションはSPAだったりします。それ以外にもGraphQLやgRPC・Firebaseなどいろいろな案件があります。
 
逆に昔ながらのMPAのサイトはほとんどない気がしています。もちろん0件というわけではないですが、最後にいつ診断したかな?と記憶を辿らないと思い出せないくらい少ないです。
 
あと、オンサイト案件や時間制限付きの案件もほとんどありません。これはお客さんの特性もあるかと思いますが、なるべく24時間診断できるような環境を準備していただいています。
もちろん、文字通り24時間診断を実施することはなく、実際の診断作業は日中の数時間のみ行います。万が一の場合に備えて、いつでも診断できる環境を準備していただいています。
 
また、報告会もほとんどありません。報告会は基本的な診断案件にはついておらず、オプションという形になっているからです。
Flatt Securityでは報告会でしか伝わらないようなレポートを作成しないように、開発者にわかりやすい・再現しやすいレポートを提供することを目指しています。誰でも読みやすく理解しやすい状態になるよう、エンジニア同士でレビューをし合って質の担保を心掛けています!
 

診断以外の仕事も

Flatt Securityの診断エンジニアは診断以外の仕事もできます。具体的には、内製のORCAsという診断案件を管理するWebアプリケーションの開発やBurpExtenderの開発、社内で使用できるツール開発、CTFの作問等々行なっているメンバーなどがいます!
他にも、ビジネスサイドの戦略を考えているメンバーやインターンの枠組みや施策を考えているメンバーなど様々です。
 
もちろん、これらの仕事も相談次第で、誰でもできます!
また、セキュリティ診断未経験の開発エンジニアの方などは、はじめにORCAs開発をやりながら、診断を進めていくというオンボーディングのフローがあったり、未経験だとしてもセキュリティ以外の領域ですぐに活躍できるような環境もあったりします。これらもFlatt Securityならではかなと思います!

Flatt Security診断エンジニアの1日(fujir)

 
10:00   出勤
「私は大体10時を目指して出勤します!Flatt Securityでは12:00-17:00がコアタイムのフレックス制を取っているので、人によっては12時に出勤する人や朝早く出勤する人もいます。結構ゆるゆるな感じです。」
 
10:00-10:30   確認作業
「コーヒーを飲みながらSlackを確認したり、今日の予定を確認したりします。Flatt Securityではメールではなく、原則Slackで顧客とのやり取りを行っています。」
 
10:30-13:00   セキュリティ診断
「1日中セキュリティ診断をやっている日も多いです。」
 
13:00-14:00   休憩
「おいしいラーメンを食べにいきます。」
 
14:00-18:00   セキュリティ診断
「福利厚生のレッドブルを飲みながら、セキュリティ診断をすることが多いです。」
 
18:00-19:00   技術の勉強・勉強会
「案件に余裕があった場合に限ります。」
 
19:00      退勤
 

Flatt Securityに入社してよかったこと!

私がFlatt Securityに入ってよかったことをつらつら書いていこうと思います!
 
  • やったことない診断領域にチャレンジできる
  • 診断以外の仕事ができる
  • 出勤時間がある程度自由である
  • 裁量が大きい
  • 技術が好きなメンバーばかり
  • 給料が上がりやすい
  • オフィス周辺のラーメンがおいしい
  • 案件に余裕があるなら、勤務時間中に技術の勉強をしてもよい
  • 勉強会がさかんである
 
その他の仕事の特徴などについては、ぜひ以下の事業部案内資料をご覧ください!
 

最後に

いかがでしたでしょうか?Flatt Securityの診断エンジニアの仕事内容はおわかりいただけましたでしょうか?
少しでも弊社のことが気になりましたら、気軽にカジュアル面談もできますのでぜひご連絡ください!
 
▼カジュアル面談フォーム