その他

社員の目線から見るサイバーディフェンス:新卒者向けインタビュー特集 02 手島裕太

Keishi Tsuboi

サイバーディフェンス研究所では共にサイバーセキュリティの未来を切り拓いていく仲間を募集しています。セキュリティ業界の最先端で活躍する弊社エンジニアの生の声をお届けするインタビュー企画第2弾はハードウェア診断に従事する手島さんにお話を伺いました。

こんにちは、本日はよろしくお願いいたします。

よろしくお願いします。

手島さんの入社のきっかけを教えていただけますか?

私は前職で組込機器のテストを行っていたんですが、想定外のフレームや仕様違反のデータを作ってバグを出すのが好きだったんです。そこを退職してしばらくフラフラしていたんですけど、ある時に転職エージェントさんからサイバーディフェンス研究所を紹介されたのがきっかけですね。

もはやそれは診断ですね(笑)

ですね(笑)そういうのが好きならこんな会社どうですか?って紹介されました。

入社した直後は配線を間違えたことでIC(集積回路)を爆発させてしまい、オフィスを焦げ臭くしてしまったこともあります・・・。危ないので本当はやりたくないですが、反省と教訓を得ることができるので、ICを焼いた数だけスキルが上がるとポジティブに考えるようにしています。

それからなんだかんだウマがあって気づけばサイバーディフェンスでもう8年以上働いてますね。

そんな8年間の中で楽しかった仕事やプロジェクトの裏話なんかあったら教えてください。

プライベートで実際にお世話になっている機器やWebサービスのような、私生活で身近に関わるものが診断対象だとすごく燃えますね。お客様は自社サービスがセキュアになり、私もプライベートで安心して利用でき、更に仕事として対価もいただける。まさにWin-Win-Winな状態で「よーし、脆弱性をしっかり見つけるぞ!」という気分になりますし、検出した脆弱性が修正されるとうれしい気持ちになりますね。

普段の業務の中でのこだわりや意識していることはありますか?

そうですね、まずは仕事相手のことを考えて行動することですかね。例えば会社での経費精算時を例にすると、私は提出するレシートに「これがワークフローのXX番に記載したICです」といったメモを書きます。経理担当の方はICに詳しくないため、申請されたものが何番で何に用いる物なのか分からず混乱してしまいますが、メモをしておけば経理担当の方の作業コストが低くなります。このように受け取った相手が仕事しやすくする配慮は、社内、対顧客を問わずにお互いの仕事を円滑にしますので、大切にしています。 また、顧客や取引相手がどのような世界でお仕事をしているのか、新しいお客様と会うたびに業界の動向、法制度や機械の構造を学ぶようにしておくと世の中の解像度が上がって仕事が楽しくなりますね。

あとは知見を共有することですね。種類によって社内システム、社内SNS、ローカル、対外発表と場所やフォーマットは変わりますが、知見を得られたら記録してチームへ共有するようにしています。会社は私一人ではなく社員全員で動いていますので、メモを残すこの1分が、将来の私と他のメンバーの調べものの時間を削減することに繋がりますから。また、自分から情報を発信していると、何故か向こうからも情報がやってきます。志を同じくする強い味方に巡り会えるかもしれません。

なるほど、常に周りのことを考えて業務に取り組んでらっしゃるんですね。会社の雰囲気や働く環境はどう感じていますか?

働く環境は良いですよ。仕事柄、お客さんから預かったデバイスは持ち出せないので出社は多くなりがちですが、報告書の作成は承認を得た端末を用いて自宅でリモートワークしています。

休暇も取りやすくて、私は昨年付与された有給休暇を20日間全て使用していました。メンバー間で調整は必要ですが5連休とか長期の休暇も取得しやすいので、社内では大型連休を避けて旅行に行く人が多い印象です。私も人混みが苦手なので、旅行は閑散期に行きます。交通機関の運賃も安いですからね。今年は運良く案件の合間があったので、9連休を取得して真冬の北海道へ行ってきました。

仕事とプライベートが両立させやすい環境ということでしょうか?

そうですね。休暇を取りやすいのに加えて土日祝はおやすみです。他にも奨学金の返済をしている学生に対する補助があったり、20代の方限定ですが2年間の家賃補助もあります。これらの制度も利用すると、同年代の中では良いお給料をもらえるはずです。

あと業務に必要なツールや書籍をすごく買いやすい社内制度がいいですね。オタク気質の人って熱意が燃えやすく冷めやすいんで、その熱意が燃えている間にすぐ着手できるようになっていると思います。 「こういう案件で必要になる可能性があるためこのICの特性を調査したい、案件の合間の空き時間を2ヶ月ほしい」というように理由と目的を明確にしてグループに相談すれば、基本的に購入申請を却下されたことはありません。 一度だけ、100万円を超える高額物品を申請する際に稟議書を書きましたが、無事に購入許可がおり、購入してもらうことができました。会社のリソース(お金)を使うという自覚をもちながら、得られたノウハウは独り占めせず、グループや社内に共有する文化があると思います。社内から「すげー!」という反応をもらえるのは楽しいですよ。

リモートワークと出社の両方で仕事されているとのことですが、割合としてはどんな具合ですか?

うーん私の場合はその時の仕事の状況にもよりますね。先月だと出社率75%ですが、今月は20%程度です。

1日の仕事のスケジュールを教えてください。

例えば組込機器のセキュリティ診断の案件中ですと

  • 9時50分: 出社、顧客への作業開始連絡
  • 10時-14時:
    • 顧客から預かった製品に搭載されているマイコンのセキュリティ機能をデータシートで調査
    • 前日、帰宅途中に買った同型マイコンの評価ボード基板2枚の動作確認
    • セキュリティ対策をしていない評価ボード基板の挙動調査
    • セキュリティ対策を行った評価ボード基板の挙動調査
  • 14時: 昼食(コンビニも飲食店も空いてる)
  • 15時-18時:
    • 顧客製品への配線加工
    • 製品基板上の対象マイコンのセキュリティ機能の挙動調査
    • セキュリティ機能が適切に使用されていることを確認
    • 顧客への作業終了連絡
  • 18時-19時30分:
    • 社内システムに作業内容や写真を記録
    • メンバーに翌日ダブルチェックの依頼
    • 退社

案件がない日の場合は

  • 10時50分: 出社
  • 11時: 基板が期待通り動かないので計測機器で調べる
  • 16時: 昼食(夢中になって調べていたら遅くなった)
  • 17時: 原因が判明、会社でしかできない物理層の対応を優先
    • 試作基板の改良
    • 基板の配線の変更
    • 計測機器での再計測
  • 21時59分: 退社(夢中になって遅くなった)

翌日は在宅勤務にして規格書を読んだりサンプルコードを作ったりしました。

出勤や退勤の時間も幅がありますね。

そうですね。フレックス制度なので自分なりの働き方ができることがいいところですね。長く働いた日があれば後日短く勤務する日を作り、月間で調整しています。参考までに2024年4月の残業時間は 10時間44分でした。残業時間は少ない方だと思います。

ありがとうございます。手島さんが今後会社で取り組んでいきたいことについて教えてください。

この2、3年の目標は仕事で用いているツールの内製です。去年の案件で市販のツールを用いていたところ、かゆいところに手が届かない問題がいくつかあったので、基板から全部自前で作ろう!と思い立ちました。オフィスは秋葉原に近く、社内にははんだこてや基板を削り出すCNCがあるので、マイコン等を用いた基板や小物は作りやすいですよ。

また、チームとしては我々にしかできない技術を持つことを意識していますね。私の所属するハードウェアグループはグループメンバー全員がはんだづけの認定を持っているため、ハーフピッチ(0.635mm間隔)でピンが64本とか80本とかいっぱい生えたICのはんだづけなんかは鼻歌を歌いながらできますし、BGA等の表面実装ICも付け外しできる設備が揃っています。脆弱性診断サービスを提供している会社で、ここまでハードウェアに力を入れている会社は少ないと思います。契約上の都合で再委託ができない場合もあり、ハードウェアまで全て自社でできますよと言えることは強みですね。

新卒の社員がチームに参加した場合、どのような仕事を任されますか?

まずは半年〜1年間、Webチームに配属されてWeb診断ができるようになってもらいます。この間に先輩から攻撃者の目線を学んで下さい。ポイント無限増殖やクレジットカード決済をちょろまかしたり、悪いことを試みる先輩の手法はとても参考になりますよ。私が新人の頃にWeb診断で身につけたセッションやトークン管理の考え方は、ハードウェア診断の案件でも役立っています。 並行して、どのグループに所属したいか希望を出し、案件に参加しながらOJTを受けます。私達のグループに所属した際には、ハードウェアやソフトウェアのリバースエンジニアリングをしながら情報セキュリティ上の問題を見つける仕事をしてもらいます。

新卒の社員が当社で成功するためのアドバイスがあればお願いします。

特定の分野、プロトコル、インタフェースに詳しくなり、社内に発信して認知されるように努力してください。社内で一番詳しくなると、優秀な営業さんや先輩たちがどこからか案件を取ってきてくれるので、気づいたら仕事が降ってきて活躍できるようになります。

最後に、サイバーセキュリティの分野を目指したい学生に一言お願いします。

Web開発、ネットワークの構築、OSSへの貢献や組込機器開発など、分野を問わず、作る側の立場での経験を強く勧めます。同じ開発者としてソフトウェア、サーバー、ミドルウェア、ネットワークや組込機器への理解があることは、お客さんへの提案時や脆弱性を見つける嗅覚に対して間違いなくプラスになると思います。

本日はお時間ありがとうございました。

ありがとうございました。

手島裕太

2015年、CDIへ入社。前職では組込機器の開発を、現職では組込機器に対する脆弱性診断やペネトレーションテスト業務に8年間以上従事。CDIで実施した経験のある機器は幅広く、産業用機器、自動車、車載用機器、IoT機器、医療機器、家電製品などに対する脆弱性診断の経験を有する。

サイバーディフェンス研究所は、新卒、第二新卒、中途の採用を常時行っています。 応募、カジュアル面談の申し込み、採用や選考に関する質問や相談は、弊社ウェブサイトのお問い合わせフォームやXのDMなどでお気軽にどうぞ!

サイバーディフェンス研究所|セキュリティ診断(脆弱性診断)・ペネトレーションテスト
サイバーディフェンス研究所の セキュリティ診断(脆弱性診断)・ペネトレーションテストは、高度な技術、 豊富な経験、非凡な攻撃センスを併せ持つ一流のセキュリティエンジニア がお客さまの課題を解決します。Webアプリケーションやネットワークはもちろん、組み込み機器、IoTデバイス、制御システム、ソーシャルゲームなど様々なシステムを対象に、自動化されたツールに依存することなく、ハッ カーの思考にもとづく戦略的なハッキングを行ないます。 ...
www.cyberdefense.jp
© 2016 - 2024 DARK MATTER / Built with Hugo / Theme Stack designed by Jimmy