STORY トップ
【受賞者インタビュー】技術統括本部MVP 最優秀賞

脆弱性診断でサービスに安心を。チームで得られるやりがいと面白さ

2022年度、最も活躍したエンジニアに贈られる「技術統括本部MVP」を受賞した桃原さん。
セキュリティ監査チームのリーダーとして、その活躍は「脆弱性診断の立役者」「桃原さんがいなければ今のセキュリティチームはなかった」と言われるほど。

チームの立ち上げ時期からセキュリティ監査を見守ってきた桃原さんに、セキュリティ監査チームが発足するまでの歴史や苦戦したこと、業務のやりがいと向いている人など、お話を聞いてみました!

桃原 裕太

2011年04月 サイバーエージェント・アドマネジメント 入社
       SEM事業部 オペレーション開発グループに配属
2011年11月 株式会社シーエー・アドバンスへ社名変更
2012年07月 AQA事業部 セキュリティ監査チーム 立ち上げ
2015年01月 技術統括本部 セキュリティ監査チーム 異動

サービスの弱点を見つける「脆弱性診断」

――MVP受賞おめでとうございます!
桃原さんはセキュリティ監査チームとのことですが、普段はどんな業務をしているんですか?

ありがとうございます。

セキュリティ監査*チームでは、サイバーエージェントグループのサービスに弱点がないかどうかを探して、開発を担当しているエンジニアに報告する仕事をしています。
この「弱点を探すこと」を脆弱性診断と言います。

――サービスの弱点(脆弱性)には、どんなものがあるんでしょうか?

まず、ブログサービスでの例を挙げますね。

他人にブログを編集されたり削除されたりしてしまうと、とても困りますよね。
もちろん通常の操作ではそんなことはできません。
しかし十分にセキュリティ対策をしていないと、通信を改ざんすることで不正に編集や削除などができてしまう場合があります。

他のサービスで脆弱性として報告する例は、

・ゲームの場合
 他のユーザーより不正に優位に立つことができる「チート行為」

・ECサイトの場合
 他人の注文履歴が閲覧できる状態(アクセス権の不備)

などがあります。

サイバーエージェントグループでは脆弱性診断を受けて一定の水準以上でないとサービスをリリースできないルールがあるんですよ。
当然、診断でリスクの高い脆弱性を発見したら、対策が終わるまで粘り強く対応しています。ユーザーに安心してサービスを利用してもらうための重要な業務ですね。

セキュリティチーム発足のきっかけ

――現在はセキュリティ監査チームのリーダーとして活躍している桃原さんですが、セキュリティ監査チームに異動された経緯を聞いてもいいですか?

元々私は広告のレポートに関するシステムなどを作っていました。シーエー・アドバンスがサイバーエージェント・アドマネジメントという名前だった頃ですね。
その頃はまだ脆弱性診断という業務を聞いたことがありませんでした。脆弱性の種類も、XSS(クロスサイトスクリプティング)やSQLインジェクションなどの有名なものを知識として知っている程度だったと思います。

シーエー・アドバンスでセキュリティ監査チームが発足したきっかけは、2011年にAmebaブログが不正アクセスによる被害を受けたことです。これにより、サイバーエージェントグループ内でセキュリティへの需要が一気に高まりました。

また、当時「スマホアプリを100個つくる」という藤田社長の号令の下、スマートフォンアプリの開発が盛んに行われるようになりました。

このような流れを受けて、不正アクセスを含むセキュリティ対策を行うことと、スピーディーかつ高品質なアプリ開発が必須となりました。
そこで両方を担保するために、シーエー・アドバンスにデバッグチーム*とセキュリティ監査チームが新設されることになったんです。
バグがないかチェックする、脆弱性がないかチェックする、と方向性は異なりますが、どちらもサービスの品質を保つ部署ですね。

新設が決まって、まず私がセキュリティ監査チームの担当として、前述の広告レポートシステムの開発から異動することになりました。
私は開発経験こそありましたが、脆弱性診断については全くの未経験でした。そこから研修を受けつつ、力を伸ばしていった感じです。

*デバッグチーム:アプリやサービスなどに不具合(バグ)がないかチェックを行うチーム。

――未経験からの挑戦だったんですね!

そうなんですよ。
当時の目標は、能力開発と育成の2つでしたね。
具体的には、能力面では「外部の診断会社と並ぶスキルを身につけること」、育成面では「開発も未経験の稲福さんをサブリーダーとして育成すること」を目指していました。

一緒に脆弱性診断の案件をこなせるようにするために、稲福さんにはまずデバッグ業務を覚えてもらい、その後に必要なシステムを設計・開発することから体験してもらいました。
開発側の気持ちが分かったほうが脆弱性を発見しやすいと考えたからです。

最初はちょっとしたシステムをいくつか作ってもらい、ある程度開発スキルが上がってから脆弱性診断の研修を受けてもらいました。

私自身が初めての育成でしたから、研修は試行錯誤しながら進めていました。それにこたえるように成長していった稲福さんは本当に凄いと思います。

その後、当時の内容をブラッシュアップすることで脆弱性診断の研修内容が完成しました。今では開発未経験からスタートしたメンバーも何人かいます。未経験の方でも積極的に採用できるくらい、育成手法が確立できたのかなと思っています。

チームで持続可能な成果を

――開発未経験の方でもセキュリティエンジニアに挑戦できる環境を整えたんですね! こうした組織作りに貢献してきたことが、桃原さんが脆弱性診断の立役者と言われるゆえんなのでしょうね。
それから10年以上勤続されている桃原さんですが、継続して成果を出すための秘訣などはありますか?

成果を出し続けるための工夫は大きく分けて3つあります。

1つ目は、評価の方法です。

一般的に、脆弱性診断は言わば“守り”の仕事なので、評価が減点方式に寄りがちです。順調に仕事が出来ているときは問題にならないので評価されにくく、一つ見逃しが起きてしまうと評価が下がるという……。

そのため、私たちは「業務委託した場合と比較してどのくらい費用削減ができているか」などでチーム全体を評価します。その上で個人が頑張った成果を追加で評価するという方針にしています。

2つ目は、個人の目標設定です。

脆弱性診断は一通りやり方を覚えると、ある程度パターンが見えてくるんですよ。技術的な伸びしろが少なくなっていき、何年もやっていると成長を実感しにくくなってきます。
脆弱性診断に携わる人は優秀な人が多いので、成長が感じられなくなるとモチベーションの低下に繋がる可能性があります。

そこで私たちは、チームの目標とは別に個人目標を設定しています。
そうすることで、成長実感が湧くようになり、評価も加点方式で行うことができます。

3つ目は、ミスへの対応です。

ありがちなのは、ミスがあった際、個人に責任を求めてしまうことです。
しかし、これではメンバーのやる気は削がれ、根本的な問題解決にもならないと思います。

したがって、もし何か業務上のミスがあった場合は、手順を改善することで対応します。
ミスのフォローを完了し次第、診断時に参照している観点表をアップデートしてメンバーに周知することで、以降のミスがないよう対策するんですね。

こうした工夫を積み重ね、メンバーが意欲的に業務に当たれる環境を作り続けることが、チーム全体の成果に繋がっているのかな、と思います。

――様々な工夫をされているんですね。
セキュリティ監査でのやりがいはなんだと思いますか?

私個人が診断を担当していてやりがいを感じる瞬間は、直感で怪しいと思ったところで脆弱性を見つけられた時ですね。

先程パターン化してくるとお話しましたが、だんだん直感も鋭くなっていくので、診断で感じた違和感などは大事にするようにしています。特に、発見するのが難しそうな脆弱性を見つけたときはすごく達成感があって嬉しいです。

診断スケジュールでの失敗

――未経験からの業務スキルの習得だけでなく、何年も組織作りに大きく貢献してきた桃原さんだからこそ、今回のMVP受賞につながったのでしょうね。
これまで挫折や失敗などは経験しましたか?

脆弱性診断を始めたばかりの頃に、スケジュール管理の面で苦い思いをしたことがあります。開発の頃と同じ認識でいたので、提示されたスケジュール通りに診断をしなければならないと思っていたんです。

そうしてスケジュールを優先した結果、夜中まで診断に時間がかかったことがありました。実際は最初のスケジュールに拘らず、それよりもサービスの品質が担保できるように日程を組みなおすべきだったんです。そのことが分かっていなくて苦労したことがありました。

それ以来、無理のないスケジュールを心掛けています(笑)。

セキュリティエンジニアに向いている人

――開発エンジニアとセキュリティエンジニアで重要視するポイントが異なるわけですね。
セキュリティエンジニアになる適性も開発とは違ったものなんでしょうか?

そうですね。開発エンジニアは自分で作りたいものが明確になっている場合や、積極的に事業に関わっていきたい方が向いているんじゃないかなと思います。

一方でセキュリティエンジニアは開発とは別の側面から見ることが多いです。

例えば、

セキュリティ上、こういう設定は危ないな
・こういう仕様だとユーザーやサービスに不利益が起きるんじゃないか

などですね。
責任は重大ですが、そこにやりがいを感じる人や、開発とは違うテクニックを磨きたい方には向いているかなと思います。

お客様(ユーザー)に安心してサービスを利用していただくためには欠かせない業務だと思うので、興味を持ってくださった方には、ぜひセキュリティエンジニアに応募していただきたいです。セキュリティ監査チームで一緒に頑張りましょう!

セキュリティエンジニアとして一緒に働いてみませんか?
会社説明・業務説明も随時受付中です!

セキュリティエンジニアの求人を見てみる

STORY トップへ戻る