Flatt Security Blog

株式会社Flatt Securityの公式ブログです。情報漏洩等につながる脆弱性がないか調査する「セキュリティ診断」とWeb開発者向けセキュアコーディングのeラーニング「KENRO」を提供しています。」

株式会社Flatt Securityの公式ブログです。
技術的な知見や社内の雰囲気を伝える記事を発信しています。

セキュリティ診断の裏側を教えて!Flatt Securityマネージャー対談

f:id:flattsecurity:20220101171015p:plain

今回のFlatt Security Blogでは、会社やメンバーの雰囲気をお届けします。

お話を聞いたのは、プロフェッショナルサービス事業部で各チームのマネジメントを担当している宮下大祐さん、志賀遼太さん、村上怜さんの3名。

プロフェッショナルサービス事業部は、主にセキュリティ診断を担当する部署です。Webアプリケーションやスマートフォンアプリケーション、スマートフォンゲーム、プラットフォーム、IoTデバイス、AWSやGCPのようなクラウドプラットフォームなどに対して、顧客情報の流出やデータ改ざんなどにつながる脆弱性がないかを診断しています。

今回は、それぞれが担当している業務や今まで歩んできたキャリア、プロフェッショナルサービス事業部で求められる人材などをインタビューしました。プロフェッショナルサービス事業部には、どのような仕事観を持つメンバーが集まっているのでしょうか。

ーー「Flatt Securityが提供するセキュリティサービスに対するこだわり」をテーマに、プロフェッショナルサービスのマネジメントを務める3名にお話を伺います。

村上怜さん(以下、村上さん):改めてこういう話をするのは恥ずかしいですね。何から話したらいいんだろう。

志賀遼太さん(以下、志賀さん):オンライン飲み会で温まってきてから話題に出るテーマですよね。

宮下大祐さん(以下、宮下さん):お酒ないとなかなか話せない。後半になるにつれて盛り上がると思います(笑)。

1年目、2年目、3年目の3名のセキュリティエンジニア

f:id:flattsecurity:20211123172257p:plain
右上:村上怜さん、右下:志賀遼太さん、左下:宮下大祐さん、左上:インタビューを見守る人事の鶴田さん

ーーまずはみなさんの自己紹介をお願いします。では入社順で、宮下さんから!

宮下さん:今までは事業会社でセキュリティ診断を担当していました。Flatt Securityには2019年9月に入社し、2年が経ちました。事業部長としてプロフェッショナルサービス事業部を運営しており、私自身が診断業務を担当することもあります。

基本的にセキュリティ診断すべての案件をハンドリングしているので、診断に関わっているメンバー全員とコミュニケーションをとっています。

志賀さん:私はコロナ禍の2020年4月にフルリモートで入社しました。細かいプロフィールは1年前にインタビューを受けた「『チャレンジングな環境に身を置きたかった』大手IT企業からFlatt Securityへ転職した理由/セキュリティエンジニア 志賀遼太」に書いてあるのですが、現在の肩書きはマネージャーにアップデートしています。

業務としては入社時から変わらず、セキュリティ診断の上流から下流までなんでもやります。

村上さん:私の場合は業務委託のフリーランスエンジニアとして携わったのち、2021年1月に正社員としてジョインしました。キャリアとしては、新卒でIT起業の社内サービス・アプリのセキュリティ診断やインシデントレスポンス活動など、サイバーセキュリティ分野でさまざまな業務を担当しました。その後、ベンチャー企業を経てフリーランスになり、現職に至ります。

ーーありがとうございます!ではさっそく本題へ。すでに多くの会社がセキュリティ診断サービスを提供しているなかで、Flatt Securityではどのようなこだわりや想いでサービスを提供しているのでしょうか。

村上さん:大前提として、「脆弱性を指摘して終わり」ではなく「クライアントにとって本質的にいい影響を与える診断を提供したい」と思っています。

宮下さん:そうですね。事業部全体としてそのような共通認識を持っています。例えばクライアントとSlackで密にコミュニケーションをとったり、診断に入る前から打ち合わせにセキュリティエンジニアも同席したりするなど、ただ決められたパッケージを提供するのではなく、コミュニケーションを通じて最適な診断を提供するようにしています。

事業会社出身のセキュリティエンジニアが多いメリット

f:id:flattsecurity:20211123172401p:plain
村上怜さん

ーーどのような点に強みがあるのでしょうか。

村上さん:事業会社のサイバーセキュリティ部門は、特定のサービスを診断するだけでなく、会社全体の最適化も意識します。設計段階からセキュリティリスクに対して意見することがあるなど、幅広い視野でセキュリティに携わっていた経験は、クライアントに寄り添ったセキュリティ診断につながっているのではないでしょうか。

ーーFlatt Securityならではの特徴として、先ほど宮下さんが言った「診断に入る前から打ち合わせにセキュリティエンジニアも同席する」という点も挙げられますよね。

村上さん:打ち合わせ段階で営業担当者だけでなく、セキュリティエンジニアが同席するというのはあまり聞かないですよね。

宮下さん:これは、私と同時期に入社した営業の齋藤さんからの発案です。

齋藤さんは今でこそ営業部長として会社の売り上げをけん引していますが、入社当初はセキュリティについてあまり詳しくありませんでした。そのため「私だけでなく、セキュリティエンジニアが初期段階から同席してヒアリングしたほうが最適な診断できるのでは」と提案されました。

はじめの方は私だけが同席していましたが、案件が増えたりセキュリティエンジニアが増えたりするうちに、持ち回りで同席するようになりました。その結果、「初期段階からセキュリティエンジニアが同席する」という文化が根付きました。

村上さん:セキュリティエンジニアが早い段階から情報を把握し、クライアントと相談しながら診断を進めたほうが認識の食い違いは発生しないですよね。

志賀さん:正直、Flatt Securityに依頼した背景や抱えている課題などを気にせず、営業から頼まれた診断範囲に沿って対応するほうが、現場としては楽ではあります。

しかし、セキュリティエンジニアも同席の上でしっかりヒアリングしたほうが、クライアントに寄り添った診断をすることができます。このような方針で運営できているのは、Flatt Securityが掲げている「セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する」というミッションが会社に根付いていて、共通認識を持つメンバーが集まっているからだと思います。(※)

※編集注:クライアントに寄り添ったコミュニケーションは、導入企業様にもご評価いただいています。

flatt.tech

診断管理プラットフォームを自社開発し、診断のクオリティが上がった

f:id:flattsecurity:20211123172140p:plain
宮下大祐さん

ーーFlatt Securityではセキュリティ診断をする際、自社開発した診断管理プラットフォーム「ORCAs(オルカス)」を利用しています。今や診断に欠かせないツールとなっています。なぜ「ORCAs」が生まれたのか、また、どのように利用されているのかを改めて教えていただけますか。

宮下さん:「ORCAs」は診断に関する情報と業務フローを管理し、診断をサポートするプラットフォームです。私の発案で2020年5月より、開発をスタートさせました。目的はセキュリティ診断の品質の安定化と診断作業の効率化です。

新しく人を採用して多くの診断をこなそうとすると、いかに効率よく診断ができるかと診断の品質を安定させるかが大きな課題になります。「ORCAs」を用いることで全員が標準化された診断フローで診断を行うことができるので効率化と品質の安定化を達成しています。まだ小さい組織ですが、短い期間で案件も人も多く増えることが想定されたため、早い段階から開発・運用に乗り出すことにしました。

ーー「ORCAs」ができる前はどのような体制だったのでしょうか。

志賀さん:例えば報告書は、基本的にGoogle Documentで作っていましたが、体裁を整えるのにかなり時間を取られていました。現在は「ORCAs」に入力した情報をもとにデザインが統一されたPDFが自動で出力されるようになっています。

ーー「ORCAs」を導入し、どのような変化が生まれましたか。

宮下さん:エンジニアが診断に集中できるようになりました。「ORCAs」にアクセスすれば自分の担当がわかり、脆弱性の報告やレビューも全てORCAs上で行うことができるため診断に集中することができます。

f:id:flattsecurity:20220101171438p:plain
「ORCAs」無しでは生きていけない体になってしまった志賀さん

志賀さん:現在のセキュリティ診断は「ORCAs」で成り立っていると言っても過言ではありません。

ただ、こういった管理業務は最悪手作業でできてしまうため、管理システムの開発・運用は後回しになりがちになることが多いんです。スタートアップ企業ながら、宮下さんの「現状では優先度は低いけれど、中長期的に考えて優先度が高いから早い段階で開発をしたほうがいい」という考えを採用し、「ORCAs」の開発に着手したのはすごいと思います。

求めているのは「スタートアップのスペシャリスト」

f:id:flattsecurity:20211123172435p:plain
志賀遼太さん

ーースタートアップ企業で働くおもしろさには、ほかにどのようなところがありますか。

村上さん:まだ未熟だけれど、成熟していないからこそ変化できるところですかね。ルールが固定化されていないから、自分たちで柔軟に変えることができます。

宮下さん:勉強会や講習会も、ルール化していないけれど自然と定期的に開催されていますね。「勉強会をやりませんか?」とSlackで投げかけると、みなさん手を挙げてくれて、3~4回先まで一気に埋まります。

f:id:flattsecurity:20220101171724p:plain

ーーありがとうございます!最後に、この記事を読んでFlatt Securityに興味を持っていただいた方もいるかと思います。どのような人と一緒に働きたいかを教えてください。

村上さん:スタートアップ企業ということもあり、まだまだ課題だらけです。というか、何が課題かも見えていないところがあります。だからこそ積極的に課題を探して、見つけ出して、言語化してくれる人だとうれしいですね。

志賀さん:「ひとつ得意なものがある」よりも「自分の守備範囲外の診断でも調べたり勉強したりして、幅広く対応できる」ような人がいるといいなと思います。得意分野があることを否定しているわけではなく、さまざまな案件があるので「得意分野以外もできます」と言ってくれたほうが、仕事はやりやすいです。

とはいえ、いわゆる「ジェネラリスト」ともイメージが違う気がするんですよね。

村上さん:ジェネラリストって響きはいいけれど、なんでも屋さんというか雑用もしなきゃいけない感じがして、私もやりたくない(笑)。

宮下さん:私たちは良くも悪くも、スタートアップ企業です。ジェネラリストというよりは、スタートアップ企業で働いた経験を活かして、事業の課題に取り組むことができる「スタートアップのスペシャリスト」のような人が今のFlatt Securityには合っているのかもしれません。

また、ひとりではなく、チームで行動し考えられるマインドの人も求めています。「自分が自分が!」というよりも、ほかの人もできるような仕組みを考えたり提案をしたりしてくれたほうが、チーム全体の士気が上がり、絶対に外せない「診断の品質」も向上させることができるのではと思います。

志賀さん:「絶対に外せないもの=診断の品質」と言い切れるところいいですよね。この考え方がまさにプロフェッショナルサービス事業部の思想を表していますよね。

村上さん:やっぱり後半になるにつれて話は尽きないですね(笑)

ーーありがとうございました!

終わりに

Flatt Securityは共に働くメンバーを募集しています! ご興味のある方は、弊社HPの採用情報ページからお気軽にお問い合わせください。