プロフィール

丸山 真実 (システムセキュリティ推進グループ)

SIerにて脆弱性診断のプリセールス、プロジェクト管理などに携わる。2018年10月にサイバーエージェント へ入社、システムセキュリティ推進グループにてCAグループのサービスにおける脆弱性診断のディレクション業務に従事。

身近なサービスの安全性に貢献したくてセキュリティコンサルタントに

― 前職ではどんな仕事をしていましたか？

前職はSierで、脆弱性診断サービスに携わっていました。脆弱性診断とは、脆弱性と呼ばれるユーザの情報流出やサービスの不正利用などに繋がるシステムのセキュリティ上の欠陥(バグ)を洗い出す検査のことを言います。そこでは、プリセールスだったり受注した案件の管理といった業務を担当していました。

サービス提供者とお客様という関係なので、セキュリティ的に緊急性が高い脆弱性が出たら「対応することをお勧めします」とアドバイスできますが、最終的な意思決定はお客様に委ねることになります。

そこにもどかしさを感じ、脆弱性診断だけではなく脆弱性に対応するところまで取り組める仕事をしたいと思い、転職を考えました。

会社選びにあたって、多種多様なプロダクトを運用している企業に魅力を感じたので、広告やメディア、ゲームや新規事業など幅広く事業展開するサイバーエージェントを選びました。「ABEMA」や「Amebaブログ」など、自分にとって身近なサービスを展開していたことも理由の1つです。

開発現場との信頼関係づくりが楽しい

― 転職してみて、SIerでの経験は活かせましたか？

基本的な業務内容は相手が「お客様」から「社内の事業部」に変わっただけなので、今までの経験が十分活かせました。脆弱性診断のフローがしっかりと構築されているのもあり、割とスムーズに業務に入っていけました。

ただ、サイバーエージェントは多岐にわたる事業を展開しているのもあり、業務への向き合い方が少し変わった点もありました。

例えば、SIerの場合、そもそもお客様が「脆弱性診断を受けたい」からスタートしていますし、対価を受けてセキュリティというサービスを提供する立場なので、スケジュールもしっかり管理されていました。

それに対し、サイバーエージェントのようなインハウスのセキュリティ部門では、同じ社内のメンバーが相手なので、良くも悪くも柔軟な対応が求められます。開発に集中したい現場にとって、どうしても脆弱性診断は後回しにされがちです。

そこで「この機能だけでも先に脆弱性診断しませんか？」といった調整が必要になってきます。重要になってくるのが「開発現場との信頼関係」です。

中途入社の自分にとって、会社のカルチャーや信頼関係など、どこから馴染んでいけば良いのか正直悩んだところもありました。

印象的だったのは先輩がくれたアドバイスで「足を動かしたほうがいいよ」と言われたことです。チャットの返答をただ待つのではなく、こちらから各部署に足を運んで直接担当者とやり取りしたほうが早いし、信頼関係も築きやすいというアドバイスでした。

まだ新型コロナウィルスが流行する前だったのもあり、アドバイス通りに足を動かし、あまり知らない部署に行って、担当者を探し出して声を掛けたりしました。

最初は緊張しましたが、これが意外と楽しかったですね。サイバーエージェントの採用基準にあるとおり、みなさん「素直でいい人」ばかりで (笑)。すぐに相談にのってくれますし、色々な開発現場と関係性を築くことで、格段に仕事をしやすくなりました。

― 現在のメイン業務はなんですか？

主に脆弱性診断のディレクションです。新規リリース前の脆弱性診断や主要プロダクトの定期診断など、抱えている案件数で言うと毎月30件から50件ぐらいになるでしょうか。一般的なユーザー向けのサービスだけではなく、広告のクライアントさん向けのツールや社内ツールも含まれます。

技術的な脆弱性診断の業務は、社内の診断作業チームや外部の診断会社へ依頼をしていますので、私の業務は脆弱性診断のスケジュールや進捗状況の管理、事業部側へのヒアリングといったディレクション業務を担っています。

私は開発経験がありませんが、基本的には脆弱性診断作業を実施する社内外の技術者と、事業部の開発チームとの橋渡し的な役目なので、必ずしもエンジニアである必要はありませんのでご安心ください。

もちろん脆弱性診断の結果から、どういったリスクがあるかを理解するため、ある程度の技術的な知識は必要です。

所属しているシステムセキュリティ推進グループにはセキュリティエンジニアも在籍してるので、リスクを踏まえて対策や修正が必要になった時にチーム内で相談することもあります。

そうやって周りを巻き込みつつ、「修正するのか、あるいは許容して別の開発フェーズで対応するか？」というように解決策を模索していくという意味では、その名の通りディレクションだけではなくコンサルタント的な役割も求められる仕事だと思います。

どんなバックグラウンドでもセキュリティ・コンサルタントとして活躍できる

― とはいえ丸山さんは前職もセキュリティのお仕事です。非エンジニアで、かつセキュリティ未経験でもできるお仕事なのでしょうか。

可能だと思います。プロデューサーやディレクター等、プロダクトやサービスのディレクション業務に携わっていた人であったり、広告営業のマネジメント等の経験も活かせると思います。

基本的に地味な仕事ではあるので、縁の下の力持ち的なところに魅力を感じられるような人のほうが向いているのかな、とは思います。

業務上、対話する場面は多いので、コミュニケーション能力は必要です。

ユーザーに安心して楽しんでもらう、最後の砦

ー コミュニケーションする際にセキュリティコンサルタントとして意識していることはなんですか？

例えば脆弱性診断を受ける事業側とコミュニケーションを取る時に、私が気を付けているのは「最終防衛ラインを決めた上でやり取りをする」ことです。

最初から完璧な状態でリリースできれば理想的ですが、時間や人的リソースには限りがあります。「とにかくこれではリリースできません」と、セキュリティ面の要望を一方的に押し付けるだけでは何も解決しません。

事業メリットとセキュリティの担保。それぞれ守るべきラインはあるので、白黒をつけずにお互い歩み寄るというか(笑)。「セキュリティ的にここはどうしても直して欲しいけれど、あの部分はリリースした後に修正しましょうか」というように、可能な限り柔軟に対応するようにしています。

セキュリティは一見するとコストと捉えられがちですが、開発側とセキュリティ部門は敵対関係ではありません。ユーザーにとって安心できるサービスを一緒に提供していく仲間として、お互いの立場を理解して通じ合える状態を作っていきたいと思っています。

ユーザーは「サイバーエージェント」という名前を信頼してサービスを利用して下さっています。その信頼を裏切るようなインシデントを起こさない、良いものをリリースしたい。その気持ちは同じだということが伝わって欲しいと思いながら日々仕事をしています。

―どんな人と一緒に働きたいですか？

脆弱性診断を担当する社内外のエンジニアチームと事業部側との橋渡しをするのが私の仕事です。

人と人の間に立って周りを動かして、物事を終わりまで持っていくことにやりがいや達成感を感じるような人なら楽しめると思います。

また「セキュリティに興味はあるけれど一歩踏み出せない」というような人には、セキュリティ・コンサルタントのお仕事は入口として踏み出しやすい気がします。

セキュリティ以外でのディレクション経験やプロデュース経験はすごく活かせると思います。

上司からは「会社がどんなサービスを扱っているのか、一番情報が集まるのは脆弱性診断のところだよ」と言われています。本当にその通りで、自分が脆弱性診断に関わったサービスがこれまで数多くリリースされています。

自分が関わったサービスがちゃんとリリースされてユーザーに楽しんでもらっているのを見たりすると本当に良かったなと思いますし、「今度はこんなサービスを出そうとしているんだ」というのを見ているのも面白かったりします。

それと同時に、我々の仕事はユーザーに安心してサービスを楽しんでもらう最後の砦でもあるので、責任とやりがいがある仕事です。そういった部分に共感を持ってくれる人と一緒に働けたら嬉しいですね。