サイバーディフェンス研究所では共にサイバーセキュリティの未来を切り拓いていく仲間を募集しています。セキュリティ業界の最先端で活躍する弊社エンジニアの生の声をお届けするインタビュー企画第4弾は、Webアプリケーション診断チームに所属する桜井さんにお話をお伺いしました。
桜井さん、本日はよろしくお願いいたします。最初に簡単に自己紹介をお願いします。
よろしくお願いいたします。サイバーディフェンスには2023年度に入社しまして、現在はWebアプリケーションとモバイルアプリケーションの診断業務に携わっています。
入社してもう2年目になるんですね。入社のきっかけについて教えて欲しいのですが、学生時代はどのようなことを勉強されていたんですか?
高校を卒業した時点では将来のことを特に考えてなくて、これからどうしようかなと思っていた時に漠然とIT関係のエンジニアなら食いっぱぐれないかも!と思ってIT関係の専門学校に通い始めたんです。でも一口にエンジニアと言っても色々ありますよね。自分がどの道に進みたいか迷っていたんですが、ホワイトハッカーという単語がカッコいいなという思いがあったのでセキュリティエンジニアを目指すことにしました。
そして2年生の時にインターンシップでセキュリティの会社に入ってWebアプリの診断をさせてもらったんですが、そこはBurpSuiteを使った自動診断をしていたんですね。脆弱性を大して理解できていない状態でスキャンツールを使った自動診断をやってるだけでは何も成長しないと思ったので、TryHackMeやPortSwiggerのWeb Security Academyをやったりしてセキュリティエンジニアの実務に必要そうなことを自分で勉強していました。
インターンでセキュリティの業務をしながら別途勉強されていたと?
そうですね。当時は出社する必要があったので、会社から帰ってきては夜中の2時、3時ぐらいまで勉強するって生活をしていました。
すごいですね。なぜそこまでセキュリティの技術を身につけることに貪欲になれたんでしょうか?
うーん、なんでしょう(笑)。でもやっぱりできなかったことができるようになったりして、純粋に「楽しい」って思いがあったからだと思いますね。
インターン先ではなくサイバーディフェンスに入社しようと思ったのはなぜでしょう?
仕事として何年もやっていくなら技術力の高い会社で働きたいと思ったんです。そんな折にサイバーディフェンスのことを知りました。
ホームページ内のメンバー紹介の内容がふざけている感じなのに技術レベルが高そうなのがすごく伝わってきて、いいなぁと思って応募しましたね。
なるほど(笑)そういったふざけた部分もサイバーディフェンスの色だと思ってますが、実際入社してみてどうでした?
魅力がたくさんある会社だと思います。まず所属するエンジニアのレベルがめちゃくちゃ高いです。オールマイティーになんでもできる人もいますが、ある分野に特化して強い人がたくさん居るイメージがありますね。実は入社当時の社長から「ジェネラリストになるより、スペシャリストを目指してほしい」と言われたのですが、いざ入社して一緒に働いてみて「なるほどこういうことか」と思った記憶があります。
さっきお話ししたメンバー紹介ページに載ってない人だったり積極的に世の中に名前を出していない人の中にもめちゃくちゃすごい人がたくさんいるので、そこは働いていて刺激になりますし面白いなと思いますね。
ちなみによくお話しされるエンジニアはどなたですか?
バイナリ解析グループの松隈さんとはよくお話しさせてもらうんですが、いつも凄いなって思います(笑)グループの垣根を超えてこういった強い人とすぐにお話しできる環境っていうのも魅力の一つじゃないでしょうか。新卒で入社すると話しかけづらいとかあるかもしれないですけど、優しく対応してくださるので、是非話しかけてみてください。
また、資格取得のためのお金の補助があったりとか、奨学金補助制度や家賃補助といった一通りの福利厚生はもちろん、CTF界隈で有名な方が社内で技術発表をしてくれるのを無料で聞ける機会なんかもありますし、業務としてCTFに参加できたり、会社のお金で海外のカンファレンスに参加できるなんていうのもサイバーディフェンスならではの魅力なんじゃないかなと思います。
ありがとうございます。労働環境についての印象も教えていただけますか?
働きやすい環境だと思いますよ。勤務時間中に出社とリモートを混在させる場合は通勤時間も勤務時間として扱われますし、リモートと出社のハイブリットで仕事の両立ができるところもいいですね。新卒でもリモートで働けるので、同期の方もある一定の期間からあまり社内で見かけなくなりました。
あと有給も取得しやすいですし、特に、会社の雰囲気が良いですね。先輩方が優しすぎて、雰囲気わるいな、と感じたことはないです。 入社したての頃、敬語マシマシで話しかけていたら先輩に「そこまで堅くなくていいですよ」と言っていただいて、逆に困りました(笑)。上下関係がないんじゃないか?と疑問に思うくらいです。
では最近取り組んだ業務の中で印象に残っているものがあれば教えてください。
とある案件で、ある挙動に対して「こうしたらどうだろう」と自分なりに考えて試してみて、ディレクトリトラバーサルを見つけたときは楽しくて脳汁が出た気がします。あとは、モバイルアプリの診断をやりたいと言った時に、先輩から「このアプリケーションがSSL Pinningしているからバイパスしてみて」という課題をいただいたんですが、それが達成できたときも楽しかったです。基本的には能力不足を感じるお仕事はやる気が出ますし、「今はできないかも」と思っていたことができたときの達成感が楽しいですね。
なるほど、真面目ですね(笑)
そうですね(笑)ここの社員は変わった人が多いですが実はみんな真面目で、やるときはちゃんとやる人達です(笑)
一日のスケジュールはどんな感じですか?
これは診断が入っているか否かでかなり変わります。診断がある日は9:00 - 18:00 (10:00 ~ 18:00が診断の業務)のような感じで働いています。僕の所属するグループでは、診断がある際は、客先に都度診断開始の連絡をする必要があるので、特段の用事がなければ9:30には業務を開始している必要があります。
一方で診断がない日なんかは、11時から14時のコアタイムはしっかり働きながら、自由に調べものをしたりして学びの時間にしてますね。
新卒でチームに参加したときは、最初にどんな仕事を任されましたか?
僕の所属しているチームでは、IEの脆弱性、ソフトウェアの脆弱性の発見報告実績がある先輩社員がOJTの担当としてついてくれたので、その先輩と一緒にWebアプリケーション診断をやりました。
OJT期間はどれくらいでしたか?
人によるのかもしれませんが、僕の場合は一年間まるっとついていただきました。
優秀なセキュリティエンジニアの仕事や技術をつぶさに見られるということですね。
そうですね。先輩社員の技術や着眼点を盗むことができる重要な期間ですね。
研修制度はどうですか?
親会社と合同で受けるビジネスマナー研修に加えて、所属しているグループでは、Burp Suiteというローカルプロキシツールの使い方をすこし教える会などもありました。ですが、技術的な研修制度はあまり存在しないです。先ほど挙げたOJT期間はありますが、「自分で学んでね」というスタイルなので、手取り足取り教えてほしい人は注意が必要かもしれません。
もちろん、自分で学んでいる過程でわからないところは質問すれば教えてもらえますし、行き詰った時など「何をしたらいい?」というような抽象的な質問でも聞けば教えてもらえると思います。
今後やってみたい仕事はありますか?
今やっているモバイルアプリやWebアプリケーションに対する診断を中心にこれからも業務に取り組んでいきたいのに加えて、ペネトレーションテストの知識がもう少し欲しいと思ってます。
以前脆弱性を発見した際に、どこを掘り下げればもっと悪用できるのか、これを起点として別の攻撃に発展させることができるか、といったことが全くわからなかったんです。その時にWebアプリケーション診断の知識だけじゃなくて、ペネトレーションテストに関する知識もあればもっと攻撃者の思考に近づけるんじゃないかなと思いました。
それは脆弱性のその先にある本当のリスクを想定する能力ということでしょうか。
そうですね。脆弱性診断において、脆弱性を見つけることはもちろん重要だと思いますが実は見つけて終わりではありません。家に帰るまでが遠足のように、診断した結果をお客様にお渡しするまでが脆弱性診断です。
つまり最終的な成果物は報告書になるわけで、仕事として評価されるためにはその内容が重要なのかなと思います。診断しているシステムが何故作られ、何をやるシステムなのか、発見した脆弱性で何が出来て、その結果としてのリスクを見つけられるようにならないと良い内容が提出できないと思っています。
これらは昨年気付かされたことで、現状自身に足りていない能力です。
ペネトレーションテストを経験したい理由ですが、例えば先程挙げたディレクトリトラバーサルで考えると、脆弱性診断では権限の許す範囲で任意のファイルが読み取れる事実から考えられる脅威を報告する事がほとんどだと思います。一方ペネトレーションテストではその事実を使い内部侵入が出来ないかといった悪用を試すはずです。
そこで、ペンテスターの知識・視点を持つことで脆弱性をどう悪用すると更に攻撃に繋げられ、その結果何が起こり得るのかというような、脆弱性単体としてのリスクだけではなく、その先にあるリスクの引き出しを増やせるのではないかと思いました。
22歳とは思えないしっかりした考え方ですね。
(笑)先輩方とたくさんコミュニケーションをとるうちに、すごい人たちはこんなことを考えているんだ、と思うようになりこのような考え方に至りました。
では最後に、これから入社する方へのアドバイスをお願いします。
先輩方に話を聞く限り、昔よりは脆弱性の勉強はしやすいと思ってます。例えば、Web Security Academyや、「やられサイト」と呼ばれる意図的に脆弱性が埋め込まれたアプリケーションなどですね。これらで取り上げられる脆弱性は実際に診断を行っている際よく見かけますので、こういったものを活用して遊んでおくと良いと思います。
これは僕の課題でもありますが脆弱性を学ぶ際、なぜ発生するのか、その脆弱性で何ができるのか、発生した結果どういう被害・影響があるのか、どう防ぐのかといったことを意識して学ぶと更に良いと思います。先程もお伝えしたとおり我々の仕事は診断をするだけで終わりではなく、「診断をした結果〇〇がありました、結果△△ができてしまいました。考えられる影響は□□で、対策するために✕✕を行うことを推奨します。」のように、しっかりとお客様に伝える必要があるので、入社する前にやっておくとちょっと楽ができるかなと思います。
あとはお友達作りの大切さについては川上くんのインタビューの記事でいいことが書いてあったので、ぜひ読んでほしいですね。
最後に「新卒」という肩書きを使うっていうのも大事ですね。注意もアドバイスもいろんな人からもらえます。「一年目だから適当でいいや~」はダメですが新卒は強力なので、ぜひ活用してください。
本日は長時間のインタビューありがとうございました。
ありがとうございました。
桜井 遼 2023年、新卒枠でサイバーディフェンスへ入社。ウェブアプリケーション診断やモバイルアプリケーション診断に従事。 |
---|
サイバーディフェンス研究所は、新卒、第二新卒、中途の採用を常時行っています。 応募、カジュアル面談の申し込み、採用や選考に関する質問や相談は、弊社ウェブサイトのお問い合わせフォームやXのDMなどでお気軽にどうぞ!