【セキュリティエンジニア座談会・後編】Flatt Security新卒入社組が語る仕事のやりがい、先輩エンジニアが感じた成長:moosan63 × Azara × ei01241

▼前編はこちら
 
目次
 

仕事には慣れた?

 
moosan63さん:入社してそろそろ2年ですが、仕事には慣れましたか?
 
eiさん:慣れた気はしますね。でも、azaraさんはインターンシップ期間が長かったので、ちょっと違うかもしれないですね。
 
azaraさん:確かにセキュリティ診断という業務のやり方には慣れましたが、常に新しいものに出会える環境なので、あまり「慣れた」という感覚にはならないですね。日々新しい気持ちで仕事に臨めているように思います。
インターン時代との大きな違いは、「責任感の強さ」だと感じています。今振り返ると、インターン時代は「与えられた業務を最低限こなせていれば良い」という考えになってしまっていました。新卒入社してからは、自分でやるべきことを見つけたり、自分が担当する業務に対して責任を持って取り組んだりする場面が増えたように感じます。オーナーシップを持って業務に取り組むことを、周りのメンバーから期待されていましたし、自分自身の気持ちの変化もあったんじゃないかと思います。
大企業の場合、上から下へ、業務粒度をある程度小さくしていく傾向があるのではないかと思うのですが、スタートアップでは決断や取り組みの速さが重視されるので、ある程度大きな粒度の業務を任せてもらえます。Flatt Securityもスタートアップなので、メンバー個々人の裁量は大きいです。それをプレッシャーと感じる人もいれば、楽しいと感じる人もいるのではないかと思います。僕はある程度の裁量を持って仕事ができることに楽しさを感じるタイプなので、やりがいを感じています。
 

どのような仕事にやりがいを感じる?

 
moosan63さん:普段、どのような仕事にやりがいを感じてますか?
 
azaraさん:セキュリティ診断に取り組む中で、新しい技術や今まで見たことのない仕組みに出会えた時はテンションが上がりますね。
 
eiさん:わかります!それに、そういった新しい技術トレンドや仕組みについて調査して理解を深めていくのも楽しいですね。
セキュリティ診断で変わり種の脆弱性を発見できた時、「こういう変わった挙動は、どう実装したら起きるんだろう?」ということがすごく気になります。僕はセキュリティ診断が大好きなので、そういった脆弱性の仕組みについて考えたり、調査したりするのも好きですね。
 
azaraさん:あと、「理想の診断プラン」を考えるのも好きですね。お客様の環境や技術スタックも日々刷新されていくものなので、セキュリティベンダーである僕たちもそれに対応できるよう、日々進化していかなければいけないと思っています。「どのような診断プランが理想形なのか」「どういう提案内容が理想的なのか」ということは、常に考えていますね。
 
eiさん:そういう技術的な理想形を考えるのって、すごく楽しいよね。
 
azaraさん:理想形を考えるに当たって、将来的にプランとして正式に提供できるかどうかは重視していません。自分自身がセキュリティ診断を依頼する側の立場にいたとして、どういうことができると嬉しいのか、という観点で考えています。
 
eiさん:ビジネス的な観点から理想形を模索しているわけではなく、あくまでも技術者目線での理想形を考えている、という感じですよね。
 
azaraさん:ですね。「どのような技術的ニーズに応えていくべきか」は今後も考えていきたいです。
 

入社して「辛い」と思ったことは?

 
moosan63さん:仕事を始めて、辛いと思ったことはありますか?
 
azaraさん:人前で話すのが苦手なので、お客様とのお打ち合わせは大変だと思いました。今だったらその重要性は理解できるのですが、入社当初はセキュリティエンジニアの仕事にそのようなものがあるということを知らなかったので、とても驚きました。お客様に対して適当なことを話すわけにはいかないので、最初はすごく緊張しましたね。
今も「慣れた」というレベルには及びませんが、ある程度流れややるべきことを理解できたかと思います。「自分がわかることはその場で答えて、わからないことは持ち帰って後日答える」という基本的なことはできるようになりましたし、「その場でお客様から何を教えていただくべきか」や「お打ち合わせの結果をどう社内に共有するべきなのか」といったポイントにも気を回せるようになりました。
 
eiさん:お客様が何に困っているのか感じ取る力はついたように思いますね。初めの頃より、良い感じに聞けるようになっているのかもしれないです。
以前、同期のshopperさんと一緒にお客様とのお打ち合わせに参加した時は、彼の進行の上手さに脱帽しました(笑)。shopperさんは他の人と話したり、物事を説明したりするのが得意な人なので、そういった人であれば楽しく思える仕事ではあると思います。
 
moosan63さん:ここまでの話だけ見ると「お客様とのお打ち合わせってなんだか怖そう」と思われる方もいるかもしれませんが、お打ち合わせはあくまで、セキュリティ診断を依頼してくださるお客様との対話の場です。セキュリティ診断をご依頼いただくにあたって、お客様の不安要素や疑問、お悩みを解消するために、技術的に正確な情報やお客様に寄り添ったアドバイスを弊社から提供するというものです。なので、ラップバトルのように即興で「上手いこと」を言う必要はないですし、お客様と対等にコミュニケーションする場なので、基本的な流れややるべきことを理解すれば、自ずと対応できるようになると思います。
 
moosan63さんはセキュリティエンジニアという枠にとらわれず、技術広報やコーポレートITとしても活躍。
moosan63さんはセキュリティエンジニアという枠にとらわれず、技術広報やコーポレートITとしても活躍。
 

先輩から見て、新卒入社の2人はどう変わった?

 
moosan63さん:azaraさんもeiさんも、入社してからかなりスキルアップしてますよね。この短期間で本当に様々なことに取り組んできたんじゃないかと感じています。
 
eiさん:なんだか恥ずかしいですね(笑)。
 
moosan63さん:eiさんは日々研鑽を積んで、メキメキと力をつけてますよね。特にお客様とのコミュニケーションや、自分が学んだことを他の人に伝えることに関しては、入社当初よりかなり成長したんじゃないかなと思っています。
入社当初からコツコツ努力を重ねるタイプの人だと思っていたのですが、「自分なんかが周りの人にアウトプットをシェアしてもしょうがない」と考える節があったようで、勉強したことや考えなどをなかなか発信してくれなかったので、「もったいないな」と感じていました。最近は、「週刊面白かった脆弱性」の更新をはじめとして、すごく的確に情報発信してくれるようになりましたね。
お客様とのコミュニケーションに関しても、入社当初と比べると雲泥の差ですね。積極的かつ、しっかり対応してくれています。さきほど「お客様とのお打ち合わせは大変」と話してましたが、「本当かな〜?」と思いました(笑)。
 
eiさん:ありがとうございます。でも、お客様とのお打ち合わせはいまだに緊張しますよ(笑)。
 
moosan63さん:azaraさんに関しては、元々関心のあったクラウド領域の守備範囲をさらに拡張して、能力をより伸ばしていったんじゃないかなと感じています。入社当時から診断に関するスキルがあったので、持っていたスキルをさらに伸ばしながら、得意分野を広げて、さらにスキルを磨いている印象ですね。
社会人になって、会社で働くことに慣れていない時期は辛かったこともあったかもしれないですが、最近は勉強会を主催するなど情報発信を積極的に行ってくれています。入社当初と比べると、周りを巻き込もうとする力も圧倒的についてきていますね。
 
eiさん:勉強会を企画してもらえるのはありがたいです。すごく助かってます。
 
azaraさん:moosan63さんの言う通りで、入社当初は社会人として働くことに慣れていなくて、苦手意識すら持っていました。社会人としての立ち回りや考え方に関しては、moosan63さんに色々相談させていただきましたよね。ためになるアドバイスをいただき、本当に助けられました。
例えば、当時、僕は「他の人から仕事を頼まれたら、完璧な状態で完成させておかないといけない」という思い込みをしていたので、長い作業時間をかけながら途中報告もせず、一人で仕事を抱え込んでしまっていました。僕は他の人に話を聞きに行くのが得意ではないので、何か課題が見つかっても「なんとか自分で解決しよう」と思ってたんですね。それに対して、moosan63さんからは「細かい粒度で進捗を報告した方が良いよ」「詰まってしまったら他の人に聞くと良いよ」というアドバイスをいただきました。仕事への向き合い方や、仕事の進め方についてもかなり教わったように記憶しています。
 

最近力を入れて取り組んでいることは?

 
moosan63さん:最近力を入れて取り組んでいることはありますか?
 
azaraさん:最近だと、認証やID周りのキャッチアップに力をいれていますね。国内の書籍や要所、公開されているHackerOne等の報告、国外のSecurity researcherの書いた記事、Twitterで共有される情報などを参考にしながら、独学で学習を進めています。
 
eiさん:社内のワークスペースに「週間面白かった脆弱性」というタイトルで、自分が面白いと感じた脆弱性に関する情報を週ごとにまとめています。HackerOneから社内開発の診断プラットフォーム「ORCAs」まで、幅広い情報源を参考にしています。
始めたきっかけは、2022年11月、Osakiさんが入社したことです。Osakiさんは元々開発エンジニア出身で、Flatt Securityへの入社を機にセキュリティエンジニアとしてのキャリアをスタートしました。セキュリティに関する検索ワードがわからない状態では、情報をキャッチアップするのも難しいのではないかと思い、「自分が普段していることを見て参考にしてもらえれば」という気持ちで始めました。調べた情報を自分の言葉で言語化することで、自分自身にとっても良い勉強になっていると感じています。
 
moosan63さん:うちの会社には優秀な若手メンバーが多いですよね。個別の分野では自分より秀でている若手の方ばかりだと感じています。僕はazaraさんやeiさんの活動のような、若手エンジニアの方々によるアウトプットを日々吸収していくように心がけていますし、自分が面白いなと思ったことは積極的に社内にも発信するようにしています。
 
eiさん:技術情報の共有という観点だと、akiymさんが書いた「チラシの裏宣言」はとても好きですね。エンジニアが技術について語り合う場が、社内に設けられているのが良いですよね。僕が「週刊面白かった脆弱性」を始めたのには「チラシの裏宣言」の影響もあったのかもしれません。
 
moosan63さん:確かに、「チラシの裏宣言」はいいね。
 
筋トレを日課とするeiさん。オフィスにはトレーニングスペースもあり、気分転換に活用されている。
筋トレを日課とするeiさん。オフィスにはトレーニングスペースもあり、気分転換に活用されている。
 

Flatt Securityで活躍できるのはどんな人?

 
moosan63さん:2人から見て、Flatt Securityはどのような人が活躍できる会社だと思いますか?
 
azaraさん:高い技術的スキルを持っている人が多い会社であることは間違いないですが、「技術が全て」という会社ではないのが面白いところだと思っています。
技術力も会社で重視しているポイントではあると思うのですが、それ以上に「一緒に働く人へのリスペクトがあるか」が重視されているような気がしています。
 
moosan63さん:技術的に尖りつつも、「技術以外のこともやりたい」と思っているメンバーが集まっているのがFlatt Securityの面白さかもしれないですね。
 
eiさん:「技術一辺倒」という会社ではないですよね。セキュリティ診断の技術統括を務めているGa_ryo_さんはその顕著な例だと思ってます。
 
moosan63さん:セキュリティエンジニアのRyotaKさんの社会人力の高さについても、いつも驚かされますよね。
 
eiさん:「他の人への向き合い方」を大切にしている人が多いと思います。お客様に対しても真摯に向き合う姿勢がありますよね。
 
moosan63さん:「自分の技術力を社会に還元していこうという気持ちがある人」とも言えるかもしれませんね。課題解決やものづくりに自分の技術力を活用したいと思っている人が活躍しやすい環境です。
技術の研鑽だけが好きで、とにかく新しい技術に関する知識を詰め込むものの、その活用方法に関しては興味がない、という人は逆にあまり向いていないかもしれません。もちろん、技術の研鑽を楽しんでやること自体は悪いことではありませんし、エンジニアであれば誰しもそういう一面はあると思います。
 
eiさん:意欲のある人が多い職場でもありますよね。セールスのciaoさんはセキュリティ業界未経験にも関わらず、技術的な知識を身につけて第一線で活躍されています。職種という枠にとらわれない人が集まっている会社だと感じています。
 
moosan63さん:確かに。自分でどんどん仕事を取っていく人や積極的に動ける人だと活躍できそうですよね。
 
eiさん:一人ひとりの裁量権が大きいですからね。
 
moosan63さん:裁量権も大きいし、心理的安全性も高いよね。「これやってみたいんだけど」とアイデアを持ちかけて、「そんなのダメに決まってるだろ!」と最初から無下にされることはないです。診断業務の間に生じた空き時間などで、比較的自由に検証させてもらえる文化があると感じています。
 
eiさん:自分の出したアイデアに対して頭ごなしに否定された経験はないですね。
 
azaraさん:「変わることを苦に思わない」というのも大事かもしれないですね。
 
moosan63さん:変化していくことを是とする社風もありますよね。常に新しいことにチャレンジしているし、一人ひとりがチャレンジすることを応援する文化があります。
 

これからの目標は?

 
moosan63さん:これからチャレンジしていきたいことや目標はありますか?
 
eiさん:幅広い診断メニューにチャレンジしてみたいですね。もちろん、現時点で対応できる領域はさらに深めていくのが前提です。同期のshopperさんは「セキュリティは総合格闘技」とよく言っているのですが、総合的に対応できる力を養えるように、低レイヤーから高レイヤーまで、レイヤーにとらわれず知識を吸収していきたいです。技術の垣根を超えて幅広くスキルを身につけることで、お客様が求める診断内容をより的確に提案できるようなエンジニアになりたいです。
 
azaraさん:技術力を高めながらも、「他の人に伝える能力」も高めていきたいです。具体的には、自分が追っている、クラウドにおける脆弱性や脅威について、どう開発の現場に伝えていくのか考えていきたいです。クラウドの脆弱性や脅威の解説コンテンツは、ブログ記事やGitHub上のコードとしては存在していますが、個別具体的な事象を取り上げたものが多いのが現状で、より俯瞰的に解説したコンテンツが必要だと感じています。例えば、開発の現場では、クラウドの上にアプリケーションが乗ることになるので、クラウドのセキュリティを考える際、アプリケーションのセキュリティも同時で考えていく必要があります。そういった考え方なども伝えていきたいです。
技術の分野で実績を積むことも1つの目標ではありますが、どれだけ技術力が高くても、他の人も理解ができるように説明ができないと、結局のところそのインパクトは理解してもらえないと思うんですよね。開発者の方々にクラウドセキュリティに関する理解をより一層深めてもらうには、伝える力が必要だと思うので、実際に手を動かしながらその力を高めていくつもりです。
 
クラフトビールが好きなazaraさん。退勤後、オフィスで社内のメンバーと飲むことも。
クラフトビールが好きなazaraさん。退勤後、オフィスで社内のメンバーと飲むことも。
 

今後、どのような人と一緒に働いてみたい?

 
moosan63さん:今後、Flatt Securityでどのような人と働いてみたいですか?
 
azaraさん:好奇心旺盛で、自分が実現したいことに向かって行動できる人は、Flatt Securityの環境を楽しめると思います。これからのプロダクトセキュリティのあり方を共に考えて、その理想形に向けて共に行動できる人とぜひ一緒に働きたいですね。
 
eiさん:Flatt Securityは、セキュリティ診断を提供するだけでなく、セキュアコーディングプラットフォームのKENROやセキュリティSaaSのShisho Cloudも提供しています。様々な形でプロダクトセキュリティに関するサービスを提供している会社なので、プロダクトセキュリティを色々な角度で見ることができる環境だと思います。
 
azaraさん:「僕の考えた最強のプロダクトセキュリティ」を形にしていける人を募集したい(笑)。
 
eiさん:そういう熱意は本当に大事。
 
moosan63さん:実際、そういう熱意を持った人が集まっている会社ではあります。プロダクトセキュリティに興味のある方、プロダクトセキュリティへの熱い思いを持っている方は気軽にご連絡ください!
 

ある1日のスケジュール

<eiさん>
8:30      出勤
8:30-9:00   Slack・スケジュールチェック
9:00-10:00   技術情報のキャッチアップ
10:00-12:00 セキュリティ診断
12:00-13:00 休憩
13:00-17:30 セキュリティ診断
17:30    退勤
 
<azaraさん>
9:30     出勤
9:30-9:45    Slackチェック
9:45-10:00  セキュリティ診断準備
10:00-12:00  セキュリティ診断
12:00-13:00  休憩
13:00-17:30  セキュリティ診断
17:30-18:00  休憩
18:00-20:00  技術のキャッチアップ
20:00     次の日のスケジュールチェック / 退勤
 
<moosan63さん>
10:00 出勤(主にリモート)
10:00 - 10:30 Slack・スケジュールチェック
10:30 - 13:00 セキュリティ診断 / 技術広報業務  / コーポレートIT業務
13:00 - 14:00 休憩
14:00 - 20:00 セキュリティ診断 /  技術広報業務 / コーポレートIT業務
20:00    退勤
 

プロフィール

Norihide Saito / Azaraさん
情報科学専門学校在学中の2019年12月、Flatt Securityにアルバイトとして入社。 同校卒業後、2021年4月、Flatt Securityに新卒入社。セキュリティエンジニアとして、主にWebアプリケーション診断とAWS診断を担当している。
 
Eiji Mori / ei01241さん
鹿児島大学大学院を卒業後、2021年4月、Flatt Securityに新卒入社。セキュリティエンジニアとして、主にWebアプリケーション診断とスマートフォンアプリケーション診断を担当している。
 
Ryo Murakami / moosan63さん
筑波大学大学院を経て、2014年、株式会社ディー・エヌ・エーに入社。セキュリティエンジニアとして同社各サービスの脆弱性診断や設計レビュー等に携わる。その後、株式会社お金のデザイン、フリーランスを経て、2021年1月にFlatt Securityに入社。セキュリティエンジニアとして、主にWebアプリケーション診断、スマートフォンアプリケーション診断、スマートフォンゲーム診断を担当しているほか、技術広報(Devrel)・コーポレートITとしても活動。若手エンジニアのメンターも務める。
 
▼前編はこちら