こんにちは！人事の小高です。

現場メンバーにフォーカスしたパートナーインタビュー企画。
これまではWebアプリケーション診断やペネトレーションテストに携わるパートナー※をメインにインタビューをしてきました。

今回のインタビューでは、「クラウド診断」に携わる吉野さんにお話を伺いました。2021年12月にGMOサイバーセキュリティ byイエラエ株式会社（以下、GMOイエラエ）へ入社し、高度解析部 クラウドセキュリティ課にてクラウド診断を行っている吉野さん。セキュリティ診断未経験で入社し、いかにしてセキュリティエンジニアとなったのか。入社までの経緯とクラウド診断の魅力に迫ります。

※GMOインターネットグループでは社員のことをパートナーと呼んでいます

吉野 弘一（高度解析部 クラウドセキュリティ課）
SIerにてインフラ関係の業務に携わった後、2021年12月にGMOイエラエへ入社。立ち上げ初期のクラウドセキュリティ課にて、クラウド診断に従事。

前職時代の資格取得が今に繋がっている

―まず、GMOイエラエに入社するまでの経歴を教えてください。

新卒では自動車整備士として就職しました。その会社は2年程で退職し、前職であるIT企業に入社し、SIerのインフラ関係業務に7年ほど携わりました。そのうち2年程は、AWSを中心としたクラウドの設計や構築を行っていて、その経験を活かしてGMOイエラエに転職しました。

―自動車整備士から、 IT業界へ入ったきっかけは何だったのでしょう。

いざ仕事をやってみると、自動車整備は自分の体力的にキツいとわかったのが理由の1つです。また、この先、自分がどんなキャリアを築きたいかを考えた際に、退職を決心しました。退職後は、近所にあった職業訓練校でたまたまITの講習をやっていたこともあり、ITについて学びました。そしてそのままIT関連の業種に進むことにしたんです。

―その後、AWSの資格を全て取られたとお聞きしています。なぜそんなにも多く取得しようと考えたのですか。

クラウド関連の業務を担当することとなったのが、AWSに興味を持つ大きなきっかけでした。今は基幹システムでもクラウドを使っていることが増えましたが、当時はまだ、クラウドはあまり広まっていませんでした。でも、まだ出たばかりのAWSの学習を少しずつ進めていくなかで、物理的な機械やサーバーから離れて仮想的に構築していくのが面白いなと感じて、興味を持ちはじめたんです。

そして、まずはAWSに携わるにあたって、必要な知識を得るために勉強をしていました。でも次第に、必要な知識を得るだけでは物足りない感覚を持つようになっていって。そこで、普段業務では使わない分野の資格も取得しようと思い、さらに勉強を進めました。そうして取得した資格が増えるうちに、いっそ全部の資格を取りたい気持ちが芽生え、最終的に、当時あった12個全ての資格を取得することとなりました。

AWSの資格では、全ての資格を取得する人は多くなく、自分の興味のあるいくつかの資格を取得する人がほとんどです。でも、ここで全ての資格を取得したことが今に繋がっていると感じるので、やっておいてよかったですね。

これまでの知見を活かしつつ、貪欲に新しい知識を学ぶ

―セキュリティエンジニアを志されたのはなぜですか。

ある時、自分のエンジニアとしての強みを考えるタイミングがあったんです。改めて考えてみると、自分には特別な専門性がないと感じて……。それ以来、自分も何かの専門性を持ちたいと思うようになっていきました。では何に特化するかと考える中で、今後重要性が高まるであろうセキュリティについて学びたいと思って、この道を選んだんです。

―そのなかでも、GMOイエラエを選んだ理由を教えてください。

セキュリティといえば、まず出てくるのがGMOイエラエだったからです。他の企業も見ましたが、セキュリティ診断といってもWebやネットワーク系の診断であることがほとんどで、クラウド診断を行っているところは多くなかった、というのもありました。当時のGMOイエラエはクラウドセキュリティ課を立ち上げたばかりということもあって、幸いクラウド×セキュリティという自分のやりたかったこととGMOイエラエのポジションがマッチして入社することができました。

―入社後は、どのように業務を覚えていきましたか。

AWSの知見はすでに持っていたので、まずAWSに関するセキュリティの知識を深めていきました。AWS側が発信している情報をチェックしたり、実際にサービスを触ったりしながら学んでいきましたね。同じチームのメンバーからもセキュリティ診断を行う上での勘所を学びました。こうして、少しずつセキュリティエンジニアとしてステップアップしていきました。

また、入社当時は僕を含めて4人と、立ち上げて間もない段階ではあったものの、入社した時点ですでにクラウドセキュリティ課で診断を行った実績があったので、その資料を一通りチェックして学ぶこともしました。その資料を活用して、先輩たちがどんな観点で診断をしているのかをまず把握したんです。その上で、自分のAWS知識と掛け合わせながら、過去に指摘ができていなかった箇所を自分なりに考えていきました。そしてアウトプットをすることで、より学びを深めていきました。

とはいえ、AWSの基本は押さえていたので、新しく学ぶべきことが多いわけではありませんでした。しかし、実際のクライアントの環境に入って、設定されているものがセキュリティ的に正しいのかを判断するのは初めてだったので、そこをキャッチアップするのにはやはり努力がいりましたね。

プラットフォームの変化についていくことが重要

―入社から2年以上が経ちましたが、現在はどのような業務に取り組まれていますか。

AWSに限らず、パブリッククラウドを利用しているクライアントを対象に、セキュリティ設定に脆弱性がないかを診断する業務を行っています。クライアントが実際に使っている環境に入り、各サービスの設定などを確認。そして、脆弱性が認められる箇所や、改善するべき箇所を報告書としてまとめて提出するのが一連の流れです。

具体的には、サーバーやストレージにアクセス制限をかけるべきであるにもかかわらず外部から自由にアクセスできるようになっていたり、データの暗号化がきちんとできていなかったりといった、正確な設定ができていないことによって起きる脆弱性の有無を確かめています。なかでも、データを保存するストレージなど、本来は外部からアクセスされるべきでないものが、外部からアクセスできるようになってしまっているケースは特に多いですね。

基本的には報告書の提出を以て1つの案件は終了しますが、中には発覚した脆弱性を修正したのちに、再診断を希望されるクライアントもいます。

1つの案件にかかる時間は、セキュリティツールのスキャンを行うのがメインのライトプランであれば、約5営業日。診断員が細かくチェックするフル診断の場合は10営業日ほどかけて診断を行います。

クラウド環境の使用頻度が高くなく環境自体も小さい企業であれば、ライト診断を利用されることが多く、逆に使用頻度が高い企業はフル診断を希望されることがほとんどです。また「初回なので細かいところまで見てほしい」との理由で、フル診断を選ぶクライアントもいるため、フル診断を受けるクライアントの方が多い印象です。

―クラウドにおけるセキュリティ診断と、他のセキュリティ診断との違いはどのような点ですか。

他の診断のことが詳しくはわからないのですが、クラウド診断では、AmazonやGoogleなどのプラットフォームが提供している環境を使うことになります。そのため、プラットフォームごとに設定の仕方や、セキュリティにおけるベストプラクティスが変わってきます。それだけでなく、調査対象のクラウド上で動いているアプリケーションを見ることもあるので、他の診断と比べて比較的幅広い診断をしているように感じています。

―クラウド診断ならではの大変さ、やりがいをそれぞれ教えてください。

プラットフォームの都合で左右される要素が多いのは大変ですね。たとえば、設定仕様の変更、機能追加などです。時には設定画面のUIがまるっきり変わっていることもあります。そうした状況に対応するため、逐一プラットフォームの情報を追い、アップデートについていくことが求められます。

やりがいは、大変さの裏返しでもありますが、プラットフォームが提供する新しいサービスにいち早く触れることです。

扱っているのがクラウドなので、古いものがいつまでも残ることはなく、常に更新されていきます。使っているのは同じサービスですが、その中で真新しいものが導入されたり機能追加が多かったりと、新しい概念に触れやすいのはクラウドならではのやりがいだと考えています。クライアントの環境でなくとも、社内の検証環境で試してみることもできます。とても楽しい環境ですね。

―クラウドセキュリティ診断には、どんな人が向いていると思いますか。

自分で調べるスキルや情報をキャッチアップするスキルがもっとも重要だと考えます。これは、先ほどお伝えしたような、頻繁なアップデートについていかなくてはならないからです。アップデートの度に、プラットフォームが用意しているドキュメントを読んで、何がどう変わったのかを常に追いかけていくことが求められます。

私の場合は、アップデートが一覧でまとめられているところがあるので、それをチェックすることが多いです。また、実際に触っていて、以前と変化した部分を経験的に学ぶこともよくあります。このように実際に試せるところがクラウドの長所でもあります。手を動かして体感することも、クラウドセキュリティの知見を身につける上では重要ですね。

―最後に、今後の展望を教えてください。

今は設定に脆弱性がないかの確認が中心で、ディフェンシブな業務が多いですが、今後は、「この脆弱性を突くとシステムに侵入できる」といったオフェンシブな視点やスキルも身につけていきたいです。

元々クラウドセキュリティは、ディフェンシブがメインの領域ではあります。しかし、設定の脆弱性の1つ1つを組み合わせれば、システムに侵入できるのではないかなどの観点での診断も、今後はニーズが高まっていくのではと考えています。そのニーズに答えるためにも、攻守どちらもできるセキュリティエンジニアとなりたいですね。

― 吉野さん、ありがとうございました！攻守どちらもできるセキュリティエンジニア、ぜひGMOイエラエで目指していってください！

未経験からセキュリティエンジニアに挑戦し、現在は自身の業務に取り組むだけでなく、チームメンバーのサポートも行うなどの活躍を見せてくれている吉野さん。今後もさらに攻守どちらもできるセキュリティエンジニアを目指したいという熱い想いに刺激を受けました。

GMOイエラエでは挑戦できる環境があります。経験を活かしてセキュリティ領域で挑戦していきたい方のご応募お待ちしております！