セキュリティの面白さに魅了され、開発エンジニアからキャリアチェンジ:セキュリティエンジニア fujir
目次
——現在のお仕事について教えてください。
セキュリティエンジニアとして、セキュリティ診断の見積作成から、診断実施、診断後の報告書作成までを担当しています。また、同じ案件に関わる他のエンジニアの進捗確認やフォローを行う案件リーダー的な役割も務めています。
開発エンジニアからセキュリティエンジニアへ
——キャリアのスタートについて教えてください。
大学で学んだコンピューターサイエンスの知識を生かせそうだったのと、楽しく働けそうな環境だったので、新卒でシステムインテグレーターに入社しました。
SESとして、お客様の現場に派遣されてWeb開発を行う形での業務がメインでした。僕は、大手ECサイトの運用チームに派遣され、周りの人たちに教わりながらサイトの開発・運用・機能追加などを担当していました。当時は、大学の授業でプログラミングを習っていた程度で、Web開発の知識は全くなかったので、PHPをゼロベースで勉強しました。
——キャリアのスタートは開発エンジニアだったんですね!セキュリティエンジニアを目指したきっかけは何でしたか?
大手ECサイトの開発をしている中で、セキュリティに興味を持ったのがきっかけです。ある時、隣の席で働いていた同年代のエンジニアが、僕が書いたコードに「脆弱性があるよ」と指摘してくれたんです。脆弱性を修正するのはなかなか難しく、どうにかしたいと思ってセキュリティの勉強を独学で始めたところ、ハマってしまいました(笑)。
僕に脆弱性を指摘してくれた人は開発エンジニアでしたが、セキュリティ・キャンプに参加したり、セキュリティ関係の高度な資格をいくつか持っていたりするような、セキュリティに精通した人でした。今振り返ると、彼との出会いがなければセキュリティエンジニアにはなっていなかったですね。元々、僕は漫画の『ブラッディ・マンデイ』が好きで、セキュリティエンジニアへの漠然とした憧れみたいなものがあったのですが、彼と出会ってセキュリティの勉強を始めたことで、それがより明確化されたように思います。
当時在籍していた企業にも、セキュリティに関する仕事に関わることができないか相談したのですが、叶わなさそうだったので、セキュリティエンジニアとして働ける企業へ転職することにしました。
——セキュリティエンジニアとしてどのようにキャリアをスタートしましたか?
セキュリティ診断事業を立ち上げることになったということで、エンドポイント製品の運用やセキュリティコンサルティングなどを展開する企業が、未経験可という条件でセキュリティエンジニアの募集を行っていました。未経験でも採用してくれる企業は限られていたので、その企業に入社することにしました。
セキュリティ診断の顧客対応からスケジュール管理、診断実施までを担当していました。当初は上司と2人で案件を回していたのですが、1年弱ぐらい経った頃に上司が退職し、以降は僕1人で対応していくことになりました。周囲のセキュリティエンジニアにわからないことを教えてもらったり、セキュリティ診断手法を自分で調べたりしながらスキルを身につけていったりしました。
——開発エンジニアからセキュリティエンジニアへのキャリアチェンジを図る中で、どのようにスキルアップを進めていましたか?
開発エンジニア時代は、周りにセキュリティの勉強をしている人がいなかったので、独学でした。通勤中や業務時間外はずっと勉強していましたが、ハマってしまっていたので全く苦ではありませんでした。
セキュリティエンジニアとして転職してからもずっと勉強を続けています。セキュリティ診断を担当するようになった頃、上野宣さんの『Webセキュリティ担当者のための脆弱性診断スタートガイド』をまず買いました。
どのような脆弱性があるか、「やられアプリ」や「やられサイト」を使いながら勉強していきました。元々Web開発をやっていたので、脆弱性の発生ロジックはスッと理解できました。一方で、「脆弱性によりどのような被害が発生するのか」という具体的なインシデント事例について理解を深めるのに苦労しました。開発だけをやっていると、どうしても見えてこないところだなと感じました。
——なぜ転職を検討するようになったのでしょうか?
年齢層が全体的に高めの会社だったこともあり、技術について熱心に勉強している人が少なく、やや物足りなさを感じていました。後輩に教えることで得られる学びもありましたが、もっと技術に詳しい人が多く、自然と学べる環境に移りたいという気持ちが出てきました。
「憧れの人たちと働いてみたい」という思いが後押しに
——Flatt Securityを知ったきっかけは何でしたか?
数年前のOWASP Nightで、当時大学生だった米内(貴志)さんが登壇して脆弱性の解説をしているのを見ていました。その時は「ああ、こんなすごい大学生もいるんだな」という感想でした。
その後しばらく経って、「Webブラウザのセキュリティ知識が弱いから勉強したいな」と思って、たまたま読んでみた本が『Webブラウザセキュリティ』でした。著者の名前に見覚えがある気がして調べてみたら、OWASP Nightに登壇していた米内さんでびっくりしました。そして、そこからFlatt Securityという会社を知ることになりました。
——Flatt Securityへ転職した決め手は何でしたか?
米内さんだけでなく、僕が勉強した本の著者である上野さんも所属している企業ということで憧れを持っていました。転職活動を進める中で、複数企業から内定をいただいていたのですが、「スタートアップで働いてみたい」「僕の中でキラキラした憧れの人たちと働いてみたい」という2つの思いがあり、Flatt Securityに決めました。
——スタートアップで働くことに、不安感はなかったですか?
規模感が前の会社とそこまで大きく変わらなかったので、不安感はなかったですね。内定が出ていた企業の中には大手企業もありましたが、面接の雰囲気や応募手続きなどを見ていると自分には肌が合わないなと思いました。
セキュリティ診断に集中して取り組める環境
——Flatt Securityで仕事を始めて、どうですか?
セキュリティ診断に集中して取り組める環境だと思いました。以前の職場では、複数案件を掛け持って対応していましたし、診断業務以外の雑務も少なからずありました。Flatt Securityにはプロジェクトマネージャーが在籍していますし、セキュリティエンジニアのスキルも高く、Webアプリケーション診断は一通り自分でできる状態の人が多いので、自分の担当案件に集中して向き合えています。
一緒に働いているエンジニアの技術力の高さも魅力的です。凄腕の若手エンジニアが多く在籍しているので、その人たちの仕事ぶりを間近で感じることができます。特に、RyotaKさんの診断方法や脆弱性の見つけ方には学ぶところが多く、このような体験ができるのはFlatt Securityだけだろうなと感じています。
——セキュリティエンジニア以外だと、普段はどの職種の人とやり取りすることが多いですか?
プロジェクトマネージャーとのやり取りが一番多いです。セキュリティ診断に必要な情報の準備や顧客とのやり取り、進行管理などはプロジェクトマネージャーにご対応いただいています。
セキュリティ診断の見積作成や営業同行なども行っているので、セールスとやり取りをすることもあります。
——Flatt Securityにはどのようなカルチャーがあると感じていますか?
「みんな技術が好き」な会社だと思っています。学生の頃から技術の勉強を続けてきた、優秀な若いエンジニアが多くいます。僕は社会人になってから技術が好きになったので、「羨ましいな」と思います(笑)。
倫理観の高さも感じています。Flatt Securityには、「メンバーにやることを強制するのではなく、気づいてもらう」というカルチャーがあると感じています。セキュリティ診断の進捗管理をする時も、メンバーに進捗を強制するのではなく、柔らかく導いて気づいてもらうようなコミュニケーションが多いです。
——最後に、これからの目標について教えてください。
技術的な目標でいうと、Flatt Securityで提供している様々な診断メニューを一人でカバーできるような技術力を身につけていきたいです。
今後は、セキュリティエンジニアとしてセキュリティ診断をやっていくだけでなく、会社の成長に貢献できるようなアウトプットを作っていきたいです。具体的には、売り上げに直結していくような施策や仕掛けや、みんなが働きやすい環境作りについて考えて、何らかの形で会社に還元できれば、と考えています。
ある1日のスケジュール
10:00 出勤
10:00-10:30 Slackチェック
「顧客とのやり取りは原則Slackで行っています。メールチェックの代わりですね」
10:30-13:00 セキュリティ診断
「1日中セキュリティ診断をやっている日も多いです。」
13:00-14:00 休憩
14:00-17:00 セキュリティ診断
17:00-18:00 技術ブログ記事執筆
18:00-19:00 技術の勉強
19:00 退勤
プロフィール
2016年、新卒でシステムインテグレーターに開発エンジニアとして入社し、大手ECサイトのWeb開発等を担当。2019年、セキュリティベンダーに入社し、セキュリティエンジニアにキャリアチェンジ。2021年11月、Flatt Securityに入社。セキュリティエンジニアとしてセキュリティ診断を担当している。