Q&A(よくある質問)
キャリアQ. Flatt Securityに新卒入社するメリットは何だと思いますか?Q.セキュリティベンダーならではの強みは何だと思いますか?Q.バックエンドエンジニアになるか、セキュリティエンジニアになるかで悩んでいます。Q.入社前にWebアプリケーションやクラウドの診断に関する知見がなくても、ついていけるでしょうか?働き方Q. Flatt Securityで活躍しているセキュリティエンジニアの特徴は?Q.業務を通じてどのようなことを学べますか?Q.Web開発未経験でもソースコードを読めるようになるのでしょうか?Q.働く中で感じた、会社の良い点について教えてください。Q.働く中で感じた、会社の改善したい点について教えてください。Q.会社のバリュー「倫理的であれ」を意識して、どのような行動を取っていますか?新卒採用選考Q.長期/短期インターンシップに参加しなければ、新卒採用選考に参加できないのでしょうか?Q.どのような人に応募してほしいと思いますか?Q.カジュアル面談は実施していますか?Q.技術課題はどのような内容でしょうか?Q.SPIの結果は評価対象に含まれますか?
キャリア
Q. Flatt Securityに新卒入社するメリットは何だと思いますか?
「ブラックボックス診断の場合も、ソースコードを読む機会がある」ということが大きなメリットになると考えています。
ソースコードが参照できないブラックボックス診断の場合は、定型的なペイロードしか投げなくなってしまうなど、作業内容が定型化してしまいがちです。そのため、技術的なチャレンジをするのが難しく、なかなか成長の機会が得られにくいという課題がありました。一方、ソースコードを読んで診断する機会があると、様々な技術スタックに触れる機会が増え、新たな技術のキャッチアップがしやすくなってきます。
Flatt Securityには日常的に業務の中でソースコードを読む機会があり、エンジニアとして成長しやすい環境があります。業務を通じて学んだ技術的知識は、今後の自分のキャリアにも確実にプラスになるのではないかと感じています。(セキュリティエンジニア 山川)
弊社は小規模なセキュリティベンダーですが、だからこそ「目の前の課題を吸い上げて、事業に反映させる」という動きをやりやすい環境だと感じています。セキュリティ診断も案件の性質やお客様の要望に応じた形で柔軟に実施しており、上下関係も厳しくないフラットな組織です。そのため、見つけた様々な課題に対して、解決のためのアクションを考え実行するというサイクルを、必要最小限の労力で回していくことが可能です。
診断手法が定型化されている組織や階層化された組織の場合、ここまで迅速にアクションを取るのは難しいのではないかと思います。見つけた課題をどう解決するかということについても、日々活発に社内で議論が行われています。(セキュリティエンジニア 梅内)
Q.セキュリティベンダーならではの強みは何だと思いますか?
「事業会社とセキュリティベンダーのどちらでプロダクトセキュリティをやるのか」は就職活動でよくある悩みの1つだと思います。
事業会社でセキュリティを担当する場合、自社プロダクトに関するありとあらゆるセキュリティを見ていくことになります。設計段階のセキュリティレビューから、実装段階の修正までを行うので、狭く深く関わるような形です。
Q.バックエンドエンジニアになるか、セキュリティエンジニアになるかで悩んでいます。
弊社は、セキュリティ診断もしながらプロダクト開発もできるような環境になっています。実際、自分も業務の半分が開発、もう半分がセキュリティ診断という感じで仕事をしています。
キャリア的には、どちらの経験も必要だと考えています。セキュリティエンジニアに特化した場合、なかなか開発組織のカルチャーや課題に対する理解を深めづらく、あくまでのセキュリティエンジニア目線でのアドバイスしかできなくなってしまいますし、逆にバックエンドエンジニアに特化した場合はセキュリティに関する専門知識を身につけづらいという問題点があります。どちらの経験もバランス良く積んでいくことが理想的ではないでしょうか。(セキュリティエンジニア 梅内)
Q.入社前にWebアプリケーションやクラウドの診断に関する知見がなくても、ついていけるでしょうか?
業務に必要な知識や新しい技術を自分から学んでいこうとする姿勢があれば、入社時点でそのような知見がなくても全く問題ないと思います。
学生時代はIoTセキュリティをメインにしていたので、Webアプリケーションやクラウドの診断に関する知見を持っていない状態で入社しました。そのため、皆さんと同じように、入社前は「この状態で入社して大丈夫かな?」と不安に感じていました。
しかし、実際に入社してみると、わからないことを快く教えてくれ、相談に乗ってくれるメンバーばかりでした。自ら学ぼうとする姿勢さえあれば、サポートしてくれる環境があるので、問題なく活躍できると思います。(セキュリティエンジニア 山川)
働き方
Q. Flatt Securityで活躍しているセキュリティエンジニアの特徴は?
バリューは、Flatt Securityで働くメンバーが共有する価値観であり、行動指針にもなっています。もちろん、会社として、高い技術的スキルをお持ちの方にも相応の評価を行いますが、「いかにバリューに沿った行動をしたか」という軸でも評価を行っています。そのため、活躍の仕方はメンバーによって様々です。(執行役員・プロフェッショナルサービス事業部長 豊田)
Q.業務を通じてどのようなことを学べますか?
技術面に関しては、セキュリティ診断を通じてモダンな技術スタックや脆弱性を発見するためのテクニック、脆弱性の対策手法などについて学ぶことができます。
一方、業務を通じて学べるのは技術的なことばかりではありません。診断を依頼いただいたお客様が本当に望んでいることは何か、自分の考えていることを相手にどう伝えたらわかりやすいかなど、ソフトスキル的な要素を身につけることもできますし、弊社としてどのような診断メニューを提供すれば業界全体のプロダクトセキュリティの向上に貢献できるか、のような組織的なアクションについても手を動かしながら学んでいける環境にあると思います。(セキュリティエンジニア 梅内)
セキュリティ診断プラットフォーム「ORCAs」にセキュリティ診断に関するノウハウやデータが蓄積されており、それらを通じて自分にはなかった観点や知識を学んでいくことができます。
Webアプリケーション診断未経験で入社したため、入社当初は診断に関する知識がありませんでしたが、業務を通じて学習を深める中で、セキュリティエンジニアとして着実に成長を積み重ねてこれたように感じています。(セキュリティエンジニア 森)
弊社には様々なバックボーンを持つセキュリティエンジニアが在籍しており、お互いの専門領域に関する知識を積極的に共有し合う文化があります。そのため、幅広い領域の技術を学ぶことができます。
自分のように新卒で入社したメンバーもいれば、開発エンジニアやインフラエンジニアからキャリアチェンジしたメンバーや事業会社でのセキュリティエンジニアを経て入社したメンバーなど多種多様です。(セキュリティエンジニア 山川)
Q.Web開発未経験でもソースコードを読めるようになるのでしょうか?
Webアプリケーションにはある程度共通したアーキテクチャがあるので、それに沿った形でソースコードを一定数を読んで訓練していけば、言語やフレームワークの種類を問わず雰囲気が掴めるようになってきます。
Q.働く中で感じた、会社の良い点について教えてください。
技術力が身につくというのはもちろんですが、タスクに対する裁量が大きく、若手のうちから仕事を任せてもらえるというのが良い点だと感じています。自分も新卒3年目ですが、サマーインターンや新卒採用イベントの企画などのリーダーを務めています。(セキュリティエンジニア 山川)
他のメンバーが学んでいくことに対して、非常に協力的なメンバーが多いことです。わからないことについて質問をしやすい空気感で、日常的に知の共有が行われています。おのずと自分も他のメンバーの学びをサポートしたいという気持ちになり、協力関係が出来上がっているように感じています。(セキュリティエンジニア 森)
風通しが良いことですね。仕事を進める上で、他のメンバーと密接にコミュニケーションを取って行く場面も少なくないのですが、そういった時にやりづらさを感じることはほとんどありません。(セキュリティエンジニア 梅内)
Q.働く中で感じた、会社の改善したい点について教えてください。
オンボーディングプログラムをより充実させていきたいです。2021年に入社した時は、セキュリティエンジニアの人数も少なく、オンボーディングの体制があまり整っていませんでしたが、今ではかなりしっかりした体制ができつつあるように感じます。これから新卒入社される方々に向けて、より中身の濃いオンボーディングプログラムを作っていきたいです。(セキュリティエンジニア 山川)
業務に関するドキュメント類を拡充させ、整理していきたいと思っています。自分が入社した時には業務に関するドキュメント類が不足していた状況だったので、それに比べると大きく改善されてきているように感じてはいますが、まだまだ拡充と整理が必要です。こういった作業が好きな方は活躍しやすい環境なので、ぜひ一緒に取り組んでいただけたらと思います!(セキュリティエンジニア 森)
属人的な業務をどんどんなくしていきたいです。弊社ではシステム化やエンジニアリングの取り組みを進めていますが、「この業務についてはこの人に聞かないとわからない」というような属人的な業務も一定存在しています。今はまだ少人数ですが、これから組織規模が拡大する中で、そういった業務をなくし、誰が担当しても一定の品質を保つことのできる仕組みづくりを目指していきたいと考えています。(セキュリティエンジニア 梅内)
Q.会社のバリュー「倫理的であれ」を意識して、どのような行動を取っていますか?
プライベートで脆弱性を発見した際は、必ず然るべき機関に報告するようにしています。新しく発見された脆弱性=0dayの脆弱性ということになるので、そのような情報をむやみに公開したり、その情報を売りつけたりするような倫理に背いた行動は取らないよう心がけています。(セキュリティエンジニア 森)
新卒採用選考
Q.長期/短期インターンシップに参加しなければ、新卒採用選考に参加できないのでしょうか?
弊社のインターンシップに参加したことがない方でも、新卒採用選考への応募は可能です。また、選考においてもインターンシップへの参加の有無自体を評価対象とすることはありませんので、安心してご応募ください。
Q.どのような人に応募してほしいと思いますか?
小規模な組織ながら、様々な診断メニューを提供しているので、新しい技術スタックをキャッチアップしていくことを楽しめる姿勢やマインドを持った人には最適の環境なのではないかと思っています。
また、変化を楽しめるマインドも必要です。変化といっても理不尽な変化ではなく、どうすれば診断サービスをより良いものにできるか検討を重ねた結果、生じた変化です。事業やサービスをより良いものに変えていきたいと思う姿勢や、そのために検討やアクションをいとわない姿勢を持った人にぜひ応募してほしいです!(セキュリティエンジニア 山川)
自走力を持った人ですね。応募時点ではWebセキュリティやクラウドセキュリティに関する知識がなかったとしても、これからどれだけ時間をかけて向き合っていくつもりか、その目標や姿勢が重要です。今後、セキュリティに向き合っていくモチベーションが高い方であれば、どのような経歴の方でも歓迎したいと思っています。
個人の裁量が大きい環境なので、新規事業の立ち上げや既存サービスの改善などにも携わることが可能です。新しいことに積極的にチャレンジできる人であれば、活躍いただけるのではないかと思います。(セキュリティエンジニア 森)
技術的なナレッジを社内にどんどん蓄積していかなければいけない時期にあるので、自分の学んだ知識を社内の他のメンバーに展開してくれる人に来ていただけたら、とてもありがたいなと思います。自分一人でスキルを高めていくのではなく、組織全体のスキルを底上げしていくことにモチベーションを感じていただけると嬉しいですね。
また、ソフトスキル的な要素になりますが、一緒に気持ち良く働ける人というのは大前提にあります。当たり前の話になってしまいますが、「この人、ちょっと言い方キツイな…」「普段の言動が嫌だな…」と思ってしまうような人とは一緒に働きたくないですよね。組織を一緒に良くしていこうという気持ちで働ける人に、ぜひ応募いただきたいです!(セキュリティエンジニア 梅内)
Q.カジュアル面談は実施していますか?
通年で実施しています。以下よりお申し込みください。面談自体に選考要素はございませんので、リラックスしてお臨みください。
Q.技術課題はどのような内容でしょうか?
弊社が用意した演習環境を使って脆弱性を発見し、報告していただくという内容です。詳細は、選考通過の際にご案内させていただきます。
Q.SPIの結果は評価対象に含まれますか?
SPIの結果は、面接選考時の参考とさせていただきますが、結果そのものを評価対象とすることはございません。