入社後すぐに自動診断ツール開発の担当へ‐BBSecでの知識の習得方法やお客様と接するときに心がけていること‐

BBSecで働く社員たちへのインタビュー 。 実際に現場で活躍する人たちが日々の業務で感じていること、考えていることなどを語っています。

セキュリティサービス本部 診断サービス部
帆苅　慶

経歴や印象的だった業務や実績などについて

編集部：まずは、エンジニアとしてのキャリアのうち、帆苅さんご自身の中で印象に残っているBBSecでの業務を聞かせてください。

帆苅：入社してすぐに自動でWebアプリケーションの脆弱性診断ができるツール（以降：自動診断ツール）の開発をすることになったのが印象に残っていますね。私はIT系の専門学校を卒業後、新卒採用でBBSecに入社して、２カ月の研修を経て、自動診断ツールの開発チームに配属されました。最初の頃は、主に画面のデザイン設計を担当し、そのままサーバ側のプログラミング、開発、構築も担当するようになりました。最終的にはエンジン側の運用と開発も任されることになりましたね。

編集部員：研修があったとはいえ、入社後の最初の業務としてはハードルが高いように思いますが・・・。

帆苅：たしかにそうだったかもしれませんね。ある程度専門学校で習った知識はあったものの、特にサーバの構築は全く経験がありませんでしたから・・・。なので、自己研磨も必要でした。でも、配属になった開発チームの直属の上司に、技術的な面でたくさんフォローしていただきましたし、お客様へのホスピタリティについても多く学ぶところがありました。自動診断ツールの開発チームに配属されて学んだことの多くは、今も活かされる場面がありますので、印象的な業務でしたし、いい経験をさせてもらったと思っています。

現在担当している業務内容や知識の習得など

編集部：では現在はどのような業務を担当しているのでしょうか？

帆苅：マルチクラウドセキュリティ設定診断を主に担当しています。当社では、「AWS（Amazon Web Services）」に対応した診断のほか、「Azure（Microsoft Azure）」や「GCP（Google Cloud Platform）」にも対応した診断を行っています。AWSだけしか診断していなかった時期があったのですが、その時期に私は、当社がAzureやGCPに対応した診断サービスを可能にするための業務を担当しました。サービスを実現するための調査をして、そのあと、AWS以外のクラウドサービス向けの脆弱性診断の1件目も私が担当したんですよ。

編集部：入社して早々の自動診断ツール開発もそうでしたけど、クラウドの診断についても、帆苅さんは先駆者的な立ち回りが多いですね…。新しい知識の習得に苦労しませんでしたか？ どういう勉強の仕方をしていますか？

帆苅：クラウドについての知見はあまりなかったのですが、自分で勉強したことはもちろん、現在の直属の上司が詳しい方で、フォローもしてもらいましたので、ものすごく苦労したとは思いませんでしたね。えーと…、勉強の仕方、ですか。新しい知識を学ぶために特別なことをしている、という自覚はないですね。実際に手を動かして、必要なことを調べていくという感じです。自動診断ツール開発のほうで言うと、サーバ構築をする場合だったら、コマンドを打ってみて、エラーが出たら内容を調べて、修正して…、といった感じでしたかね。もちろん大前提として、専門学校時代にある程度の知識は習得していたので、勘でやっていたのではないですが…。学んできた専門用語や知識のすべてが実務に活かせるとは限りませんので、実際に業務を通して学んでいくことも多いです。最近の業務に活かせていることでいうと、GitHubで公開されているソースコードを見ていますね。勉強になりそうなコードを自分なりの解釈でいいので再現してみると、最終的にできたシステムの意図だったり、理屈だったりがなんとなくわかります。それが実務をする際の仮説になることがあるんです。自分の引き出しが増える感じで…、まあ、「知識」が「知恵」になる、とでも言えるかなと思います。

お客様と接するうえで心がけていること

編集部：脆弱性診断の業務については特に、お客様と接する機会が多いと思いますが、お客様に満足していただくために心がけていることはありますか？

帆苅：お客様から技術的な質問があった際に、可能な限り丁寧な対応を心がけています。入社当時に配属になった開発チームの上司から学んだことのなかに、「木を見て森を見ず、はよくない。技術的な質問には、必要なら1を聞いて2以上を返せ。」というものがありました。お客様が本当に困っていること、言葉で伝えきれていないことを察したうえで、お客様の質問にお答えするのだ、ということですね。今も心に残っています。ただただ、「こういう脆弱性があって、こうするのが一般的な対策方法です。」ではなくて、「この箇所に限らず、全体的に関わってくる問題でもあります。」や、「ここを修正すると、この脆弱性が出なくなるのに加えて、こっちの現象も治るはずです。」といった提案をします。

編集部：なるほど。短絡的な対策方法だけを伝えることはしない、ということですね。具体的な例はありませんか？

帆苅：私がクラウドサービス向けの脆弱性診断を担当した、とあるお客様から、「社内のWeb開発用のセキュリティルールを策定するためにサーバレスなWebシステムで発生するクロスサイトスクリプティングへの汎用的な対策方法を教えてほしい。」という質問がありました。こちらの対応としては、まず脆弱性が出なくなるサンプルコードをお知らせすることはマストで、まあ、機械的な業務としてはそれだけで良いと思います。「汎用的な対策方法を教えて欲しい。」というご要望には応えられていますので。でも、クロスサイトスクリプティングが発生するメカニズムと複数の対策方法を知っていただくことで、汎用的な対策ではカバーできない箇所があることを伝えられると同時に、より実際のシステムに即した対策がとれるのではないか、と考え、脆弱性を再現するサンプルコードと複数の対策パターンもご提供させていただきました。その結果、お客様からこの対応にお褒めの言葉を頂戴しました。

最近気になっているIT関連の話題など

編集部：これから習得したいことだったり、気になっていて、追っていることだったりはありますか？

帆苅：技術やシステムのトレンドって、そこまで予測できないですよね。だから、新しい技術のトレンドの波がいつ来ても追いつけるように、少しでも知見を蓄える努力はしています。まあ、業務的に、とか仕事上仕方なく、という感じではなく、私一個人として新しい技術の情報が世に出回ったら興味がわく性質から、という感じですかね。個人的には、「WebAssembly」というのに注目していて、最近勉強しています。プログラミングでは、「オブジェクト指向プログラミング」に対抗するプログラミング手法の「関数型プログラミング」にも興味があります。あとはもちろん、クラウド環境特有の脆弱性についても勉強していますよ。テレワークが推奨されているご時世ですからね。

帆苅 慶（ほかり けい）
長野県出身。学生時代はサッカー部に所属。基本的に体温は低め。郷土愛は高め（ただし信州蕎麦は特段好きではない）。