セキュリティエンジニアに必要なのは「言語化する力」 徳丸浩×メルカリ八木橋対談

f:id:mercarihr:20181113114630j:plain

セキュリティエンジニアの仕事は、不正アクセスやマルウェア被害などから企業とサービスを守るため、プロダクト開発における技術的サポートや運用、管理を行うこと。サービスや企業の成長とともに重要性が高まる存在でもあります。

そんなセキュリティエンジニアの代表的なキャリアには「セキュリティベンダ(不正アクセス対策やコンサルティングを専門に行う事業会社)で専門的なコンサルティング業務」、そして「インハウス(事業会社のメンバー)としてセキュリティ対策業務」の2つがあります。では、若手として第一歩を踏み出すとき、どちらを選ぶのがいいのでしょうか。

そこで今回のメルカンでは、とあるきっかけを経てWebセキュリティの第一人者である徳丸浩さんと、メルカリのセキュリティエンジニア八木橋優による対談を実現。事業会社を経てセキュリティベンダを立ち上げたという徳丸さんと、セキュリティベンダからメルカリへ転職し、インハウスとなった八木橋。それぞれの仕事の違い、そして共通して求められる「セキュリティエンジニアとしてのスキル」とは? 同じ業界内としてつながりはあったものの、それほど深いやりとりはなかったという2人が膝を突き合わせ、甘いものを食べながらざっくばらんに本音を語り合いました。

Mercari Engineering Blog記事バージョンはこちら

tech.mercari.com

セキュリティベンダとインハウスの違いは「寄り添うか、当事者か」

八木橋:最近、特に学生と話しているときに「セキュリティエンジニアになるにはどうすればいいですか?」「セキュリティベンダとインハウスのセキュリティ部門、どちらを選ぶべきか」という質問を受けることが増えました。徳丸さんはセキュリティエンジニアとして独立し、セキュリティベンダを立ち上げています。それはどういった経緯だったのでしょうか?

f:id:mercarihr:20181112115851j:plain
取材場所は、あんみつ発祥の老舗「銀座若松」(明治27年創業)

徳丸:私はもともと京セラで商品企画やシステム開発をしていて、そこからセキュリティ分野に興味を持ち始めました。「もっと技術に特化したい」ということで、会社に相談して一度は事業化、その後はHASHコンサルティング(現:EGセキュアソリューションズ)を立ち上げるかたちで独立しました。八木橋さんの場合、もともとセキュリティベンダで働かれていて、その後、メルカリへ転職されますよね。仕事のやり方などは変わりませんでしたか?

八木橋:変わりましたね。以前はセキュリティベンダの人間として、担当する企業の外側からセキュリティ管理や運用に関わっていました。もちろん、企業やサービスに寄り添い、なるべく近い立場で仕事をするようにしていましたが、ソースコードに直接触れるなど、あまり深いところまで立ち入ることはできません。インハウスのセキュリティエンジニアは「中の人」として、「外の人」では手の届かないさまざまなものごとに触れられます。「寄り添う」ではなく「当事者」になれたのは、やはり大きな違いですね。

徳丸:弊社でも、できる限り寄り添った姿勢でのやりとりを心がけています。しかし、インハウスというわけではないので、担当する企業の深いところまで立ち入ることはできません。セキュリティベンダはさまざまな企業のシステムに触れられるおもしろさがありますが、その一方でインハウスのセキュリティエンジニアは当事者として企業やサービスのより深いところから支えられるおもしろさがありますよね。

八木橋:それはありますね。

「若い時期こそ、セキュリティ漬けな生活を」

八木橋:一概に言えませんが、セキュリティベンダとインハウスでは、セキュリティエンジニアとして求められるものが違うと思っています。だからこそ、どのようにキャリアをスタートさせるべきか悩むわけです……。

徳丸:転職や独立を視野に入れている場合、私は若い時期こそ、まずはセキュリティ漬けな生活を送るほうがいいのではないかと思いますね。それは、私と八木橋さんが辿ってきたキャリアでもありますけれど(笑)。振り返ってみても、わりと初期段階でいろいろなシステムに触れる日々での経験が今も生きているように感じます。

八木橋:実は、僕も同意見です。いろいろな会社のシステムに触れる時期があったからこそ、インハウスのセキュリティエンジニアになった今でも「この問題、あのときにもあったな」と、ナレッジとして役立っています。

徳丸:当然ですが、企業によってセキュリティリスクの種類が違います。最初のキャリアがインハウスのセキュリティエンジニアだった場合、会社によってはSQLインジェクション(セキュリティ上の不備を利用し、想定外のSQL文を実行させることでデータベースシステムを不正に操作する攻撃)を見ることがないまま終わる可能性もありますよね。

f:id:mercarihr:20181112115843j:plain
EGセキュアソリューションズ代表、徳丸浩

八木橋:そうですね(笑)。セキュリティベンダでさまざまな顧客のシステムに触れていると、わりと高頻度でSQLインジェクションにも遭遇します。そういう経験がなければ知識も身につきませんし、知識がなければトリッキーな脆弱性やシチュエーションにも対応できないですよね。

徳丸:セキュリティエンジニアは、勉強すべき範囲がとても広い。コンピュータサイエンスやプログラミングだけを知っていればすべて解決できるわけじゃないですよね。

八木橋:そういう意味だと、まさにセキュリティベンダはセキュリティ漬けの日々になります。セキュリティエンジニアでスペシャリティを極めようとするなら、いろいろな業態のシステムに触れることができ、深掘りするセキュリティベンダのほうがチャンスや選択肢も広がる気がしますね。事業会社のセキュリティエンジニアをやると、どうしても浅く広く業務をこなしていかないといけない場面が多いですし。

「未経験」でもセキュリティエンジニアになれる条件

八木橋:徳丸さんが先ほどおっしゃっていたように、セキュリティエンジニアになるために勉強すべき範囲はとても広いです。セキュリティの基本のキを知っておくことはもちろん、Webやネットワークなど、各分野の知識も必要です。「未経験でもOKですか?」という質問もよくいただくのですが、僕個人の考えでは、コンピュータサイエンスのバックグラウンドがない状態からのスタートはなかなか厳しい印象があります。

徳丸:それでいうと、プログラミングスキルはあったほうがいいですね。こういったスキルは後から身につけられるものなので、弊社の採用条件は「意欲さえあれば経験が浅い方でも構わない」としています。しかし、最初からそういったスキルがあるとないでは、成長角度が格段に変わります。

八木橋:ちなみに、メンバーになるための条件などはあるのでしょうか?

f:id:mercarihr:20181112115757j:plain
メルカリのセキュリティエンジニア 八木橋優

徳丸:条件は特にないですね(笑)。強いて挙げるなら、採用時に相性の良さは見ています。弊社はセキュリティコンサルティングを生業にしているので、脆弱性診断でサービス内にある全パターンをチェックするなど地道な作業があります。そういった仕事が好きな人は向いていますし、かつ作業に対して好奇心を持って挑める人はなおいいですね。1つのエラーメッセージに「これはどういう意味なのか」「何が起こっているのか」と鋭い反応ができる人は、採用しています。

八木橋:メルカリのセキュリティチームでは「エンジニアと一緒に取り組める人」を求めています。なぜかというと、「こういうものを見つけたのですが?」「今プロジェクトにこういった課題があるので相談に乗ってほしい」という声はエンジニアから個別に受けることがとても多い。これには、セキュリティテストの報告書の推奨対策欄に書かれるような一般論だけでは解決できないことも多く含まれています。ビジネスの全体最適を考えたうえで「今のこの状態であれば、この対策がいいと思います。もしくは〜……」と、理想の解決策だけでなく、最適解も提案できる人が合っていますね。

セキュリティエンジニアに求められる「言語力」

徳丸:セキュリティエンジニアは、セキュリティ管理のためにチームのやり方などを指摘する場面も多いです。そこでは、人間力が問われるんですよね。エンジニアに関してよく議論になるのが「コミュニケーション能力は必要か否か」。これにはさまざまな意見がありますが、セキュリティエンジニアには必要ですよね?

八木橋:セキュリティ管理をする組織の規模によるかもしれませんが、僕は必要だと思っています。少なくともインハウスとしていろいろなメンバーとともにビジネスをやる以上は必須です。それに、チームとしてもそういったスキルを持っているメンバーがいないと業務が成り立ちません。

徳丸:コミュニケーションスキルに自信がない人は、セキュリティベンダのほうがいいかなと思ったりしますね。これもケースバイケースですが、必ずしも高いコミュニケーションスキルが求められないポジションもあるんですよね。

f:id:mercarihr:20181112115810j:plain
(左)紫いもあんみつ 1,350円(税込※期間限定のためなくなり次第終了)、(右)元祖あんみつ 950円(税込)

八木橋:そうですね。ただ、どんな会社のどんなポジションであっても、セキュリティ上の問題が「なぜ問題とされているのか」「どんなリスクがあるのか」、もっと深掘りすると「そもそもセキュリティリスクとは何か」をちゃんと言語化しなければならない場面に、いずれはぶち当たると思うんですよね。それも含めてやっぱりコミュニケーション能力は必要なんじゃないかと。

徳丸:八木橋さんは厳しいなぁ(笑)。ほかのメンバーに説明しなければならないことが多いインハウスに比べて、セキュリティベンダには「リスクとはなんぞや?」を答えられずとも仕事ができる場面もあります。もちろん、言語化できているに越したことはありません。このあたりは、セキュリティエンジニアとして何を志すかにもよりますね。

八木橋:僕自身が学生時代からセキュリティを入口に、この世界に足を踏み入れてしまったからかもしれません(笑)。

徳丸:ははは(笑)。

八木橋:あんみつ、上品な甘さで、美味しいですね。

プロフィール

徳丸浩(Hiroshi Tokumaru)
1985年に京セラ株式会社へ入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓発活動を行っている。


八木橋優(Yu Yagihashi)
大学卒業後、大手セキュリティベンダに入社。セキュリティコンサルタントとして主に金融業界の技術的課題解決に携わる。2018年1月にメルカリへジョインし、メルカリ/メルペイ/ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。

関連する募集職種

mercari - Jobs: Security Engineer, Product Application Security - Apply online