Ubie株式会社に入社しました
医療系のスタートアップUbieで情報セキュリティを担当している関口です。入社エントリーというものはこれまでの20年近い職業人生で一度も書いたことがないのだが、外部への情報発信を重視する会社に入った、ということで、これまでのキャリアとか入ったきっかけなどを書いてみることにする。
これまでのキャリア
大学を出て社会人になったのが2002年。それから、SIerに合計約7年、ベンダーのプリセールスに約8年程度携わり、ユーザ側に転職したのが2017年。以来、Security AnalystやInfoSec Directorを担当して今に到る。
Ubieは若い社員が多いので、わりとベテランになるかな。
これまで携わってきた分野は多岐に渡るので、普通のInfosecのキャリアとは大きく違うかもしれない。ざっとやってきたこと書くと以下のような感じ。
2002-2006: SIer研究所 (IPv6, DNS, Sendmail, Web pen-test, ISMSポリシコンサル補佐)
2006-2009: ロードバランサー, Deep Packet Inspection, DDoS防御/IPS製品のプリセールス
2009-2010: WAFのプリセールス
2010-2012: LBの会社に戻って, 新たに仮想化系やOpenFlow/SDNに取り組む
2012-2014: 垂直統合基盤(HCI)のアーキテクト
2014-2017: SIerに戻ってセキュリティビジネス立ち上げ (NGFW,WAF,Sandbox,EDR,Splunk,etc)
2017-2019: ユーザ企業1でInfosec Analyst (CISSPはここで取得)
2019-2021: ユーザ企業2でInfosec Director
2021- : Ubieに入るセキュリティ分野に入ったきっかけは、SIerで新人配属を決める際、自分はコード書く気まんまんだったけど、アサインされたところが研究所のNetwork Security部隊だった、というもの。自分は、セキュリティエンジニアになるぞ!と意気込んで取り組んだことは一度もないし、20年前は「こんな皆が金かけないセキュリティなんか辞めてやる」と思っていたくらいなんだが、セキュリティに求められる技術領域の広さと奥深さがどうにも面白くて、結局この分野を続けてきている。最初に私をセキュリティ部隊の配属にしようと考えた人は、とても見る目があったのかもしれない。新人の時のアサインが自分の思っている方向性と違ったとしても、案外他人の方が向き不向きの判断を的確に出来ることもあるので、素直にやり続けることで実は一生の仕事になるケースもあるんだよ、というのは読んでいる人に伝えたい。
ユーザ企業に移ったきっかけ
2017年に、それまでプリセールス中心だったキャリアから大きく変更してユーザ企業に移ったのだけど、そのきっかけになった1つは、2016年に参加したSplunk .confだった。その時製品調査で注目していたスタートアップ(後にVerizonに売ることになる)の創業メンバーと会話したり、会場でいろいろな発表を見るにつけ、技術知見はベンダー側じゃなくて使う側に蓄積していくんだなあ、というのをリアルに実感したのだった。
もう1つのきっかけは、SIerでセキュリティ系の商材を提案していたとき、お客さんから「あんた、実際にセキュリティ運用やったことないだろ」と言われた経験。あれは、すごく悔しかったのだけど、まあ本当のことで、きっと実際に運用している側から見ると、違和感のある提案をしていたのだろう。それまで、プリセールスとして色々なソリューションを提供してきたけど、果たして自分が売ったものはどこまでちゃんと役立ったのか、実際の運用のPain Pointは本当はどんなところにあるのか、売る側にいたのでは本当のところは見えないよな、と。
そんな2つのきっかけから、これはそろそろ自ら前線で戦って、自分の腕が本番環境でどこまで役立つか、本当に必要なもの/役立つものが何か、実戦で見極めないとダメだな、と思ったのが、キャリアを大きく変更するきっかけになった。
最初のユーザ企業では、Splunkをフル活用しつつ、エンドポイントのログ、ネットワークのログ、サーバのログ、IPSや他のセキュリティ機器のログを相関分析しつつ、はてはUEBAやフルパケットキャプチャまで組み合わせて、自分がこれまでの経験で理想としてきたセキュリティアーキテクチャを組み上げて、実環境に適用して自分で運用するところをやった。次の会社では、主に会社のバックエンドとしてのITとInfoSecの立ち上げに注力して、ポリシ整備や各種アセスメントの対応、Google WorkspaceなどSaaSを活用した基盤の管理に、店舗ネットワークの構築・管理、総務的な購買にITヘルプデスクまで、あらゆるIT関連業務を一人情シスでこなすこともやった。
プリセールスやSIからユーザ側に移る、というキャリアは、これはこれでアリだと思うし、迷ってる人がもしいたら是非挑戦してほしい。提案側にいた時は安全側に振って躊躇していたような技術なども、ユーザ側では自ら人柱となって実験・検証できるメリットもある。複数ベンダー組み合わせて、自分の考えた最強セットでインフラを作り込む面白さもユーザならではだと思う。もっとも、それには酷く退屈な総務部的な事務作業とか、マニュアルを読まないで同じ質問を何回もしてくるユーザのヘルプデスク対応とか、前触れもなく訪れるインシデント対応とか、技術だけじゃない仕事がいっぱい待っているんだけど、自分が実装したものがダイレクトに跳ね返ってきて学びも多い。
転職を考えた経緯からUbieを受けるまで
前職は中国系企業で、996のタフカルチャーを時々感じる環境にはあったものの、案外自分の場合は全く問題なく、本社やGlobalのInfoSecと共同して、お互い励まし合いながら頑張っていた。しかし、一人でIT関連業務を完結できるのをいいことに、会社が本来必要なリソースをアサインせずに、本来業務じゃない仕事が次から次に積まれてゆく状態に、だんだん疲労感が蓄積していった。それでも、会社のビジネスの方向性とか、社会的意義であるとか、何かしら魂の共感が会社に対してあれば、いくらでも頑張れたと思うのだけど、COVID-19で元々想定していたビジネスが消失してしまい、入社後に新たに始めた新規ビジネスについても、社会のためになっている感じがなくてどうにも好きになれなかったのだ。できる事(Can)とやらなければいけない事(Must)が仕事の8割以上を占め、自分が本来やりたい事(Will)にリソースを割けず、CanとMustの業務量をどんどん増やされる状況というのは、まあなかなか厳しいものがある。Globalの組織はとても良い会社だったのだけれど。
組織の大幅改変や自身の転籍調整をめぐるごたごたやすれ違いもあって、転職先を探し始めたのが2020年6月頃。それから色々な会社を探した。CISOを勤めるにはまだ経験が足らず、IT監査系に進むとしても大企業におけるAudit経験が足りない。Directorポジションにはいるけど、部下をマネージしているわけじゃないので、これも経験不足。ユーザ側は、事務仕事や調整ごとが多くて、それは本当に自分がやりたいことなのか? ユーザ側のpain pointがわかる今、50代に向けて自分の価値を最大化するには、外資プリセールスに戻る方がいいんじゃないか? 複数のリクルーターや外資系企業との面接を通じて、自分の年齢と50代に向けたキャリアを考えて様々な方向性を模索していたところに、Ubieという会社の情報がリクルーター経由で入ってきた。
医療系のスタートアップで、質問に答えていくと、複数の関連する参考病名や医療機関を案内してくれる受診相談系のアプリや、医師の電子カルテ入力など事務作業の労力を大幅に削減する問診アプリを作っているという。ホームページを見て、大きな社会的意義がありそうなビジネスに惹かれたが、とりわけ日本から世界に挑戦しようとしている点に大きく惹かれた。10年以上外資でずっと働いてきたが、本当は日本から世界に打って出ようとする企業で仕事がしたかったのだ。この会社で働きたいぞ。
そこで、レジュメをリクルータ経由で出してみたんだが、ものの見事に落とされた。クラウド系の経験が足りない、ということらしい。自分のUbieとの関係もここで終わっていたはずだった。
一度落とされてからの逆転劇
Ubie面白そうだけど縁がなかったな、と気持ちを新たにプリセールスのポジションをいくつか受けて3ヶ月。外資大手のプリセールスポジションで選考を勝ち抜けそう、となった頃、UbieからLinked-in経由で直接メッセージが入ってきた。リクルーターから候補者の情報提供する際には、最初はたいてい個人名を伏せて提供されるので、コンタクトしているのが以前落とした人間だという認識は、Ubie側には無かったのかもしれない。あるいは、採用に際して方針転換があったのかもしれない。この辺りの事実関係は私にはわからない。
最初のカジュアル面談は、やるべき事、自分ができる事、自分ができない事など意識を合わせる良い機会となった。それからは、すでに他社での選考が進んでいる状況を考慮してもらって、短期間で選考の面談を複数回スケジュールして、代表面談を経てオファーが出るところまで到達することができた。ここを短期間でクリアできたのは、Ubieを受ける前に面接していた某クラウド企業A社の経験が大きい。自分のキャリアの棚卸しと提供できる価値、弱みなど、5回ものタフな面談で整理することができたのだから、A社には感謝しないと。
しかし、外資のプリセールスポジションも、かなりの高待遇でオファーが出ていたため、家族ある身としてこれはものすごく迷った。Ubieは一回落とされてるのもあるし、46歳という年齢も考えると、今から立ち上げ期の大変そうなスタートアップに行くのはリスキーなんじゃないか。自分がスタートアップのInfoSec立ち上げでやってきたのとほぼ同じことをやるとしたら、事務作業とか部署間の調整事とか監査とか、あまり心踊らない業務量が増えて、結局楽しくない未来が待っているんじゃないだろうか。そんなことを考えて、Ubieは辞退して外資のプリセールスで頑張ろう、という決断をしてUbieの採用担当に連絡したのであった。
Ubieの採用担当は、一度メンバーと会ってから決めて欲しい、とのことで、一度オフィスに行ってメンバーと話をしてから結論を出すことに。これも運命の悪戯か、外資のオファーレターは発行が遅れていて、まだ手元に届いていなかった。その会社は、オファー提示前に質問項目を埋める必要があり、その中に「D社関連企業で勤務した経験があるか?」という項目があった。当然D社では働いたことはないので、全力でNoと答えたのだが、以前勤務していた会社が退職後しばらく経って買収されD社傘下に入っていたため、Yesと答えなければいけなかったらしく、これが原因でプロセスがストップしている、とのこと。
Ubieメンバーと直接会ったところ、面談で会話した人々や初めて会う人々が、自分達のビジネスに対する熱い思いを目をキラキラさせて話してくれる。このキラキラした感じは、Google Meetのビデオ会議では伝わらない。一度落とされているのが念頭にあるので、もっとポジションにフィットする若い人いるんじゃない?という疑問をぶつけるが、なかなかオファーを出したい人に巡り合わないという。ポリシーやコンプライアンス、ガバナンスなどpeople/processの領域と、技術面での深い知見に加え、自ら実装し運用するハンズオン能力を伴ったtechnologyの領域、両方をバランスよく持った候補者というのは、なかなか転職市場に出てこない。自分も最初のユーザ企業で、日本とシンガポール両方でInfoSec担当者探したけど、何十人も面接して全然見つからなかったから、彼らの気持ちがよくわかった。
外資のポジションは、短期でやるべき方向と3年超のスパンでのキャリアとかがかなりはっきり見えていたけれど、Ubieは、正直自分の人生がどう転ぶか想像できなかった。医療領域は経験がないし、SaaS事業も経験がない。ただ、面接やメンバーとの会話を通じ、Will/Can/Mustをしっかり分析して、Willのない仕事は積極的に採用してdelegateしろ、というカルチャーが明確にある点や、自分が大大大嫌いな目標管理やMBO的な人事施策がない、ホラクラシーという自立分散型の組織構造を持つ点など、Ubieはこれまで働いてきた企業と大きく違うぞ、という確信を持つことができた。優秀なメンバーと一緒に社会的意義の大きい高い目標に向けて挑戦する、何が起こるかわからないエキサイティングなUbieでの未来の方が、自分の人生にはプラスになるんじゃないか。自分は、今の自分では想像できない未来が待っている方にベットしたいし、自分では敵わないな、と思うような優秀なメンバーと一緒に仕事したい。
そんなことを思いながらUbieのオファーを受けることに決め、その週のオフィスでのミーティングに参加したところ、まさかのその場で皆の前でオファーレターにサインしろ、という。こりゃもう俺の人生決まったな、と、その場でホワイトボードの上に拡げて、その場にあったペンで立ったままサイン。公衆の面前でオファーレターにサインするのは人生初の経験だったが、なんかこの底抜けの明るさは、自分が憧れていたアメリカ西海岸のスタートアップの底抜けの明るさに近いものがあって、すごく嬉しかったのを覚えている。そう、俺はこういう明るい会社で働きたいんだ。日本にもあるんだな、こういう遊び心のある企業が。
代表は、そんなオフィスの雰囲気を、部室、と表現した。うん、すごくぴったりだ。
(写真は、オファーレターにサインする私と、見るなよ、と威嚇する代表)
1ヶ月を終えて
COVID-19もあり、ほぼリモートで活動しているため、あまり部室感はなくこの1ヶ月が過ぎたのだが、やるべきことははっきりしていて、2月オンボードからフルスロットルで活動に取り組んでいる。
Google Workspaceをフル活用すべく、Cloud Identity Premiumを使いながら業務委託の管理をかっちりやり始め、Beyond Corpの検証なども始めている。UbieはISMSを取得しているので、リスク分析からの対応計画立案やremediation actionの開始など、InfoSec担当として、ロードマップを引いて取り組みを開始している。ホラクラシーについても、サークルに入って、セクレタリーやリードリンクを引き受けたりして、仕事の進め方にだんだんと慣れてきた。
とはいえ、やるべきタスクはたくさんあり、まだまだ社内情報システムを整備する部員の陣容が足りない。自分はNetwork/Endpoint securityに強いので、EDRやGoogle Workspaceのセキュリティ強化を進めていて、セキュリティの専門家として、ポリシー周りやリスク分析と全体方針策定とかも並行して取り組んでいる (CISSPっぽい仕事)。が、いかんせんSoftware Engineerの出身ではないので、社内ツールを整備して、各種SaaSシステム間をいい感じに連携しつつ、自動化やワークフローを実装するような、最近のいけてるコーポレートエンジニアの素養が足りない。さらに、チームメンバーはSalesforceの運用にもpainを感じていて、Salesforceのデータ構造の見直しから丸っと任せられる人も探している。Salesforceの悩みは、hassyが書いているのでそちらを参照のこと。
「テクノロジーで人々を適切な医療に案内する」をミッションに、世界に打って出ようとしているスタートアップで、いい意味で一緒に遊び、楽しみながら、Giant Leapを達成するべく戦ってくれる仲間を募集しています。おれが真のコーポレートエンジニアというものを教えてやるぜ、という腕に自信のある方、ご応募お待ちしています。
さて、冒頭の写真は、自分が学生のときに参加したARLISS 1999の写真で、自分もUbieでGiant Leapを達成するぞ、という意気込みを込めて、新しい夢のスタートを飾る最初のnoteエントリーに選んでみた。このプロジェクトの中心メンバーは、はやぶさ2でのサンプルリターンを見事に成功させている。Ubie Dev組織のコアとなるvalue、Giant Leap (ジャイリー)とLaunch & Launch (ロンロン)にぴったりだな、ということで。
この記事が気に入ったらサポートをしてみませんか?