サイバーディフェンス研究所では共にサイバーセキュリティの未来を切り拓いていく仲間を募集しています。セキュリティ業界の最先端で活躍する弊社エンジニアの生の声をお届けするインタビュー企画第3弾はサイバーディフェンス研究所を古くから知る、坂井さんにお話をお伺いしました。
坂井さん、こんにちは。本日はよろしくお願いいたします。簡単に自己紹介をお願いします。
よろしくお願いします。サイバーディフェンス研究所(以下CDI)が提供しているサービスの1つであるネットワークペネトレーションテストを主に担っているチーム(グループ)のリードをしてます。CDIは 2008年に法人化されたんですが、私はそれ以前の2005年の秋から参加させてもらっています。当時と今とでは業界の規模や環境もだいぶ変わっているので(この記事が)新卒の方にはあまり参考にはならないかもしれないんじゃないか、と心配になる程度には古株です(笑)
もう20年近くも勤務されているんですね。その頃のサイバーディフェンスはどんな会社だったんですか?
法人化前の当時のCDIはセキュリティ診断サービスと脅威情報提供サービスを営んでいたんですが、私の最初の業務は脅威情報提供サービスでした。
今思い返せばですが、当時のCDIは法人化するために脅威情報提供サービスの人材をセキュリティ診断サービスに振り向けようとする戦略をとっていて、脅威情報提供サービスの業務を行う代わりの人が必要だったのだと思います。
そこで坂井さんにお声がかかったと?
きっとそうした狙いがあったんだなと思います。参加時はそんなことは全く分かっていませんでしたが。
前職からセキュリティ関係のお仕事をされていたんですか?
いえ、参加前は全く別の業界にいて、コンピューターやプログラミングに関しては趣味で関心がある程度で、情報セキュリティ業界の事もほとんど知りませんでしたが、友人の話を聞いて面白そうだと思いました。業務に必要となる語学力を認めてもらって嬉しかったですし、報酬も幾分か上がることが決め手になって転職を決断しました。
当時は将来がどうとかあまり深く考えておらず、楽しみしかなかったです。若かったですね(遠い目)。
転職されてから最初は脅威情報提供サービスのお仕事からスタートされたとのことですが、何をきっかけにして診断のお仕事にキャリアを変更されたんでしょうか?
セキュリティ診断サービスを志向したきっかけは、当時のサイバーディフェンス内でセキュリティ診断サービスを担っていた方々への憧れですね。当時の私に比べると技術的な知見・経験が豊富であったことは当然ですが、なにより診断という名の調査を自らの手で行い、問題となる事実を発見し、その再現性を確認できる情報をまとめてお客さんに報告するという仕事、そしてお客さんから対価をいただいている以上お客さんの方を向いて真摯に行う、という姿勢がかっこよかったんですよね。それに楽しそうでもありました。
セキュリティ診断をやってみたい、と希望し始めてからはペネトレーションテストやプログラミングに関する本を何冊も買って学習したり、なぜかRFCを読み込んだりして自分なりに必死でした。そうした行動や組織内のリソースの振り分けの変化の結果、希望を認めていただいたのは本当に幸運でしたね。
では、これまでの業務の中で楽しかった仕事やプロジェクトの裏話があったら教えてください。
楽しかった仕事やプロジェクトは沢山ありますよ。でも私はペネトレーションテストやプログラミングをするのが好きなので、今はほぼ全ての案件が楽しい仕事やプロジェクトと言って差し支えないです。
その中で最もキラキラした思い出という点で選ぶなら、やっぱり最初にペネトレーションテストをした時のことですかね。今日でいうところのOJTとして、お客さんのシステム(ウェブアプリケーション)のテストに初めて参加しました。当時はまだSNSが爆発的に広がる前で、インターネットの世界も今日と比べるとまだ無邪気な時代だったと思いますが、先輩の作業を見様見真似でやったり本で学んだ知識をフル稼働させて自分なりに試行錯誤を繰り返した結果、別のユーザーになりすますことができる脆弱性を発見できたんです。周りの先輩・同僚も喜んでくれるし、お客さんのためになるし、結果自分も嬉しい気持ちになる。なんていい仕事なんだ!と感じたのを強く覚えています。
なるほど、モチベーションを高く持って仕事に臨めていると?
そうですね。あとネットワークペネトレーションテストに参加させてもらうことで、普通に生活していたらたぶん行くことはないであろう場所を訪問出来たり、システムを目にすることができたりすることも多く、貴重な経験をさせてもらっているなぁと感じています。
ありがとうございます。長くCDIに在籍していらっしゃいますが働きやすい会社という印象をお持ちでしょうか?
そうですね、まず残業時間は少ないほうだと思いますし、休日や深夜の勤務を前提としたスケジューリングやアサインはしないように気を付けています。テレワークやファミリーフレンドリー休暇といった制度もありますし、中年男性・家庭持ちという属性からみてとてもありがたく、働きやすいです。
たしかに役職付きの方も積極的にお子様の行事やお迎えなどの用事を優先されてますよね。
はい。厚労省の調査ではR4年度の常用労働者の離職率が11.9%と公表されていますが、CDIはそれを常に下回ってます。
あといろんなキャリア、バックグラウンドを持つ人がいて得意分野を極めている人も多いですし、通常業務用の機材や環境がわりと自由に選べたり、希望者には外部のオンライン教育サービス受講用のアカウントが提供されたりするのも技術者にとっては嬉しい制度ですね。
ざっくりとした1日の仕事のスケジュールを教えてください。
テレワークの日の場合ですと仕事をしている時間は9時から19時くらいで、オフィスに赴いてお仕事する時は9時半くらいにはデスクに着くようにしていますね。ペネトレーションテストの案件がある場合は10時から18時が標準的なテストの時間です。
昼食や小休憩等は適宜とっています。お仕事が終わったら家庭のことをしたり、子どもと遊んだり、本を読んだり、野球を見たり、動画を見たり。普通の生活をしていますよ。
では、新卒の方が坂井さん率いるネットワークペネトレーションテストのチームに配属された場合はどのような仕事を任されるんでしょうか?
まず新人の受け入れにあたっては、机上の業務説明とトレーニング環境での実践的な研修の両方を実施した後に技術トラックのアソシエイトとして業務をしてもらいます。ある程度の研修期間を経た後、先輩メンバーの監督の下でOJTとして実際のプロジェクトに参加して経験を積みながら学習を深めてもらいます。技術トラックの中でもいくつかのキャリアパスがありますが、まずは基本となる業務においてひとり立ちすることが当面の目標になります。
坂井さんのチーム、および坂井さん自身が業務を行ううえで大切にされていることを教えてください。
チームとしてはこれまでと同様にこれからもという意味合いになりますが、日本それから海外でもより高品質で競争力のあるサービスを提供することを目的に、チームの皆さんと協力しながらやるべきことを一つ一つやる、という感じですね。
個人的にはいくつかあるんですが、まずは「目的・目標」を意識することや時間は無限ではないのでやることの優先度を正しく判断すること、そして自分の言動や仕事は多かれ少なかれ他人に影響を与えるという意識をもちながら、チームワークや対人関係を意識するようにしています。また、自発的に行動することやこうした方がいいと思うけどどうしようかな、という時は自分の考えが間違っていないか自分なりに調べたり整理した上で、間違ってなさそうなら、たとえどうしようか迷っても伝える努力をするようにしています。ただし、このときもチームワークや対人関係は常に意識するようにしています。
またオンオフ問わず自分はもちろん、チーム全員が心身の健康を保つことが大事で、そのための環境作りやリラックスする時間も大事だと思います。私の場合は入浴中や散歩中にリラックスしていますが、そういう時間はふと閃きがふってくることが多い気がします。
新卒の方にサイバーディフェンスはおすすめできる会社でしょうか?
私は古くから在籍しているせいか、個人的にはCDIはまだ創業間もないベンチャー企業的な組織だという先入観もあるんですが、IT系のベンチャーと聞いてイメージされるような、いわゆるイケイケ・キラキラな雰囲気は感じないですね。比較的静かな方だと思います。一方で、案件で成果が出ると社員みんなで結構盛り上がる傾向があります。体育会系のノリは少ないけれどインドア志向ばかりかというとそうではなく、スポーツやアウトドア活動の有志サークルみたいのもあり、面白い会社だと思いますよ。
では最後に、当社を志望するかどうか迷っている方にメッセージをお願いします。
コンピュータセキュリティ業界で就職する希望があり、当社を志望しようかどうか迷っている方は、志望するだけなら損はないのでトライしてみたらいいと思います。採用選考プロセスとは別にカジュアル面談にエントリーしていただき、当社のエンジニアと直接話し質問したりすることもできますので、そうした場で得た情報や印象を踏まえて判断するのでもいいと思います。
当社は大企業ではなく、人材採用を一括で行う人事部のようなものはありません。それぞれのサービスや機能を担っているチームがそれぞれ人材を募り選考に当たります。ですので、まるっと採用してその後で配属先が言い渡されるいわゆる配属ガチャはありません。ありませんが、入社志望の方が希望する職種や業務がはっきりしなかったり、希望はしたけど向いていなかったという場合はミスマッチが起こり、お互いにアンハッピーな状況に陥るリスクはあります。
ですので当社に応募される場合は、内面にあるご自身の志向、希望、特性をしっかりと整理し表現された方がいいと思います。もちろん選考プロセスでミスマッチがないよう、当社も求めている職種、業務内容及び求める人物像を明確に提示する努力が必要になりますが。また、内面にあるご自身の志向や希望を裏付ける何らかの行動の結果があった方がプラスであることは言うまでもありません。
本日は貴重なお話をきかせていただき、ありがとうございました。
ありがとうございました。
| 坂井祐介 株式会社サイバーディフェンス研究所で、ネットワークペネトレーションテストを主に担っているRed Teamグループのグループ長として勤務。サイバーディフェンス内では2番目の古株でサイバーディフェンスの歴史を知る人物。 |
|---|
サイバーディフェンス研究所は、新卒、第二新卒、中途の採用を常時行っています。 応募、カジュアル面談の申し込み、採用や選考に関する質問や相談は、弊社ウェブサイトのお問い合わせフォームやXのDMなどでお気軽にどうぞ!
