「お客様に価値を感じ続けていただくために」脆弱性診断チームのトップが目指す、チームの在り方とは?
こんにちは!
株式会社サイバーセキュリティクラウド(以下、CSC)人事の三上です。
HR通信では、当社で働く「セキュリティ分野のスペシャリスト」たちの仕事内容やプロダクトにかける想いをシリーズ形式で紹介しています。
シリーズ3回目は、脆弱性診断サービスを手掛ける「セキュリティインテリジェンス部」で、チームを率いる芝田 幸彦(しばた ゆきひこ)さんが登場。
脆弱性診断の重要性や芝田さんが仕事をする上で大切にしていること、チームとしての今後の目標について聞きました。
好奇心を大切に、築いてきたキャリア
ーCSCに入社するまでの芝田さんの経歴を教えてください。
大学卒業後は、電機メーカーで防衛関連の制御システムの開発に従事していました。いわゆる「組み込み開発」にしばらく携わっていたものの、あるときスーパーコンピュータのシステム管理を手掛ける仕事を依頼されます。
これまでとは180度異なる分野の仕事に強く興味を惹かれました。
ここでは、ネットワークやセキュリティ設計に関する知識が求められましたが、当時はまだセキュリティシステムすら浸透していない時代。
自力で情報を集めていくうちに、セキュリティの奥深さに魅了されるようになりました。
そして、その仕事の依頼主だったスーパーコンピュータの専門コンサルティング会社が、株式会社ソフテックで、当時セキュリティ分野に力を入れようとしていた同社へ、チャンスを求めて転職しました。
その後、ソフテックはCSCの完全子会社化を経て、2022年に吸収合併されることとなり、同年私もCSCへ入社しました。
セキュリティインテリジェンス部は、ソフテックとの統合に伴い、CSCの脆弱性診断サービスを拡充するべく新設された部隊なのです。
ニーズの高まる脆弱性診断を、セキュリティの専門家が徹底サポート
ーセキュリティインテリジェンス部の具体的な業務内容を教えてください。
企業のWebシステムにおける「脆弱性」を診断するサービスを提供しています。
具体的には、
「Webサイトをリリースする前に安全性を確認したい」
「運営サイトで不正アクセスを検知したため調査してほしい」
といったお客様のご相談から、情報漏洩やシステム停止のリスクを含むセキュリティ上の欠陥を特定。診断後は報告書を作成し、改善策もご提案します。
存在する脆弱性を可視化することは、セキュリティインシデントの発生・被害を低減する点で、セキュリティ対策の第一歩とも言えます。
最近では、コンプライアンス意識の向上からWebサイトの信頼を担保をしたいという企業様も増えており、脆弱性診断の重要度も高まっていますね。
ーCSCの脆弱性診断サービスは、どのような点で優位性を持っていると考えていますか?
大きく2つあると考えています。
1つ目は、脆弱性診断ツールの開発経験を持つ、専門性の高いエンジニアが実際の診断を担っている点です。
当チームには、ソフテック在籍時にIPA※と協力し「セッション管理」に特化したツールの開発に携わったエンジニアが数名います。
セッション管理の脆弱性は、企業の多大な信頼喪失に繋がりうる一方で、一般的な診断ツールでは検知しにくい非常に複雑なもの。
この開発で得た膨大な知識や独自の経験を活かしながら、私たちは脆弱性診断に注力しています。
2つ目は、診断後のアフターフォローまで徹底して行う点です。
具体的には、診断結果にもとづいてお客様が改修した内容を再診断するなど、Webサービスを安心してリリースできるまで責任を持って対応します。
一方で、脆弱性診断サービスを提供している企業は、国内外含めて多数存在するため、差別化しにくいのも事実です。
しかし、豊富な知識と経験を持つセキュリティエンジニアが一貫してサポートする点は、他にない強みだと感じています。
※IPA(情報処理推進機構)…経済産業省のIT政策実施機関で、日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人
エンジニアとして必要なのは「技術力」だけではない
ーセキュリティインテリジェンス部の部長として、大切にしていることはありますか?
社内、社外に関わらずコミュニケーションは大切にしています。
極端に言うと、診断スキルよりも「コミュニケーション力」を重視するよう、チームメンバーにも促していますね。私たちチームが高いモチベーションをもって存在するには「CSCに脆弱性診断をしてもらって良かった」「また次回もお願いしたい」と、お客様に価値を感じ続けていただくほかありません。
その為にも、お客様の立場を想像せず、一方通行の提案にならないよう心掛けています。
脆弱性の診断結果や改善案を「自分たちの言葉」でお客様に説明してしまい、相手に伝わらないというケースは絶対に避けたい。
当チームのメンバーには、技術力だけを追求してお客様の視点を疎かにして欲しくありません。それは、社内メンバーとの対話においても同様です。
相手の理解レベルに合わせて専門用語を咀嚼し、必要な点を正しく伝えた上で最善策を選択できるよう働きかける。
既に高い専門知識やスキルを持っているエンジニアが揃っているからこそ、相手を思いやったコミュニケーションを大切にしていきたいですね。
ーこれまで複数の会社でエンジニア経験を積まれてきた芝田さんですが、CSCで働く魅力はどこにあると感じていますか?
CSCのエンジニアは「セキュリティ」を軸にスキルを横展開し、柔軟にキャリアを築けるという良さがあります。
というのも、CSCは脆弱性診断サービスに限らず多様なセキュリティプロダクトを自社で保有しているため、脆弱性に関する知識を活かしたサービスやプロダクトの改良・開発にまでチャレンジできる環境があるからです。
CSCのバリューでもありますが、会社として「チャレンジャー」を応援する
カルチャーが根付いているので、横断的にプロジェクトに携わり、幅広く専門的なスキルを身につけたい方には魅力的な環境だと感じています。
チームの専門性を活かしてCSC全体にシナジー効果を
ー今後の目標やビジョンを教えてください。
脆弱性診断を担うチームとしては、お客様が利用する環境に合わせたサービス領域の拡大を目指します。
当社は既にWebアプリケーション、プラットフォーム、APIといった3つの環境の脆弱性診断サービスを提供していますが、お客様がインターネットを利用する環境は年々変化していくため、サービスが十分に行き届かないケースも考えられます。
診断領域を拡充することでお客様のインターネットビジネスへの診断範囲も広がり、さらなるベネフィットを提供できたら嬉しいです。
一方CSC社内で捉えた場合には、脆弱性診断に留まらない「価値」を発揮したいと考えています。
例えば、脆弱性診断で検出された脆弱性内容を社内の報告会でフィードバックする業務もその1つです。
社内プロダクト開発に携わるエンジニアは、脆弱性に関する基礎的な知識は備えているものの、脆弱性が実際のWebサイトにどのような形で潜在するのかを見る機会はほとんどありません。
そこで、脆弱性診断で検出した脆弱性について、その詳細な内容や、悪用の手順などを説明することで、その脆弱性のリスクをプロダクト関係者にフィードバックする。
他部署と積極的に連携することで、CSC全体のセキュリティレベル向上に貢献していきたいと思っています。
ー最後に、セキュリティインテリジェンス部での仕事に興味を持つ方へメッセージをお願いします。
当チームでは脆弱性診断に特化したサービスを扱っていますが、診断のスキルだけあれば良いわけではありません。
むしろ、セキュリティに関する様々な情報に「アンテナ」を張り続けられる人、つまり未経験の領域にも好奇心を持って取り組める方のほうがチーム内で活躍できると感じています。
これは、CSC全体においても同じです。
当社は部署の垣根を超えて、ドラスティックに横展開のプロジェクトを行う会社。「これをやればいい」ではなく「これがやりたい」とポジティブにチャレンジできる方であれば、環境を楽しみながらエンジニアとしてのキャリアを自然と築けると思います。
最後までお読みいただき、ありがとうございました。
CSCでは、世界中の企業を共にサイバー攻撃から守る仲間を募集しています!
現在募集している職種等の詳細については、こちらをご覧ください。
その他ポジションも積極的に採用しております!