【セキュリティエンジニア座談会・前編】Flatt Securityに新卒入社した決め手、入社後のOJTについて:moosan63 × Azara × ei01241

▼後編はこちら
 
目次
 
Flatt Securityに新卒入社したazaraさん、eiさんと、2人のメンターを務めた先輩エンジニアのmoosan63さんに、入社した経緯やFlatt Securityでの働き方、セキュリティエンジニアのお仕事についてお話を伺いました。
 
ーー現在のお仕事について教えてください。
 
azaraさん:セキュリティ診断の中でも、Webアプリケーション診断とAWSをはじめとしたクラウド診断を担当しています。最近は、公表された既知の脆弱性についての考察を深めたり、診断技術や観点に落とし込むための社内勉強会の企画や運営もしています。
 
eiさん:主にWebアプリケーション診断とスマートフォンアプリケーション診断を担当しています。最近は、「週刊面白かった脆弱性」というタイトルで、自分が面白いと思った脆弱性に関する情報を、社内Wikiスペースに毎週まとめています。
 
moosan63さん:セキュリティ診断では、Webアプリケーション診断とスマートフォンアプリケーション診断を中心に担当することが多いです。自分の場合は少し特殊で、技術広報やコーポレートITとしても活動しています。また、azaraさんやeiさんなど、若手エンジニアの方々のメンターも務めてきました。一言で何をやっているか説明するのは難しいのですが、会社の困りごとを幅広く拾っていっている感じです(笑)。
 

セキュリティに興味を持ったきっかけは?

 
moosan63さん:2人がセキュリティに興味を持ったきっかけは何でしたか?
 
eiさん:僕は大学院まで、セキュリティとはあまり関わりのない機械工学を専攻していました。学部4年生の時、研究室の先輩から「よかったら参加してみない?」と紹介されて、セキュリティ・キャンプ全国大会に初めて参加しました。当時、ハードウェア周りに凝っていたのですが、参加した回にはハードウェア系のものづくりを行いながらセキュリティの知識を深めていく「ハードウェアトラック」があったので、そのトラックを受講しました。そして、それがきっかけで、セキュリティの世界に足を踏み入れ始めました。
初めて参加したセキュリティ・キャンプで話しかけてくれた人は、後の弊社CTO 米内さんでした。本人は覚えてなかったですけど(笑)。また、修士課程1年の時に参加した、博多で開催されたセキュリティ・ミニキャンプでは、米内さんが講師を務められていて、その時の講義はとても印象に残っています。巡り合わせですね。
 
moosan63さん:そうなんだ!いい話。
 
eiさん:今思うと、セキュリティ・キャンプでの米内さんとの出会いが、セキュリティに興味を持った一番のきっかけだったのかもしれません。それまではWebセキュリティに関する知識をあまり持っていませんでしたが、Webセキュリティをテーマにした博多のミニキャンプに参加してから興味を持ち、Webのレイヤーについても勉強を進めていきました。
 
azaraさん:僕の場合は元々セキュリティに興味を持っていて、学校でもセキュリティに関する勉強をしていました。でも、セキュリティ一辺倒というより、開発とセキュリティ双方に強い関心を持っていたので、事業会社でプロダクトセキュリティをやっていきたいなとぼんやり考えていました。なので、今のようにセキュリティベンダーがファーストキャリアになるとは全く考えていませんでした。
 

企業選びの「軸」は?

 
moosan63さん:2人は就職活動をしていた時、どういう軸で企業を探していましたか?
 
eiさん:これまでに学んだことを活かして何らかのエンジニアになりたいと思っていたので、「技術系の会社」という軸で探していました。専攻に近い機械系や電機系の企業を中心として、幅広い企業を見ましたね。企業探しの時は、「自分がその企業で働くイメージが湧くかどうか」という感覚を大切にしていました。「事業会社かベンダーか」「大手かスタートアップか」という軸で企業を探す人も一定数いるのかなとは思いますが、そういった軸では見ていなかったですね。
 
azaraさん:先ほどお話した通り、僕は元々プロダクトセキュリティをやりたいと思っていたので、「プロダクトのセキュリティに関われる企業」という軸で企業探しをしていました。事業会社では事業やプロダクトに寄り添ったセキュリティに関われるのが魅力的でした。一方、セキュリティベンダーの魅力は幅広いプロダクトを見ることができるという点にあると思います。どちらもそれぞれ良いところがありますね。
 
Flatt Securityに新卒入社したセキュリティエンジニアの2人。(左)eiさん、(右)azaraさん
Flatt Securityに新卒入社したセキュリティエンジニアの2人。(左)eiさん、(右)azaraさん
 

Flatt Securityを知ったきっかけは?

 
moosan63さん:そもそも何がきっかけでFlatt Securityという会社を知ったんですか?
 
eiさん:CODE BLUEでたまたまFlatt Securityのブースを通りがかった時に、ブースにいた井手さん(代表取締役CEO)から勧誘を受けたのがきっかけですね。米内さんがいる会社というのは、後で知ってすごくびっくりしました(笑)。
 
azaraさん:僕も井手さんがきっかけですね。セキュリティ・キャンプのチューターをしていた時に、井手さんが会社にかける熱い思いを聞きました(笑)。「どんな会社だろう?」と思って会社について調べ始めると、色々と面白そうな新しい取り組みをしていたので、そこからFlatt Securityに対する興味を持つようになりました。
 

インターンでは何をしてた?

 
moosan63さん:2人ともFlatt Securityのインターンシップを経験してから入社してますよね。インターンシップはどんな感じでしたか?
 
eiさん:修士課程1年の冬に短期インターンに参加しました。後に同期入社するshopperさんも同じ回に参加していましたね。期間中、CTF形式の「やられアプリ」を解き続けて、発見した脆弱性を報告する、というセキュリティ診断に近いようなことをやっていました。
大学院まで機械工学専攻だったので、セキュリティベンダーがどのようなことをやっているのかは、インターンを通じて初めて知りました。診断という業務がどのような工程によって成立しているのかを学べるように設計されているのが良かったですね。実際に手を動かしながら学ぶことで、セキュリティエンジニアという仕事に対する理解がどんどん深まっていきました。
 
azaraさん:僕は、1年ほど長期インターンに参加していました。インターンでは、eiさんと同じくやられアプリを使ったトレーニングをしながら、実際のセキュリティ診断にも関わっていました。
当時、会社として「次はクラウドのセキュリティにフォーカスしていきたい」という話が挙がっていました。自分としても関心の強い分野だったこともあり、インターン期間中は診断関連業務と並行してクラウドのセキュリティや技術トレンドに関するリサーチも行っていました。例えば、「プロダクト提供においてどのようなクラウドの利用方法があるのか」や「クラウド利用時に想定すべき脅威は何か」などですね。
 

就職先としてFlatt Securityを選んだ決め手は?

 
moosan63さん:就職先としてFlatt Securityを選んだ決め手は何でしたか?
 
azaraさん:「開発者のためのセキュリティ」という事業に魅力を感じたからですね。Flatt Securityのインターンに参加する前は事業会社での開発のアルバイトやプロダクトセキュリティに関係するインターンなどに参加していました。自分の中で「プロダクトセキュリティをやるならユーザー企業かな」という思い込みがあったのですが、Flatt Securityのことを知って、セキュリティベンダー側の立場でもプロダクトセキュリティに関われる環境があることに驚きました。
僕はセキュリティベンダーで働くにしても「ただ仕事をこなすだけ」ではなく、「どう伝えれば開発者のためになるのか」や「開発者の方によりセキュリティを意識してもらうにはどうすればいいのか」を考えながら取り組める環境に身を置きたいと考えていました。Flatt Securityのようにプロダクトセキュリティを事業の軸にしているセキュリティベンダーは珍しく、井手さんが語るビジョンからも熱量を感じたので「この会社で働いてみたい」と思いました。
実際に採用選考を受けたのは、Flatt Securityのほかは全て事業会社でした。正直なところ「Flatt Securityが掲げているビジョンがただの建前だったら、さっさと辞めて事業会社へ転職しよう」という考えもありながら入社しました。そんな僕が今もこの会社にいるということは、そういうことですよ(笑)。入社して、セキュリティ診断でビジネスロジックの脆弱性を見れたり、プロダクト開発に寄り添った報告ができたりしているのはこの会社ならではだな、と強く感じています。
 
moosan63さん:すごくいい話。eiさんはどうですか?
 
eiさん:自分の場合は、インターンで得た経験や仕事への理解といった点が決め手になりました。セキュリティエンジニアの実際の仕事に近い形で、色々な経験をさせていただくことができました。Flatt Securityは面白そうな会社だというのがわかりましたし、米内さんが在籍しているというのも魅力的に思えました。
今思うと、同期入社のshopperさんが同じインターンに参加していたことも大きかったかもしれないですね。shopperさんと一緒にインターンを過ごす中で、「同僚と働くってこんな感じなのかな」とイメージが湧いていきました。和気藹々とした社内の雰囲気も非常に気に入りました。Flatt Securityから内定が出た後も、色々な企業を見てはいたのですが、一番自分に合っていたのがFlatt Securityだと感じました。
 
moosan63さん:スタートアップで働くことに対して、「キツそう」「大変そう」というイメージを持っている人も少なくないのではないかと思いますが、スタートアップに新卒入社することに抵抗感はなかったですか?
 
eiさん:就職活動を通して色々な企業を見てきましたが、「スタートアップだからキツそう」という企業はなかったと思います。なので、スタートアップで働くことに対してはネガティブな印象を持っていなかったです。どちらかというと、親の方が気にしてましたね。入社が決まった時、すごく心配された記憶があります(笑)。
 
新卒入社の2人の先輩として働くセキュリティエンジニア moosan63さん
新卒入社の2人の先輩として働くセキュリティエンジニア moosan63さん
 

入社直後、先輩との関わりは?

 
eiさん:moosan63さんは僕にとって初めての上長でしたね。入社して、4月中旬ぐらいに初めて話したような記憶があります。
 
moosan63さん:2人が入社した時は「新人だから僕が育ててあげなきゃ」という気持ちには全くなってなかったです(笑)。2人ともセキュリティ・キャンプの卒業生で、若手ながら色々な実績を持っていたので、それぞれ特定の分野で傑出した才能を持つスペシャリストだと思って接していました。僕が新卒入社した2人に教えられることは「仕事の仕方」であって、技術に関しては2人からも学んでいこうと考えていましたね。
 
eiさん:入社1年目の頃は、1on1の担当がmoosan63さんでしたね。1ヶ月に1回ぐらいは仕事全般の相談や技術的な進捗の共有をしていました。セキュリティ診断を進める中でわからないことがあったら、都度相談していました。
 
moosan63さん:当時は週3日出社していたので、日常的にオフィスで軽く会話してましたね。
2人が入社1年目の時、社内でAWSを活用する基盤を整備しようという話になって、azaraさんに協力してもらいましたね。セキュリティ診断以外の時間をAWSに割いてもらって、色々話しながら一緒に進めていきましたよね。
 
azaraさん:確かに、やりましたね!
 

どのように仕事を覚えていった?

 
moosan63さん:セキュリティ診断の業務フローは、OJTで覚えていった感じですよね?
 
azaraさん:そうですね。実際の診断と同じように、やられアプリを対象として診断実施から報告書作成までを行うことで、まず診断の業務フローを身につけていきました。先輩にも同じエンドポイントを見てもらい、診断の結果や報告書を共有していただくことで勉強することもしていましたね。そういったことを繰り返すことで、診断方法や気を付けるべきポイントを理解していきました。
 
moosan63さん:当時は意識して「練習の時間」を作るようにしていました。先輩の結果と自分の結果を比較してもらいながら、レビューや議論を行うような形でOJTを進めていましたよね。
 

<セキュリティ診断の業務フロー:セキュリティエンジニアの場合>
 
(1)お客様からの依頼
お客様とのやり取りは主にSlackで行いますが、ご要望に応じてメールで行うこともあります。
お打ち合わせまでの調整はセールスが中心となり進めます。
 
(2)お客様とのお打ち合わせ(ヒアリング)
お客様の要件や診断実施の目的、お悩みなどをヒアリングします。
 
(3)見積・提案
お客様の提示した要件に沿った形で提案内容を作成。見積書の作成も行います。
見積内容や提案内容は、セールスとともに考えていきます。
Flatt Securityのセキュリティ診断はお客様ごとにカスタマイズ可能なため、お客様のご要望に応じて柔軟な提案を行います。
 
(4)診断環境整備
診断に必要な環境をお客様に準備いただきます。
 
(5)診断実施
 
(6)診断報告書作成
診断結果を報告書にまとめます。
報告書内容はプロジェクトマネージャー(PM)や他のエンジニアによるレビューを経て、お客様に納品されます。

 

プロフィール

Norihide Saito / Azaraさん
情報科学専門学校在学中の2019年12月、Flatt Securityにアルバイトとして入社。 同校卒業後、2021年4月、Flatt Securityに新卒入社。セキュリティエンジニアとして、主にWebアプリケーション診断とAWS診断を担当している。
 
Eiji Mori / ei01241さん
鹿児島大学大学院を卒業後、2021年4月、Flatt Securityに新卒入社。セキュリティエンジニアとして、主にWebアプリケーション診断とスマートフォンアプリケーション診断を担当している。
 
Ryo Murakami / moosan63さん
筑波大学大学院を経て、2014年、株式会社ディー・エヌ・エーに入社。セキュリティエンジニアとして同社各サービスの脆弱性診断や設計レビュー等に携わる。その後、株式会社お金のデザイン、フリーランスを経て、2021年1月にFlatt Securityに入社。セキュリティエンジニアとして、主にWebアプリケーション診断、スマートフォンアプリケーション診断、スマートフォンゲーム診断を担当しているほか、技術広報(Devrel)・コーポレートITとしても活動。若手エンジニアのメンターも務める。
 
▼後編はこちら