「セキュリティの顧問会社」として、少数精鋭のプロ集団を

HASHコンサルティングは、いまはまだとても小さな会社です。 社員は代表の徳丸を含めて2名のみ。しかし、これからは「セキュリティの顧問会社」として、会社をより大きくし、サービスを広げていきたいと考えています。

代表の徳丸はWebセキュリティの専門家として活躍してきました。 メディアの出演や本の出版、講演会といった活動も行っていますが、当社は脆弱性の診断やセキュリティ案件の構築、コンサルティングや講習会・勉強会といった実務にも多く携わっている会社です。

講演会の様子

徳丸の著書

具体的には、作ろうとしているWebサイトの安全性診断、外部にWebサイトの作成を発注するためのセキュリティ要件作り、プログラマー・ディレクター・企画担当者を対象とした講習などが主な内容となります。 今年よりイー・ガーディアンのグループに入ったことで、「セキュリティの顧問会社」として、サービスをより総合的に展開していきたいと考えています。やみくもに拡大するのではなく、少数精鋭のプロフェッショナル集団を目指します。

今回は、HASHコンサルティングがこれから目指す方向を、徳丸が自身の半生を含めてお話します。

バグと脆弱性の解決に知的好奇心を見出した

徳丸は1999年よりWebセキュリティの分野に関わり始めました。
携帯電話のコンテンツを課金するシステムの構築を担当していましたが、当時はサーバーのプラットフォームにはセキュリティが存在していても、アプリケーションには存在していない時代で、独自で開発をしなければなりませんでした。

2000年代に入ってマスコミが徐々に問題意識を持ち始めたため、著書の執筆やテレビ出演、講演などが徐々に増え始めましたが、私自身は技術にフォーカスし、実務に携わりたいという思いが常にありました。2008年4月に独立し、HASHコンサルティングを創業したのは、そういったことが理由の1つにありました。

Webにおいて「バグ」と「脆弱性」は、似て非なるものです。

バグは本来できるべきものができないという問題点。

脆弱性は本来できないものができてしまうという問題点。

この意図しない不注意に対し、知的な好奇心をくすぐられました。

パズルをひも解くことで、世界全体を守る

脆弱性の発見には「なぜこんなことができるのだろう？という、ある種のパズルを解くような新鮮な驚きがあります。 同時に、自分も見つけてやろう！という挑戦心も沸いてきます。 セキュリティの分野はモノを新たに生み出すことはありませんが、Webの内部、つまりは世界全体を守ることに貢献できるという喜びも感じられます。

イー・ガーディアンのグループに入ったことで、労務などの面は任せることができ、私が事業に専念することができるようになりました。 セキュリティ分野は現在拡大傾向にあり、今後も需要が伸びることが予想されます。実質的な営業担当者がいないにも関わらず、当社にも数多くの案件が寄せられますし、同業他社から依頼を受けることも少なくありません。

まずは実務を担うエンジニアを必要としていますが、必ずしも非常に高いスキルが必須というわけではありません。少しでも興味を持っていただければ、まずは気軽にご応募ください。

twitterでも見解をシェアしている徳丸

様々な媒体の脆弱性について語る

セキュリティの使い手は、いわば「医者」

Webセキュリティは、作業のパターンがある程度決まっています。 そのためツールを使用して診断を行うケースも多いのですが、イー・ガーディアンのグループでは手検査も行っています。

セキュリティの診断は、お医者さんが行う病気の診断と似ていると思うのです。 まずは症状を見て、どのような状況であるか微妙な違いを読み取る。 原因は複雑なもの、複合的なもの、変わったものとさまざまです。 機械＝ツールで容易に判定できるものも少なくありませんが、手検査で詳細に調べなければならないものも存在します。

私の前職にバグを簡単に見つけることのできる才能を持つ、医者で言えば「神の腕」のようなものを持った人がいました。 その人に脆弱性の診断をしてもらうと、こちらもあっという間に見つけることができる。机と端末に向かう機械的な作業ですが、そういったカンやセンスが重要な時もあります。

当社の業務はずっと端末に向かい続け、定型的でありながら高度なスキルが必要というものです。 しかし、私のようにバグや脆弱性を発見することに面白さや楽しさを感じる方が、一定層いらっしゃるのではないかと思います。

さらには、以下のような方には、是非一度お会いしたいです。

◼︎ 日本のセキュリティを自分が何とかしてやる！という高い意識を持った方

◼︎ 徳丸からスキルを盗んでそのポジションに取って代わってやろうという野心を秘めた方

求ム、「テスト」が好きな変わり者？

12月に入社予定の、当社では3人目となる予定の社員は、セキュリティの経験はありませんでした。
毎日、同じ作業を繰り返すことになるが大丈夫？と尋ねたところ、以前にプログラムのテスターをやっていた、テストは好きだったから大丈夫と答えたのです。
私はその「テストが好きな変わり者」を、即採用することに決めました。

セキュリティのプロフェッショナルであれば、スキルが偏っていてもいい

当社の業務は、

要件の定義（プレセールス・セールス）

診断（テスト）

報告（レポート）

といった流れが主体です。プレセールスではオーダーする側との必要要件のすり合わせが主業務となるため、コミュニケーションスキルが重要となります。

一方でテストの段階では、端末に向かって淡々と作業に取り組むスキルが必要です。 レポートでは文章力や図表を作る力が備わっていなければなりませんし、報告会など喋るスキルも一定の力が要る。

しかし、全ての能力が全員に備わっていけないということではありません。 事業拡大にあたって、当社ではある程度、分業することも考えています。 あくまでも現在必要なのはエンジニアのプロフェッショナルとして活躍してくれる人材です。

Webセキュリティの分野には、慎ましやかで遠慮深い方が多いようで、徳丸の会社で実務を担当するとなると、腰が引けてしまう方が多いようですが、業務には定型的な作業も多く、ベーシックな知識とエンジニアとしてのスキルがあれば十分に対応が可能です。 是非気軽にご応募ください。