Uターンでセキュリティエンジニアとしてシーエー・アドバンスに入社した瀬底さん。
脆弱性診断チーム*の中では唯一、ネットワークエンジニアの実務経験をもっており、
これまで東京でしかできなかった業務の多くを巻き取り・改善に成功!
2022年の社員総会では、セキュリティ部門において最も成果を出した社員に贈られる「ベストセキュリティ賞」を受賞しました。
今回はそんなセキュリティチームで比類ない存在の瀬底さんに、エンジニアを志した経緯やセキュリティエンジニアの魅力などを語っていただきました!
*脆弱性診断:OS・ソフトウェアの設計ミスや不具合によるセキュリティ上の欠陥が無いか確認する診断のこと
2018年05月 シーエー・アドバンスへ入社 セキュリティ監査チームに配属
2022年12月 エンジニア社員総会にてベストセキュリティ賞を受賞
技術力の向上と大きな挑戦ができた一年
――「ベストセキュリティ賞」の受賞おめでとうございます!
2022年はどんな一年でしたか?
ありがとうございます。
まさか自分が受賞するとは予想もしていなかったので、驚きました。
この一年、あっという間すぎて全然覚えてないですね(笑)
忙しかったなという印象があって、その中でも技術的なところに挑戦できた年でもありました。
――具体的には、どういったところに挑戦されたんですか?
一番印象に残っているのは、より本番に近い環境で脆弱性診断を行えるシステムを作ったことです。
これまで社内ユーザー認証用システムと連携したサービスの診断は、疑似的なログイン機能を開発側に用意してもらい進めていたんですが、疑似機能なので認証連携部分の診断が出来ませんでした。
そのため、本番と同様に認証連携部分を診断出来る診断用疑似認証システムを構築し、診断案件がきたら診断対象用のサービスと連携するところまでを担当しました。これまで沖縄で出来ていなかったこの環境を実装できたことが、受賞に大きく影響したと思います。
システムを作るにあたって、今まで知らなかった技術を1から勉強したので、自分にとっても大きな挑戦でした。
ツアーコンダクターからエンジニアへの転身
――シーエー・アドバンスに入社する前のご経歴を教えてください!
社会人になって1社目は客先常駐でフィールドエンジニアをやっていました。サーバーの新規設置からOSインストールまでを行ったり、すでに導入されて動いてるものの故障修理などを行う業務です。1年弱くらいやってましたね。
その後は常駐先が変わりネットワークエンジニアとして、大手携帯会社のネットワークシステムの設計〜構築を担当しました。
2社目はセキュリティエンジニアとして脆弱性診断とは違う業務をやっていました。
サーバーやネットワーク機器・アプリケーションから出てくるログって、形式がバラバラだったりするんですけど、SIEMと言ってそれらを一括して管理・監視できるようにするシステムの導入支援、技術サポートを行っていました。
そして3社目がシーエー・アドバンスですね。
――学生の頃からエンジニアを目指されていたんですか??
いや、目指していなかったです。
学生時代は、航空業界、観光・ホテル業界、外国語など学べる専門学校に在籍しており、僕はその中のツアーコンダクター(旅程管理主任者)を養成する学科にいました。
そのため卒業後は、観光業界で働く予定だったんです。
――今とは全く違う業種を目指されていたんですね!そこからIT業界へシフトチェンジしたのは何かきっかけがあったんですか?
専門学校の卒業が近くなったころ、リーマンショックの影響で内定が取り消されてしまうのが話題となっていました。
秋まで売り手市場だった新卒採用も、年明けにはあちこちで内定が取り消されるなど数ヶ月でガラリと変わってしまったんです。それほど影響が大きかったのだと思います。
特に観光業界では、一気にガクンと需要が下がったのをみて、自分の将来をかけていく業界としてすごく不安を感じたんです。
その一方でIT業界では、ショックの影響はあるものの学科や学部など関係なく未経験でも大量に採用をしていました。僕自身もパソコンには元々興味があったので、この道でもいいかなとシフトチェンジしました。
それからは、卒業までの間に基本情報などの本を読みながらコツコツと独学で勉強していました。
――たしかにその状況下で、不安定な業界に飛び込むのは勇気がいりますもんね。シーエー・アドバンスに入社されたきっかけは何だったんですか?
家庭の事情で沖縄に戻ることが決まって、転職せざるを得ない状況になったんです。
沖縄に戻ってからもセキュリティエンジニアとして働きたいと思っていたので、募集している会社を探していたらシーエー・アドバンスと出会いました。
入社して最初の2年くらいは、Webアプリケーションやスマートフォンアプリの脆弱性診断を行っていましたね。
今は、インフラよりの業務をしていて、社内ユーザ認証用のプロキシ診断やポートスキャン等のネットワーク診断、診断インフラの環境改善やメンテナンスを行っています。
開発者の信頼を得るための「正確性」と「一貫性」
――セキュリティエンジニアとして働く中で、苦労したことなどはありますか?
あります。
シーエー・アドバンスのセキュリティ監査チームは、サイバーエージェントグループの多種多様なサービスが診断対象です。使われている技術も幅広く、色々なフレームワークやツールを駆使しつつ、スピード感も持って診断する必要があります。
その調査範囲の広さや、開発者とのコミュニケーションには苦労しましたね。
一つのサービスのリリースに向けて、開発者側と連携することが多いのですが、僕たちセキュリティ監査側はリリース前に対応必須とした全ての脆弱性を取り除きたい一方で、開発者側はリリースに間に合わせるために対応の優先順位を決めなければなりません。
そのため、僕らは見つかった脆弱性を単に報告するだけでなく、それらがサービスに与える影響・リスクなどを鑑み、「なぜこの対策をしなければいけないのか」を分かりやすく、適切に伝える必要があります。
時には柔軟に「どこまでのリスクをのむのか」「ここまでは許容できるが、ここは譲れない」とケースバイケースで判断することもあったりします。この辺は、非常に苦労するところかなと思いますね。
――こういった塩梅は難しいですもんね。
セキュリティエンジニアとして常に意識していることはありますか?
常に新しい情報を調べることと情報の正確性は常に意識しています。
セキュリティエンジニアは、開発側から「なぜこういう対策をしないといけないの?」と疑問が上がってきた時に、しっかりと説明できなければいけません。
例えば、本当は対策されているのに「これ脆弱性ですよ!」と誤ったことを伝えてしまうと、今後信用されなくなってしまう恐れがあります。そうなると普段のコミュニケーションにおいて、とてもマイナスになってしまいます。
信頼があって初めて「相手の言葉を聞こう」「相手の指摘を聞こう」といった意識に繋がると思うんです。そういう意味でも、セキュリティエンジニアとして診断した結果の指摘はものすごく正確性や一貫性を意識してますね。
セキュリティエンジニアの魅力は
「常に新しいことを追い続けること」
――瀬底さんが今後取り組んでいきたいことはありますか?
そうですね。
これまでは転職するごとにエンジニアの中でもいろんな分野に触れてきたのですが、これからは専門分野に特化していきたいと思っています。
先のことを考えると「クラウドだ!」と思っているので、クラウドインフラのセキュリティに関する知識も深めていきたいですね。
今Web開発を行っているフルスタックエンジニア*は、フロント〜バックエンドはもちろん、インフラまでもフォローしている人もいて、その点ではインフラとアプリ開発の境目が段々となくなって来ていると思います。
しかし「セキュリティ」まで網羅できている人は少ないのが現状です。
クラウドインフラのセキュリティ領域においては需要があると思うので、今後はその方向に進んでいきたいなと思っています。
*エンジニアが携わるべき開発などの業務を一人ですべて行うことができる人材
――「セキュリティ面」まで網羅できたらたしかに強みになりそうですね。
瀬底さんは以前、AWSの資格を取りたいとお話されていませんでしたっけ?
はい。現在はAWS*やGCP*の知識を体系的に習得する為に、それらの資格取得を目指しています。
最近の開発ではクラウド環境を利用することが殆どなので、ポートスキャンやネットワーク診断をして結果を相手に伝えたり指摘したりするときに、基盤のクラウドのことを分かっていないと適切な対策を提案することが出来ず、そもそも指摘自体が的外れとなってしまうかもしれません。
そういったことが起こらないように、AWSやGCPなどのクラウドインフラ周りの資格にも挑戦していきたいと思っています。
*AWS=Amazon Web Service *GCP=Google Cloud Platform
――素敵ですね!では、瀬底さんが思う“セキュリティエンジニアの魅力”ってなんですか?
人によって魅力に感じる部分が幅広い職種だと思いますが、僕は「常に新しいことを追い続ける」ところが魅力だと思います。もちろん大変ではありますけどね。
ITのどの分野においても「セキュリティ」は必ず関わってくるので、追い求めるとコンピューターサイエンスを基礎とした様々なITの知識を深めないといけないんです。そういう面で、難易度の高い業務にチャレンジしている実感があります。
新しい技術が出れば勉強しなければならないですが、その代わりにセキュリティエンジニアの需要が無くなる事は当分無いと思うので、将来性があるところも魅力かなと思っています!
――新しいことを追い続けることで知識が深まっていくのはセキュリティの最大の魅力ですね!それでは最後に、エンジニアを目指している方へメッセージをお願いします!
エンジニアになりたいなら「まず手を動かすこと、自分で調べること」が1番大事です。
まず手を動かして、その結果を元に分からない部分を調べ、進める方が吸収スピードが上がり、実りが多いと感じます。体系的な知識を学ぶ為には、もちろん資格の勉強とかも効果的ではあるんですけどね。
未経験からエンジニアに転職したいという人がよくオススメの資格とかを聞いたりしますが、最初はとにかく動かしてみる、自分で何かを作ってみるというのが一番だと思います。現在はコンテナ*等で環境構築のハードルも下がっていると思うので積極的に手を動かしてみることをお勧めします!
やはり手を動かすことが1番楽しいですし、上達の近道になるのではないかなと思います。
手を動かさないと忘れるのも早いですしね(笑)
エンジニアを目指すみなさんには、積極的に手を動かしてスキルを身につけていってほしいです!頑張ってください!
*コンテナ=アプリケーションの動作環境をパッケージ化し仮想的に構築する技術
