Recruit

2021.01.22

サイバー攻撃から自社とクライアントを守る ~海外出身・セキュリティ診断のプロエンジニア~【My スリーシェイク】

こんにちは。スリーシェイクです!
当社が提供する、セキュリティ診断サービス「Sreake Security」。今回は、その診断を担うエンジニアのコー・ユーリャン(2020年6月入社)を紹介します。

人の手による診断に加え、スキャナー(脆弱性診断ツール)の開発・運用にも取り組むコーに、業務内容や語学力の活用などについて話を聞きました。
セキュリティ診断のやりがいと面白さが伝わるインタビューになっています。ぜひご覧ください!

「もっと挑戦したい」―大手IT企業からスリーシェイクへ

――コーさんはシンガポール出身なんですよね。いつ日本にいらしたんですか?

2014年の夏に、大学への入学に合わせて来日しました。大学在学中の2018年1月に大手IT企業にアルバイトとして採用された後、卒業と同時に正社員になりました。当時、プライベートでSNSにセキュリティ関連の投稿をしていたんですが、その会社で働いていた友人が投稿を見つけて誘ってくれたんです。

――そこでは、どのような仕事をしていたんですか?

その会社が提供するサービスの脆弱性診断ですね。正社員になってからは、ソースコードレビューやスキャナーの開発もしました。開発というか、開発の手伝いというか…。CI/CDのサイクルにスキャナーを組み込んで、①新しいアプリをスキャナーに通す②診断結果に大きな問題がなければリリースという流れで運用していました。

――前職でも脆弱性診断の仕事をしていたんですね。
その後、スリーシェイクに転職した経緯を教えてください。

転職のきっかけは、今一緒に仕事をしている友人から誘われたことです。一時期、先程の大手IT企業でチームメイトだったんです。友人が他社からスリーシェイクに転職する時に、「新しくセキュリティ診断サービスを立ち上げることになったので、一緒にどうか」と声をかけてくれたんです。「もっと挑戦したい」という思いもあり、スリーシェイクに入ることにしました。

――コーさんの前職は、誰もが知る大企業ですよね。転職に迷いや不安はありませんでしたか?

正直に言うと、スタートアップ企業への転職には少し不安もありましたが…。創業から5年以上経って、成長軌道にあるスリーシェイクなら大丈夫と思い、決断しました。あと、社長の吉田さんと直接話をしてみて、仕事内容や働き方が結構自由そうだなと感じて。吉田さんのフレンドリーさも魅力に感じました。フランクに、素直に話せたので安心できましたね。

セキュリティ診断は面白い!新しい出会いと発見に心が躍る

――現在の業務内容を教えてください。

セキュリティ診断サービスの「Sreake Security」を担当しています。主な業務は、Webアプリやスマートフォンアプリの脆弱性診断と、スキャナーの開発です。脆弱性診断の方法を大きく二つに分けると、人力で行う「マニュアル診断」と、自動で行う「スキャナー診断」があります。スキャナー診断では、入社してから今まで私自身が開発してきたスキャナーを使っています。

――マニュアル診断とスキャナー診断の両方とも手掛けているんですか?

はい。依頼された診断内容に応じて、チーム内の他のエンジニアと手分けして対応しています。依頼内容がスキャナー診断のみであれば、私一人で対応することが多いですね。スキャナー診断は、Sreake Securityの「簡易脆弱性診断サービス」として2020年8月にリリースしました。無料診断でのトライアルを経て、現在は本格的に運用しています。

――自分で開発したサービスを展開していくのは、やりがいがありそうですね。

やりがいは大きいですし、同時に責任の重さも感じています。実は、スキャナー診断も完全に自動化している訳ではないんです。現時点では、一部に人の手によるブラッシュアップを加えています。一通り自動化できてはいますが、まだ成長の途上にあるので…。これから診断件数が増えていく中で、随時改善していきます。

――Sreake Securityの更なる飛躍に期待しています!
セキュリティ診断の面白さはどういうところに感じていますか?

そうですね…脆弱性を見つけること自体が楽しいし、学びも多いです。クライアントによって制作環境やコーディングパターンなどが異なるので、新しい出会い・発見が多々あります。何より、脆弱性を見つけることで、クライアントがより安全な環境を構築できる。どんどん診断を実施して、脆弱性を見つけていきたいです。

海外情報も取り入れながら、自社サービス・社員のセキュリティを高める

――コーさんは英語が堪能なんですよね。仕事の中で英語を活用することはありますか?

時々あります。例えば、Sreake Securityの診断の中で、クライアントの担当者が海外出身だった時に英語で対応したことがあります。他には…以前新しいサービスを検討していた時に、いくつかの海外企業と英語で対話をしました。その話はなくなりましたが、同様の機会があればまた英語を役立てたいです。

――相手方の言語に合わせて、柔軟にコミュニケーションを取っているんですね。

それと、英語の文献やWebサイトもよく参考にしています。海外の情報は英語で調べた方が効果的なので。海外のサービスとか、情報漏洩の事例とか。日本国内でも影響のある情報漏洩の場合は、スリーシェイクの社員への影響がないかの確認もしています。クライアントのセキュリティ診断も重要ですが、スリーシェイク自体のセキュリティも重要ですから。

――なるほど。会社としての安全性向上にも取り組んでいるんですね。

はい。少し話はずれますが…実は、スリーシェイクのサービス「Reckoner」の脆弱性診断をしたこともあります。幸い大きな問題は見つかりませんでしたが、念のため攻撃者が攻撃したくなくなるくらいの対策をしました。他社に向けて診断サービスを提供するだけではなく、自社の足元の脆弱性をなくすことも心掛けています。

Sreake Securityの更なる成長に向け、チームのメンバーを増やしていきたい

――コーさんの今後の目標を教えてください。

個人としては、Go言語を身に着けたいです。今担当している業務では使っていませんが、社内でよく使われている言語なので。セキュリティ診断のサービスをより良くするだけではなく、将来的には新しい開発もやってみたいと思い、勉強しています。
Sreake Securityについては、目標というより願望ですが、チームのメンバーをもっと増やしたいですね。今後成長していくに当たり、人手が足りていないので…(苦笑)。

――それでは、ぜひこのインタビューでPRしてください!セキュリティ関連の経験がなくても大丈夫ですか?

大丈夫です。エンジニアで、コードさえ読めれば。最近チームに入った人も、セキュリティ未経験でしたが、1か月間勉強してWebアプリの診断ができるようになりました。スリーシェイクに入ってから勉強すれば問題ないので、安心して入ってください。

――最後に、スリーシェイクの未来について、コーさんの想いをお聞かせください。

そうですね…将来的には海外進出もできたらいいなと。今は国内企業向けにサービスを提供していますが、スリーシェイクには海外でも通用する力があると思います。その時が来たら、私の語学力も更に活かしていきたいです。

――コーさん、ありがとうございました!

written by 三谷 恵里佳 https://tokyo-merrydsn.com/

まずは一度、未来に向けたエンジニアリングについて語りませんか?

スリーシェイクは、フラットで自走経営できるティール組織を作り、高い目標を掲げて成長しています。現在、複数の職種にて、共に働くメンバーを募集中!少しでも興味を持ってくださった方、まずは一度気軽にお話してみませんか?

ご依頼・ご相談など
こちらからお問い合わせください

お問い合わせ