Flatt Security Blog

株式会社Flatt Securityの公式ブログです。情報漏洩等につながる脆弱性がないか調査する「セキュリティ診断」とWeb開発者向けセキュアコーディングのeラーニング「KENRO」を提供しています。」

株式会社Flatt Securityの公式ブログです。
技術的な知見や社内の雰囲気を伝える記事を発信しています。

Policy as Codeで、あらゆるセキュリティ監査が”コード化”される世界をつくる、ソフトウェアエンジニアの募集を始めました。

はじめに

 

こんにちは、Policy as Code の取り組みを実現するセキュリティプラットフォーム、Shisho Cloudのプロダクトマネージャーの小島です。先日、Shisho Cloudの3つのソフトウェアエンジニアのポジションの募集を開始しました!

 

flatt.tech

今回の募集開始に際し、よりポジションに興味をもっていただけるよう、この記事ではFlatt Security のプロダクト組織のやポジションの紹介をしたいと思います。

 

Shisho Cloudについて

 

 

Shisho Cloud は、GitHub 等の開発で利用するプラットフォームを連携するだけで、それらのセキュリティ監査を、カスタマイズ可能な監査項目に基づいて継続的かつ自動的にレビューできるサービスです。今年2022 年 3 月にサービスの情報を公開し、事前登録を開始しました。

Shisho Cloud は従来的なセキュリティサービスとは異なり、ユーザーは様々なデータのセキュリティチェックを、世界でもシェアを広げているポリシー記述言語 Rego やその他の WebAssembly にコンパイル可能な様々なプログラミング言語を用いて記述できるのが特徴です。つまり、Infrastructure as Code (IaC)がインフラストラクチャの構築をコードにより自動化したように、様々な SaaS・インフラストラクチャ・ソフトウェアに関するセキュリティ監査のコードによる自動化を実現するサービスです。

このエンジニアフレンドリーなプロダクトを通してセキュリティに関する不安をエンジニアリングで解決できるものに変化させ、世界中のプロダクト開発を加速させることを目指しています。

 

shisho.dev

 

Flatt Securityのプロダクト組織について

フルタイムの開発メンバーは、取締役および正社員のメンバー合わせて現在3名です。その他、力強いアルバイトのメンバーやプロフェッショナルサービスチームのセールスのメンバーの力も借りて事業を進めています。Flatt Securityではこのプロダクト事業を会社の事業の中心に据えるべく、事業の拡大を目指してます。

また、現在のプロダクト開発はリモート中心で行われています。一方で勤務場所はリモートとオフィスで選択できるため、「オフィスの方が集中できる」というメンバーはオフィス勤務をしていたり、「集中して議論を行いたい」場合はチームでオフィスに集まるなど、その時々によって使い分けています。

 

プロダクト組織の現状の課題

Shisho Cloudは、2022年3月の情報公開以降、ありがたいことにリリース前から引き合いが増えており多くの機能要望もいただいています。そして、今後のShisho CloudではPolicy as Codeの基盤を軸に事業を展開していく構想を描いており、

  • Policy as Codeの基盤を活かし、数多くのSaaS・インフラストラクチャ・ソフトウェアに関するセキュリティ監査を自動化していく必要がある

  • プロダクトのベースとなるPolicy as Codeの基盤をより早く、より信頼性の高いものにする必要がある

といった点がプロダクトとして重要なポイントになっています。これまではアジリティを高く保つために少人数で進めてきましたが、Shisho Cloudで実現したい世界を実現するためには、これらの課題により早くアプローチでき、そして大きなインパクトを与えられるためのメンバーが必要です。

一方で、ただチームの人数を増やすだけでなくチーム1人1人のパフォーマンスを最大化することを強く意識しています。そのため、組織としては全体の開発のスループットを上げるための効率的な DevOps 環境の設計・構築も課題になっています。

 

ポジションの簡単なご紹介

これらの課題に対して、現在Flatt Securityでは以下の3つのポジションでの募集を始めています。要件や詳細はこちらののページからご覧ください!この記事では、各ポジションの役割について簡単な紹介をしたいと思います。

flatt.tech

Software Engineer - Product Engineering

自社開発中の Policy as Code 基盤をもとに Shisho Cloud を拡張し、種々の SaaS・インフラストラクチャ・ソフトウェアに関するセキュリティ監査を自動化していくことをミッションとして担うポジションです。チームの開発者やユーザーと密に連携し、高速かつ健全なプロダクト改善サイクルを回すことで、ユーザーがよりセキュアかつスピーディーに開発できる世界の実現を目指します。

Senior Software Engineer - Policy Platform Engineering

Shisho Cloud のベースとして開発している Policy as Code 基盤を拡張し、より速く、より信頼性の高く、より実用的な基盤へと成長させることを担うポジションです。ユーザーや OSS コミュニティと密な連携を取りながらスピード感を持ったプロダクトの改善に挑戦できます。

Policy as Code 基盤の拡張を通して、あらゆるセキュリティ監査業務のコード化を可能にしていくことで、ユーザーは手動でのセキュリティ監査の代わりにポリシーエンジニアリングに集中していけるようになります。かつて DevOps の思想のもとに成長したプラクティスや技術基盤が、開発運用のあり方を変えたように、この基盤はきっとセキュリティ業務の新たなあり方を創っていくことでしょう。

Software Engineer - Productivity Engineering

Shisho Cloud チームの開発・運用効率を最大限に引き上げる、効率的な DevOps 環境の設計・構築を担うポジションです。ワークフロー効率の改善にこだわることで、チームメンバーやコントリビューターの生産性の最大化を実現していただきます。これはプロダクトのフィードバックループを短縮し、ユーザーに対してより多くの価値提供を可能にしていくために必要不可欠な役割だと私達は考えています。

 

Flatt Securityは、他の環境と「何が」違うか

世の中の「セキュリティ」への向き合い方を変えれる、今しかないチャンスであること

セキュリティに関する不安をエンジニアリングで解決できるものに変化させるということは、世の中のセキュリティに関する向き合い方を変える大きなチャレンジです。それはセキュリティが、今まで人の手による作業であったり、属人的な仕組みによって向き合うことであったからです。

そして、これらを支えるPolicy as Codeといった技術や、プロダクトで向き合っているソフトウェアサプライチェーンセキュリティの課題領域も、世界的にもまだまだ取り組みが始まったばかりです。これらの新たな課題を解ける、最初のチームになれるタイミングは今しかありません。

 

エンジニアのためのプロダクトをエンジニアリングできること

Flatt Securityのプロダクトの主な顧客はエンジニアの方です。つまりFlatt Securityは、エンジニアのためのプロダクトをエンジニアによって開発しているのが大きな特徴です。実際に顧客と対話してサービスをつくるカルチャーが全社的に根付いており、開発メンバーも顧客であるエンジニアの方と実際に対話しながらサービスをつくる機会があります。

 

真に新しい技術にチャレンジし、発信できる環境であること

新しい技術を学んだり、積極的に採用し、外部に発信する文化/環境があります。例えば、認可マイクロサービスとして SpiceDB を挑戦的に採用し、外部発表(Cloud Native Security Days 2022) でその知見を発信しているのは、その一例です。事業や組織の課題だけでなく技術的な課題にも向き合うことができ、それらの解決に新しい技術でチャレンジできる環境があります。

 

技術スタック/使用ツールについて

バックエンド

  • 主に Go と Rust を利用

  • GraphQL と Protocol Buffers を元にしたスキーマ駆動開発

フロントエンド

  • Next.js, Tailwind CSS

インフラストラクチャ

  • GCP/AWS, Kubernetes, Istio, skaffold

CI/CD

  • GitHub Actions, Tekton

開発に関するコラボレーション

  • GitHub

チームでのコミュニケーション

  • Slack

 

よくある質問

フレックスタイム制ですか?

コアタイム 12:00 ~ 17:00のフレックスタイム制です。

すぐに転職を考えているわけではないですが、応募は可能ですか?

可能です。候補者様のご事情に合わせて、入社時期を調整させていただきます。また、「応募するまでではないが、話を聞いてみたい…」という方でも歓迎しておりますので、お気軽にお問い合わせください。

選考フローや選考期間を教えてください

面接回数は2~3回程度で、応募から内定までは2~4週間程度です。候補者様のご事情に合わせて調整させていただきます。

どの職種に応募するか迷っています。複数の職種に応募することはできますか?

その旨をお伝えいただければ、相談に応じて適切なポジションを紹介させていただきます。また、応募事前に職種についての相談を希望される方は、お気軽にお問い合わせください。

 

少しでも興味のある方はお気軽にご連絡ください!

少しでも話を聞いてみたいと思っていただけましたら、ぜひTwitter (@flatt_security)のDMや 以下のMeetyからお気軽にお声がけください!現時点での転職は考えていなくても、まったく問題ありません。

 

Twitter (DMにてカジュアル面談の相談や質問などを募集しています)

twitter.com

 

Meety (CTO米内とのカジュアル面談を募集しています)

meety.net

 

この記事だけでは紹介しきれない以下の話などなど。オープンにお伝えできると思いますので、ご連絡をお待ちしています!

  • Shisho Cloud、Policy as Codeのプラットフォームについて

    • Shisho Cloudのプロダクトの具体的なイメージ

    • Policy as Codeプラットフォームの構想や、実現したいポリシーエンジニアリングのイメージ

    • 今後のビジネスの展望や、競合となるプロダクトに対する勝ち筋

  • 技術的なチャレンジについて

    • OpenSSF を始めとしたオープンソースコミュニティとの関わり、エンタープライズでの利用に耐えられる認証・認可基盤の構築、内部の開発者体験を保つための種々のツール開発、WebAssembly や OCI の各種標準の活用、Kubernetes や Bazel との格闘…などのエピソード

 

ここまでお読みいただき、ありがとうございました。