Flatt Securityに新卒入社し、「子どもの頃の憧れ」を実現:セキュリティエンジニア Daiki Yamakawa / shopper
目次
進路選択の決め手は「セキュリティエンジニアへの憧れ」様々な「セキュリティに関する仕事」をインターンで体験入社前の不安を断ち切った「CEOからの一言」一緒に働いていて楽しく、切磋琢磨できるメンバーが集まった環境脆弱性発見の達成感とお客様からの高評価が仕事のモチベーションに目標は「Flatt Securityの新規事業を開発すること」ある1日のスケジュールプロフィール
——現在のお仕事について教えてください。
セキュリティエンジニアとして、セキュリティ診断を行っています。特にWebアプリケーション診断とFirebase診断を中心に担当しており、営業同行から見積作成、診断報告書の作成までを一貫して対応しています。
進路選択の決め手は「セキュリティエンジニアへの憧れ」
——セキュリティエンジニアを目指したきっかけは何でしたか?
小学生の時に見た「ブラッティ・マンデイ」のドラマがきっかけですね。ドラマの中に登場するセキュリティエンジニアがかっこよくて、憧れていました。時が経つにつれてそのことは忘れてしまい、再び「セキュリティエンジニアへの憧れ」を思い出したのは大学生の時でした。
大学進学の時は、当時自分の得意な科目が受験科目として使えることもあって「一番入学しやすいから」という理由で情報系の学部を選びましたが、大学1年生の時は自分が何をしていきたいのか全く考えていなかったので、サークルに入って遊ぶ毎日でした。
通っていた大学では、2年生以降は自分の選択した学科で勉強を進めるシステムになっていました。AI関係からメディア関係まで、学べる領域の選択肢は多かったです。学科選択は「情報関係領域で、自分は何をやりたいんだろう?」と考えるきっかけになりました。「情報関係の勉強をやめて、営業職などのビジネス職を目指していくべきか」とも考えたこともありましたが、色々考えているうちに、小学生の時に「ブラッディ・マンデイ」を見て感じたセキュリティエンジニアへの憧れや、ハッキングのかっこいいシーンを思い出しました。
調べると、セキュリティを学べる有名な研究室の所属する学科が大学にあることがわかったので、その学科を選択しました。大学3年生になって研究室を選択する時も、迷わず自分が見つけた研究室を選択しましたね。研究室の先輩たちと教授にたくさんアピールしてなんとか入りました(笑)
——セキュリティに関する勉強をどう進めていましたか?
授業を通じて情報系の基礎的な学習をしていましたが、セキュリティに関する勉強は、研究室に入るまでほとんどしていなかったですね。研究室に入ってセキュリティに関する基礎的な勉強を始めました。
大学4年生の夏、「セキュリティ・キャンプ全国大会」の審査に合格したので、「集中開発コース」という、5日間缶詰でひたすら開発に取り組むコースを受講しました。セキュリティ・キャンプ全国大会は22歳以下の学生を対象としたイベントなのですが、僕は当時22歳だったので参加者の中で一番年上でした。50人ぐらいが参加していたと思うのですが、22歳の人は僕含め数人だけで、あとは全員年下でしたね。参加者の中には、Flatt Securityに新卒入社した同期のeiさんやazaraさんもいたと後で知ったのですが、当時はあまり面識がありませんでした。
セキュリティ・キャンプ全国大会の参加者はみんな「強かった」です(笑)。セキュリティの分野で自分が対等に戦っていける気がしなかったので「自分は想像以上に井の中の蛙だったのかもしれない」と感じましたし、正直なところ少し心が折れかけました。今になって思うと、そのようなコミュニティに属することができたのは良い経験になったと思います。当時セキュリティ・キャンプで知り合った人の中には、今でもよく連絡し合っている人もいます。
様々な「セキュリティに関する仕事」をインターンで体験
——どのように就職活動をスタートしましたか?
大学3年生の時に企業の短期インターンに参加したのですが、自分に「理系としての強み」が全然ないことを実感させられました。その会社は大手通信会社のグループ会社だったのですが、「文系・未経験からエンジニアになる」ことを推奨しており、文系の方も多く参加していました。インターンシップにおいても「半年の研修さえ受ければ、誰でもエンジニアとして活躍できる」というメッセージを強く発信していて、「自分は曲がりなりにも4年間大学に行っているのに、ちょっとした研修で追いつけるって本当?」と思いました。ただ、考えてみると、自分は情報系の学部で学んでいながら、開発経験もなかったですし、情報系の研究で何か成果を残したわけでもありませんでした。そのため、「理系(情報系)としての強み」が自分にはないなと感じてしまいました。
「このままだと就職しても全然活躍できないかもしれない」という不安感を抱いたので、大学院へ進学してもっと技術的なスキルを習得してから就職することを決めました。大学院生の時は、海外ジャーナルに査読論文が掲載されるなど、研究実績を積みました。
<shopperさんが大学院生時代に筆頭著者として執筆した査読論文>
Daiki Yamakawa, Takashi Okimoto, Songpon Teerakanok, Atsuo Inomata, Tetsutaro Uehara, "Enhancing Digital Certificate Usability in Long Lifespan IoT Devices by Utilizing Private CA", Security and Communication Networks, vol. 2021, Article ID 6610863, 14 pages, 2021. https://doi.org/10.1155/2021/6610863
本格的な就職活動は、大学院に進学後、修士課程1年の5月頃から始めました。ちょうどそれぐらいの時期から各社の夏季インターンシップの募集情報が発表されていくので、気になるインターンシップがあれば応募して参加していました。最終的には、夏季インターンシップは2社、秋・冬季インターンシップは合わせて4社参加しました。
選考開始時期が早い企業の場合、秋から選考が始まるので、夏頃から面接対策や企業分析、自己分析などを始めました。他には、大学や研究室が主催する就職説明会などのイベントに参加したり、スカウトサービスに登録したりして情報収集することも行っていました。
——就職活動の軸は何でしたか?
「セキュリティ関連事業を展開している企業」という軸で見ていましたね。セキュリティ領域はかなり細分化されていて、事業内容や募集職種は企業によって千差万別です。自分がやりたいことがセキュリティコンサルティングなのか、社内ITとしてのセキュリティなのか、セキュリティ診断やペネトレーションテストなのかといった基本的なところがわかりませんでした。セキュリティ領域の中で自分が何をやりたいのかを深く考えるために、セキュリティ領域の各分野を体験しようと思い、各分野に対応する企業のインターンシップに参加するようにしていました。
大企業からスタートアップまで、様々な規模の企業をリサーチしましたし、コンサルティングから診断士まで幅広い職種をくまなくチェックしました。その上で、「自分が成長できる環境か」「ビジョンに共感できるか」「働いていて楽しそうか」という3つのポイントに絞って企業選びを進めました。
入社前の不安を断ち切った「CEOからの一言」
——Flatt Securityを知ったきっかけは何でしたか?
新卒向けのスカウトサービスに登録していたら、「冬季インターンシップに参加しませんか?」とお声がけいただいたのが、Flatt Securityを知るきっかけになりました。
その後、CODE BLUEの学生スタッフをしていたのですが、Flatt Securityも出展していたので、ブースで代表取締役CEOの井手さんたちと直接お話ができました。
——Flatt Securityの冬季インターンシップに参加していかがでしたか?
参加した冬季インターンシップは、5日間のプログラムでした。Flatt Securityが社内向けに開発したセキュリティのトレーニングプログラムを他のインターンシップ生と一緒に解いていきました。トレーナー役のエンジニアの方も常に同席いただいていたので、わからないところがあればすぐ教えてもらうことができました。お昼時間はセキュリティエンジニアの方々とランチに行けましたし、夜は飲みに連れて行っていただけることもありました。
最終日には、代表取締役CEOの井手さんと事業本部長、人事担当の方から個別にフィードバックいただく機会がありました。5日間のインターンシップ期間中は、特に今後の選考のことを意識しないで過ごしていたのですが、期間中の姿勢や取り組みを評価いただき、最終的には内定をいただくことになりました。
——就職先としてFlatt Securityを選んだ決め手は何でしたか?
まず、働いている方達の人柄の良さが魅力的だと思いました。一緒に過ごしていて楽しいと思える人しかいない会社だなと感じていました。
また、井手さんの掲げているビジョンの面白さも魅力の1つだと感じています。井手さんはFlatt Securityを1兆円企業に成長させることを目指していて、そのビジョンにとてもワクワクさせられました。
そして、自分の今後のキャリアステップを考えた時に、こんなに「強い」会社はないと思います。高い技術力を持ったエンジニアが多く在籍しているので、学べることが多い環境なのは間違いないです。「周りのレベルについていくのは大変かもしれないけど、なんとかなるだろう」という考えで飛び込みました。
——スタートアップに新卒で入社することに抵抗感はなかったですか?
親からは「スタートアップに就職するなんて、本当に大丈夫なの?」「その会社は潰れないの?」とかなり心配されました。
内定をいただいた後、月に一度、井手さんとお話する機会を設けていただいていたので、その場で井手さんに「Flatt Securityは潰れないですか?」「潰れたらどうするんですか?」と直接聞いてみたことがありました。
今思うととても失礼な質問なのですが、その質問に対して、井手さんは間髪入れずに「うちの会社は潰れないし、仮に潰れたとしてもどこでも食べていける優秀な人しかいないから大丈夫。だから全然心配していない。」と言い切りました。この井手さんの答えを聞いた瞬間に、「そんな会社で働きたい!」と強く思いました。
一緒に働いていて楽しく、切磋琢磨できるメンバーが集まった環境
——入社してからはどのように仕事を覚えていきましたか?
入社して最初の2ヶ月は、セキュリティ診断業務の基礎を身につけるための準備期間でした。初めの1ヶ月はトレーニング教材を使って勉強を進めました。次の1ヶ月では、社内向けのやられアプリを使って脆弱性を見つけ、自社開発の診断プラットフォーム「ORCAs」を使って診断報告書を書いてみるということをやっていました。
入社から3ヶ月後に、初めてセキュリティ診断にアサインされました。先輩エンジニアたちと複数人で1案件を見る形だったので、同じ案件を担当するメンバーにわからないところを適宜聞くことができました。また、メンターの先輩エンジニアとの1on1も定期的にセットされていたので、案件には直接関係のない相談なども気軽にできました。
また、6月頃に、初めての営業同行を体験しました。初回だったので先輩エンジニアと一緒に行ったのですが、2回目からは営業の方と2人で行くようになりましたね。
——Flatt Securityで仕事を始めて、どう感じましたか?
「スタートアップは即戦力人材を求めるがゆえに、人を育てる文化がない」と思われがちですが、Flatt Securityではオンボーディング期間がきっちり設定されていてすごく嬉しかったです。新卒入社のセキュリティエンジニアがひとり立ちできるように、入社後2ヶ月をスキル習得の期間に充てているだけでなく、質問や相談にも快く応じてくれる先輩エンジニアばかりで、改めて良い会社だと思いました。一方で適度に緊張感もあり、「働いているメンバー同士が気持ち良く切磋琢磨できる環境」だなと感じています。
スタートアップで働くことに関しては、「大変そう」「きつそう」というイメージを持つ方が少なくないかもしれませんが、働く人たちの人柄も良く、残業時間も一般的な会社に比べて少ないため、全くブラックな環境ではないと感じています。
脆弱性発見の達成感とお客様からの高評価が仕事のモチベーションに
——普段はどのようにお仕事を進めることが多いですか?
案件の内容や規模にもよりますが、先輩エンジニアを含めた2,3人体制でセキュリティ診断に取り組むことが多いです。Flatt Securityでは、エンジニア一人ひとりのスキルが考慮され、対応するメンバーは案件ごとに変わります。オフィスに出社しているエンジニアも多いので、同じ案件を担当しているメンバーがオフィスに出社している場合は、直接話してやり取りしています。自分やメンバーがリモートの時はSlackのハドルミーティングで会話するようにしています。
プロジェクトマネージャー(PM)が案件ごとにリーダーを設定してくださるので、リーダーに指名された時は案件の進行管理も行っています。
——セキュリティエンジニア以外だと、普段はどの職種の人とやり取りすることが多いですか?
Flatt Securityのセキュリティ診断では、セキュリティエンジニアが営業同行から診断報告書の作成まで一貫して関わっているので、PMの方、営業の方と一緒に仕事をすることが多いです。診断の進行管理や進捗はPMに適宜相談していますし、営業とは営業同行と見積作成の時にやり取りを行っています。
——仕事にどのようなやりがいを感じていますか?
セキュリティ診断にはいわゆる「100点満点」の解答がなく、それゆえに感じるプレッシャーもあります。ですが、深刻度の高い脆弱性を発見して、診断報告書まで書き切った時は「本当にこんな脆弱性があるんだ!」という驚きと、「ちゃんと見つけられてよかった」という安心感と嬉しさを感じますね。
お客様とのやり取りの中で「お客様の課題解決に貢献できた」と思えた時もモチベーションが上がります。営業同行などでお客様から技術的な質問をいただいた場合は、セキュリティエンジニアである僕が回答するのですが、その回答に対して「とてもわかりやすいですね!」などとポジティブな評価をいただけると本当に嬉しく思います。
——仕事をしていて、辛いと思ったことはありますか?
入社直後は、周りが優秀すぎて辛かったですね。同期や周りのエンジニアの成長スピードと、自分の成長スピードを比較してしまって、焦りもありました。今振り返ると、自分もすごく成長できていた時期だったので、他人と比較する必要はなかったですし、自分の進むべき道を見据えて愚直に行動すればよかったと思います。でも、少人数の会社ですし、社員同士の距離も近いので、どうしても自分と他人を比較してしまいがちでした。
焦りと不安が大きくなり、様々な先輩エンジニアたちにひたすら相談し続けました。メンターから執行役員のGa_ryo_さんまで、社内の色々な方に自分の悩みについて話しました。色々な人と話すうちに、「他の人から見た自分」と自己認識の間にはギャップがあることに気づいて、そのすり合わせができたように思います。
他の社員と自分を比較することは今もありますが、そのことで気に病むことはあまりなくなりました。自分の強みについてもなんとなくイメージが掴めるようになりましたし、弱点についても「今は相対的にダメだとしてもこれから伸ばせばいいや」とポジティブに考えられるようになりました。
——入社してどのようなスキルが身についたと感じますか?
ソフトスキルとしては、プロジェクト遂行力が身につきました。学生時代、ブログの執筆代行サービスを提供している企業のインターンシップに参加した時、編集長としてインターン生70人の進捗管理やノルマの達成状況の確認などを行っていて、「人を巻き込んで仕事をする楽しさ」を感じていました。複数人を巻き込んで、関わる人みんなが幸せになれるようなプロジェクトを企画していきたいと考えています。今のところ大きなプロジェクトを企画して目に見える成果は出せていないので、失敗続きですが(笑)、次に繋がるような体験ができていると信じています。
ハードスキルとしては、Webアプリケーション診断の基礎はもちろんのこと、コードを読む力が身についてきたと思います。これは、今取り組んでいるFirebase診断が、ソースコードを読んで診断をするホワイトボックス形式で提供されているためです。また、今までコードを書く機会があまりなかったのですが、最近は意図的にコードを書く時間を増やすようにしているので、開発力も少しずつ伸びているように感じています。
目標は「Flatt Securityの新規事業を開発すること」
——最近頑張っていることや、意識して取り組んでいることがあれば教えてください。
「チャレンジアサイン」に取り組んでいます。Flatt Securityでは、これまで自分が取り組んでいた診断より1段上のレベルの診断にチャレンジすることができる「チャレンジアサイン」という制度があります。チャレンジアサインの案件では、スキルの高い先輩エンジニアに技術的知識やノウハウを教わりながら、一緒に難易度の高い診断を進めていくことができます。
Firebase診断が担当できるようになったのは、チャレンジアサインのおかげです。それまでは担当したことがなかったのですが、「Firebase診断にチャレンジしたい」という希望を出して、調整いただくことができました。1回担当しただけではなかなか身につかないので、定期的にFirebase診断のチャレンジアサインを入れていただくようにしています。最近では自分が対応できるレベルの診断が7割、チャレンジアサインが3割という比率で担当しています。
——これからの目標について教えてください。
プロフェッショナルサービスか、セキュリティプロダクトかはまだわからないですが、Flatt Securityで新規事業開発に携われるようになりたいです。ビジネスの仕組みもセキュリティ技術も同程度理解している「セキュリティ診断員の気持ちがわかるビジネス職」がある意味自分にとっての理想形なのかもしれません。
その上でネックになるのが「自分の技術力」です。現状、技術力がまだ不足しているので、考えられる幅が狭く、課題に対する解決策が上手く思い浮かばず、歯がゆさを感じることも多くあります。しばらくは、自分の技術力を高めるために、好き嫌いせず色々な技術に触れていきたいと考えています。
——セキュリティ関連の仕事に興味がある学生の方に一言メッセージをお願いします。
「セキュリティ」と一口に言ってもかなり幅が広いです。所属していた研究室の教授も、よく「セキュリティは総合格闘技だ」とおっしゃっていました。でも、逆に言うと「何を学んでも何かしらの役に立つ」ということではないかと考えています。
なので、「自分はこの領域に特化するぞ」と自分の道を突き詰めるのも良いと思いますし、好き嫌いせず一通り試してみるというやり方も良いと思います。勉強の仕方やキャリアの積み方は色々あると思うので、まず「セキュリティのことが好きな自分」を意識してもらえるといいですよね。セキュリティ自体に興味があるのであれば、セキュリティエンジニアに限らず、セキュリティに関する色々な仕事に就ける可能性があると思います。
——今後、Flatt Securityでどのような人と働いていきたいですか?
Flatt Securityは、セキュリティが好きで、小さな会社で裁量権を持って働きたい方にはぴったりの環境だと思います。自分の力で仕事を進めていきたい人、そしてそれが楽しく思える人は活躍できる職場だと思うので、ぜひ一緒に働きましょう!
ある1日のスケジュール
10:00 出勤
10:00-10:30 Slack・スケジュールチェック
10:30-12:00 セキュリティ診断
12:00-13:00 休憩
13:00-15:00 診断プラットフォーム「ORCAs」開発
「入社時から興味がありました。開発経験のある方に教わりながら挑戦しています。」
15:00-19:00 セキュリティ診断
19:00 退勤
プロフィール
立命館大学大学院修士課程修了後、2021年4月、Flatt Securityに新卒入社。セキュリティエンジニアとしてセキュリティ診断を担当している。Webアプリケーション診断を中心に担当しているほか、最近ではFirebase診断やセキュリティ診断プラットフォーム「ORCAs」開発への挑戦を進めている。