こんにちは。スリーシェイクです!
2020年5月にリリースした、セキュリティ診断サービス「Sreake Security」。実は、個別に行っていた診断が好評だったため、晴れて事業化に至ったサービスなんです。
今回は、事業化前からセキュリティ診断業務を担っている、なめかわさん(仮名)を紹介します! 数か月間の業務委託を経て正社員になったなめかわに、セキュリティ事業の魅力と今後の目標などについて話を聞きました。ぜひご覧ください!
Sreake Securityの立上げメンバーとして、スリーシェイクへ
――スリーシェイクへの入社前は、どのような仕事をしていたんですか?
スリーシェイクに入社するまでに、大手IT企業など3つの会社を経験しました。担当していた業務は、いずれの会社でもセキュリティ関係でした。ネットワークの構築、インフラのセキュリティ運用、インシデントレスポンス、社内の開発者に対するセキュリティ教育など、セキュリティ全般ですね。
――どのような経緯でスリーシェイクに転職したんですか?
転職する前から、スリーシェイクとお付き合いがあったんです。最初は、副業としてスリーシェイクの業務を請け負っていて。当時はまだ事業化されていなかったセキュリティ診断を、個別のクライアントに提供していました。その後、セキュリティ診断が正式に事業化されることになって、「一緒に新サービスを立ち上げよう」と誘われたのを機に入社しました。
――入社以前からスリーシェイクとつながりがあったんですね。正式に入社しようと決断した理由は何ですか?
一つは、前職の環境に少し物足りなさを感じていたことです。前職の業界では、様々な規制があり、新しいサービスを簡単には展開できなくて…。新しいサービスが生まれないので、必然的にセキュリティ診断の案件も増えない状態でした。もう一つの理由は、個人では受注が難しい規模のプロダクトを診断できることです。業務委託で診断を請け負っていた時に、かなり大きいサービスの診断を任せてもらえたんですけど、それがすごく魅力的で。
――大規模なサービスの診断ができることに、やりがいを感じたんですね 。
はい。当時のスリーシェイクと同規模のスタートアップでは、なかなか獲得できないだろう案件だったので、すごいなと。スリーシェイクは成功しそうだなと、なんとなく思えました。
社長の吉田さんは、一緒に仕事をして退屈しなさそうですし(笑)。あと、診断だけでなく、新しいサービスの開発を経験できることにも魅力を感じ、入社を決めました。
クライアントの期待に、最大限応えたい
――現在の業務内容をお聞かせください。
セキュリティ診断サービスの「Sreake Security」を担当しています。Webサイトとスマートフォンアプリの脆弱性診断ですね。診断の案件がある時は、診断をメインに行っています。あとは、少し前の話ですが、新しく入社してSreake Securityチームに入った人がいたので、勉強のサポートをしていました。その人は、今はもう一人立ちしています。
――診断スキルを高めるために、取り組んでいることはありますか?
毎日欠かさず、色々と情報収集しています。診断の合間に、勉強を兼ねて。例えば、海外のセキュリティエンジニアの方が、「こういう脆弱性を見つけた」とWriteupで公開したりしているので、それを読んだり。海外のサイトを見て情報収集することが多いですね。
―― 技術力はもちろん、英語力も向上しそうですね!診断業務の中で工夫していることを教えてください。
単に、「脆弱性があるので修正してください」というのではなく、より具体的な対応を提示するよう心掛けています。同じ脆弱性でも、Webサイトの仕様によって、攻撃者ができることが異なるんです。だから、「この脆弱性があると、このサービスではこういった悪用ができてしまうので、ここをすぐに直す必要があります」といった感じで、できるだけ詳しくクライアントに報告しています。
――あらゆる可能性を考えて診断するのは、大変そうですね。
そもそも、セキュリティ診断は、一回で全ての脆弱性を見つけられるものではないんです。1か月かけて診断をすれば完全に見つけられるかと言えば、そうではない。オープンソースで開発されているプロダクトでも、毎年必ず脆弱性は見つかっています。けれど…クライアントは、セキュリティに問題意識を持って診断を依頼してくださっている。私に可能な限り脆弱性を見つけてあげたいし、見つけないといけないと思っています。診断後に、「スリーシェイクのファンになりました!」とクライアントから感謝の言葉をいただけることがあるんです。それを聞くと心から嬉しいですし、頑張りがいがあります。
セキュリティエンジニアは、システムを深く理解する「職人」的な存在
――素朴な疑問ですが、なぜセキュリティ診断の道を選んだんですか?
私の場合は、「そういう診断ができるような人になりたいな」というところからスタートしました。診断って、細かい挙動やサービスの本質を理解する必要があって。かなり深い知識がないと、そもそも何が問題なのかがわからないんです。その深いところまで理解している、職人的な人になりたかったんですよね。セキュリティの対応ができる人=細かいところを理解している人なので、理想を実現する近道になるんじゃないかなと思ったのが始まりです。
――たしかに、脆弱性の診断にはシステムに関する深い理解が必要ですよね。
診断では、ある脆弱性について、他の脆弱性や他の仕様と組み合わせて、「もっとインパクトの大きいことができるんじゃないか」と考えていきます。これが、パズルを解いているようで楽しいんですよ。あらゆることを想定しないといけないので、技術的にも勉強になります。
――セキュリティ診断に向いているのは、深く突き詰めていきたいタイプの人ですか?
そうですね…深く調べることが好きな人には、かなり向いているだろうと思います。ただ、セキュリティと言っても、様々なジャンルがあるので。セキュリティだけでも幅広いので、向き不向きは一概には言えないかな。今このインタビュー記事を読んでいる人で、セキュリティに興味がある人がいたら、まずは一度話をしてみたいですね。
「スリーシェイクといえば」に「セキュリティ」を加えていく
――ご自身の今後の目標を教えてください。
現時点では、「スリーシェイクといえばSRE」という状況ですが、そこにセキュリティという言葉を加えたいと思っています。いま提供している診断サービスに加えて、今後何か新しいプロダクトも開発していきたい。より多くの人に使ってもらえて、自分達でも使いたくなるような。本当に良いものを作れるよう、考えているところです 。
――最後に、スリーシェイクの未来について、展望をお聞かせください。
いわゆるGAFAのような、なくなったら困る人がたくさん出てくるような会社にしていきたいです。GoogleとかFacebookとか、急になくなったら困るユーザーが結構いるじゃないですか。そういう会社にしていけたらいいなと・・・・実はこれ、社長の吉田さんが言っていることなんですが(笑)。すごくいいなと共感しています。他社と一線を画す、スリーシェイクならではの存在価値を高めていきたいと思っています。
――ありがとうございました!
written by 三谷 恵里佳 https://tokyo-merrydsn.com/