【パートナーインタビュー】インフラ経験を活かし、セキュリティエンジニアへ。キャリアチェンジのリアルに迫る。

こんにちは！人事の小高です。

現場メンバーにフォーカスしたパートナーインタビュー企画。
前回はクラウドセキュリティ課の吉野さんに、クラウド診断に関するお話を伺いました。

今回も同じクラウドセキュリティ課に所属するAさんにクラウドセキュリティの道に進んだきっかけと、クラウドセキュリティの面白さを尋ねました。
※GMOインターネットグループでは社員のことをパートナーと呼んでいます

Aさん（高度解析部クラウドセキュリティ課）
新卒にて、セキュリティ事業も行っている大手企業へ入社。オンプレのインフラ領域で要件定義、基本設計、詳細設計、UT～ST、運用、保守の各工程に従事。その後官公庁含む様々な業界の顧客に対するプラットフォーム診断業務に従事し、クラウドセキュリティ診断のサービスを立ち上げた後、GMOサイバーセキュリティ byイエラエ株式会社（以下、GMOイエラエ）に入社。立ち上げ初期のクラウドセキュリティ課にて、クラウド診断（AWS、Azure、Google Cloudなど）を担当。

※写真はAさんの愛猫です

自立して自由に生きていくことを目指して歩み始めたエンジニアの道

― まず、これまでの経歴を教えてください。

新卒で、セキュリティ事業も行っている大手企業に就職しました。その時に前職を選んだ理由は大きく分けて2つあります。

1つは、中国語を使う国に現地法人があったことです。学生時代、台湾に交換留学していたこともあって中国語に興味があり、将来的には中国語が使える環境で仕事がしたいと考えていました。
もう1つの理由は、専門的な知識をつけられそうだったこと。専門的な知識をつけたいと思ったのには、手に職をつけてどこに行っても1人で生きていけるようになりたいと考えていたことが背景にあります。当時からIT業界の伸びも感じていたため、ITの中でも「セキュリティ」という得意分野のある企業を選びました。そこで約7、8年勤務したのち、GMOイエラエに転職しました。

現在はクラウド課にて、AWSなどのパブリッククラウドに対するクラウドセキュリティ診断を担当しています。また、診断のほかに、サービスの改善や診断業務効率化の推進などを行っています。

― 前職では、どのようなお仕事をされていましたか。

セキュリティに興味があって入社しましたが、入社して5年ほどは、金融業界の顧客を対象にオンプレミス環境のサーバー、ネットワーク環境の構築などを行っていました。WindowsやUnixなどのOSの他、AIXなどの個人では中々触ることのないOSを扱う機会もありました。また、客先に常駐してVMware環境上でマスターOSを構築し、マスターOS展開後の1500台のシンクライアント端末の運用、保守、ユーザー対応を担当したこともありました。

5年ほどインフラの経験を積んだのちにセキュリティに関する部署に異動し、プラットフォーム診断に従事するようになりました。プラットフォーム診断には、2、3年ほど携わりましたね。その間に、インターネット経由でのリモート診断と実際にデータセンターへ赴いてのオンサイト診断を担当し、トータルで2,300台以上のサーバーやネットワーク機器を診断しました。各地へ診断のために出張することも多く、色々な場所に行けたのは楽しかったです。

その他には、プラットフォーム診断をやりながら、クラウド診断サービスの立ち上げを行っていました。ちょうどクラウドだけに限らず、新しいサービスを立ち上げるプロジェクトが走っているタイミングでした。そのなかでもクラウドは少し業務で触ったことはあったものの深い知見はなかったため、「面白そうだし、これを機にやってみようかな」と手を挙げました。そしてサービスの立ち上げを終え、運用を確立して1年ほど経った頃に、GMOイエラエへ転職しました。

― GMOイエラエに転職しようと考えたのはなぜでしょうか。

前職で勤務する中で、将来的に子育てをしていくには業務の拘束時間が長いと感じたことが転職理由の1つです。プラットフォーム診断に従事するようになってからは、国内だけではなく海外の顧客の事業所に出向いて診断作業をすることもありました。業務そのものは楽しくてとてもやりがいがありましたが、自分のライフステージが進んでいく過程で子供を持つことを考えると、診断は続けたいものの、このままの働き方では難しいと感じるようになりました。また、いずれ配偶者の地元に移住する予定なのですが、その時診断の仕事を辞めずに済むように、完全にリモート＆フルフレックスでいつでもどこからでも働ける会社に転職したいと考えるようになりました。

もう1つの理由としては、私がクラウドセキュリティ診断サービスの立ち上げを行っていた数年前は、色々な会社でクラウド診断のサービスが立ち上がっている時期でした。クラウドセキュリティは比較的新しい分野だったのもありクラウドに詳しい人が当時は社内におらず、ほとんど1人でサービスのオペレーションをしていたので、判断に迷ったときにクラウドについて相談できる人が欲しいと考えていました。そんな時に「GMOイエラエならクラウドに強い人がいる」と耳にし、GMOイエラエのパートナーと接点を持ったことが結果的にGMOイエラエへの転職に繋がりました。
転職するにあたって診断サービスを提供しつつ、アクティブに攻撃するような手法を試してみる機会があればいいなと考えていたのですが、GMOイエラエはそのどちらにも強いことも後押しになりました。

実際に、元々入社する前からクラウドセキュリティ診断に携わっていましたが、GMOイエラエに入って相談相手ができてからは、新しい診断観点をどんどん見つけて顧客の環境をより深く診られるようになった実感があります。多くのセキュリティベンダーでは「CIS Benchmarks」と呼ばれるセキュリティのベストプラクティスで定義されている部分の定型的な診断を行うところが多い印象ですが、入社してからはマルウェアの感染有無や、設計やシステムの使い方を考慮して各アーキテクチャを診たり、認証認可やコンテナのサービス、クラウドサービス上で構築されたアプリケーションにおけるクラウド部分の問題点についても確認したりするようになりました。
具体例としては、用途が運用想定のIAMユーザーがあった時に、そのユーザーが持っている権限を診て、この権限とこの権限を組み合わせてこのリソースを利用するとIAMユーザーが特権昇格できるので、このユーザーに本来想定されていない強い権限を持つことができるな、などを手元で検証して報告しています。

より細かい部分まで顧客にアドバイスできるのがやりがい

― クラウドセキュリティに携わるにあたって、どのようにクラウドの知識を得ていったのか教えてください。

私がクラウドに挑戦し始めた頃は、まだまだクラウドセキュリティは新しい分野で、手探りでやってきた部分が多く、明確にこうしたらこうなれたと説明するのがちょっと難しいですね。
一通りクラウド関連のベンダー資格は取得しましたが、取得したからといって実務がすぐにできるというわけでもありませんでした。手探りなのはGMOイエラエに入社してからも変わらず、入社当時はクラウドセキュリティ課を立ち上がって半年程の時期だったのでなおさらでした。クラウドセキュリティ課としても診断のやり方が明確に決まりきってはなかったので、案件をこなしつつ診断観点を整理して手順書を作ったり、プラン別のサービス設計を行ったりと、サービスの整理をメンバーと協力しながら進めていきました。強いて言うなら、元々オンプレのインフラに関わっていた時の知識や経験は、クラウドを触るにあたって良いとっかかりになりました。

― 前職で行われていたプラットフォーム診断とクラウドセキュリティ診断との共通点や違いはどのような点だと感じられますか。

診断の対象は違いますが、業務フローそのものはWeb診断やプラットフォーム診断と大体同じです。AWSやGoogle Cloud、Azureなどのクラウドサービスの設定の診断を実施し、報告書を作成して診断結果を報告します。また、顧客からの問い合わせに対応することも業務の1つです。一方、プラットフォーム診断やWeb診断がシステムのバックエンドで何が動いているか分からない状態で診断するのに対して、クラウド診断は事前に顧客から環境の読み取り権限をもらって、環境内のリソースがほとんどすべて参照できる状態で診断します。そこが大きな違いだと思いますね。
環境の設定を1つ1つ診ることができるため、プラットフォーム診断やWeb診断に比べて、細かい部分の設定や、ときにはシステムの目的を踏まえて設計についてもアドバイスができるのは良いところです。

― 流れは似ているものの、見れる情報の粒度が違うんですね。そうした違いもある中で、今までの経験が活きていると感じることがあれば教えてください。

これは前職でセキュリティに携わり始めた時から感じていたことですが、顧客と深く関わりながらシステム構築、運用、保守の経験をしたことで、「顧客が脆弱性を修正する上でのハードル」を理解できるようになったのは診断業務にも活きていると感じます。例えば、OSやミドルウェアについては最新バージョンを使うことが推奨されますが、脆弱性があったとしてもそう簡単にバージョンアップやパッチ適用ができない場合があります。テストを経て安定稼動することが分かっているバージョンでないと、本番環境で動かした時に想定外の原因で障害を引き起こすかもしれません。また、費用面で移行が難しい場合などもあります。こうした修正のハードルを理解できるのとできないのでは、顧客に提案できるものが違ってくるな、とセキュリティ診断に従事するようになってから感じました。セキュリティ上の理想を伝えるだけでなく、最善策を実行するハードルが高い場合は現実的な次善策も一緒に提案するのを心がけることで、より顧客に寄り添ったセキュリティ強化に貢献できているのではないかと思います。

また、セキュリティ診断は診断したらそれで終わりと思われることもありますが、診断業務で一番重要なのは顧客への診断結果の報告です。顧客は診断作業そのものというより、その結果の報告を得てそれを元にシステムを堅牢化するためにお金を払っています。どのような環境で、どのような条件下で診断した結果、何が問題で、どんな影響があって、それを防ぐためにどう対策するのが良いかを顧客目線で分かりやすく伝えることが診断員には求められます。
前職では基本設計書、テスト計画書などの各種ドキュメントを作ったり、システム更改にあたってその概要をポンチ絵にしてエンドユーザーに説明したりすることなども多かったので、技術者ではない人にも技術的な事象について分かりやすく伝える報告の仕方などは、現職でも活かせているかなと感じます。

― クラウドセキュリティ診断のやりがいや大変さは何ですか。

クラウドは次々に新しいサービスや機能が出てくるので、それに合わせて自分もアップデートしていかないと、追いつけなくなってしまいます。定期的にベンダーのイベントや公式ドキュメントをチェックしておかなければなりません。これが一番大変ですね。
やりがいとしては2つ。1つ目は、触ったことがない機能にどんどん触れる機会をもらえること。診断の中で、「このサービスをこんな風に使うんだ」という気づきを得ることも多いです。2つ目は、細かく環境を見れるおかげで、どういう意図で環境を実装しているのかが分かるので、ときに顧客のシステムの設計部分についてもアドバイスをできることですかね。

やりがいだけでなく、多くのものを得られる仕事

― この記事の読者には、クラウドセキュリティに興味を持つ人が多いのではないかと思います。Aさんのようにクラウドセキュリティエンジニアとして活躍するためには、どのようなことが必要だと思いますか。

インフラやネットワークに関する基本的な知識は必要です。また、クラウド上でシステムを実際に構築したり、運用したりする経験も不可欠ですね。自分で実際に触ってみるなどしつつ各クラウドサービスの理解を深めていったり、その過程で資格を取得したりと、自分で実際に手を動かして学ぶことが求められます。
なので、セキュリティは未経験でもクラウドプラットフォーム上でシステムを作ったり運用したりした経験がある人は向いていると思います。各クラウドサービスそのものへの理解があれば、セキュリティに関する知見を身につけるハードルはそんなに高くないように感じます。クラウドセキュリティ課ができた当初と比べると、社内の手順書なども整ってきているので、キャッチアップもしやすい環境です。

パーソナリティとしては、新しいトレンドを追い続けられる人、想像力のある人が向いているような気がします。
次々に出てくる新しいサービスや機能に対して自分で公式ドキュメントを読み込んでサービス仕様を理解し、この仕様を利用したら何ができるかなど、クラウドサービスの仕様への深い理解に基づいて、ユーザーがやられたら嫌なことや、ユーザーのビジネスでマイナスになることを想像できる人だといいですね。このCloudFrontはWAFを挟んで一部のユーザーからしかアクセスを許可しないようにしているみたいだけど、UserAgent変えたらなんかWAFをバイパスしてアクセスできそうだな・・・という風に、脆弱性のあたりをつけるのに役立ちそうです。

― 今後Aさん自身として目指すこと、クラウドセキュリティ課として目指すことをそれぞれ教えていただけますか。

私自身が10年後もクラウドセキュリティをやっているかというと分かりませんが、新しい技術を追いかけることはずっとしていきたいです。セキュリティ診断は続けつつも、診断に留まらない別の形でお客様のシステムや組織課題に関する改善提案をするなど、新しい挑戦もしていけたら嬉しいですね。
クラウドセキュリティ課としてで言うと、より気軽に、より多くの会社がセキュリティ強化に取り組める状態を目指しています。例えばクラウドセキュリティ課には、診断を効率化するために社内で使用している診断ツールがありますが、そのツールをプロダクト化することも視野に入れています。診断よりも取り入れやすいプロダクトという形でクラウドの知見を顧客に提供し、それにより顧客のクラウド環境のセキュリティを強化できればと考えています。

― 最後に、読者の方にメッセージをお願いします。

クラウドセキュリティエンジニアは、これまで話してきたようなやりがいがあるだけでなく、キャリアやワークライフバランスの側面でも魅力の多い仕事です。クラウドとセキュリティの両方をできる人は今のところはまだ多くないので、市場価値は非常に高まります。また、業務の全てをリモートで完結できるのもメリットです。
やりがいも大きくキャリア形成にも貢献し、時間や場所にとらわれずに仕事ができる職種なので、特にオンプレやクラウドプラットフォームでのインフラ構築に身に覚えのある方はぜひ挑戦してみていただければと思います。