アラフィフな金髪セキュリティマネージャ、ものづくり×SaaSへの挑戦

こんにちは。
2024年1月1日にセキュリティエンジニアとしてキャディに入社しました、山本です。
なぜ、キャディに入社したのか、キャディでこれから何を行っていくのかを書いていきたいと思っています。

軽めな自己紹介

なぜ軽めな自己紹介かというと、私自身の年齢がアラフィフ(四捨五入の五入側)ということと、複数の会社に在籍していたこともあり、ここに記載するだけでも入社エントリの 8 割を占める感じがしそうだからです。
要約すると以下になります。

プログラマからスタートし、インフラ、情報システム、フロントSEなどを経てフルスタックエンジニアとしてキャリアを積む。BtoB のクラウドサービスの企画、設計、構築、運用に 10 年携わった後、BtoC, BtoB の会社でセキュリティ組織を立ち上げ、セキュリティ対策、CSIRT 構築、運用、リスク管理、プライバシー管理、セキュリティ責任者、DevSecOps等の業務に従事。

こうみてもいろいろな分野・サービスに従事してきたことがわかるかと思います。これを詳細に書くだけで本当に入社エントリが終了してしまいます。

当時から考え方はあまり変わっていないですが、システム全体を俯瞰できる状態になりそこから改善や新しいワクワクを提供できる状態/人物になりたいために様々な経験をさせていただきました。

結果として構築していくシステム全体を理解できるようになり、そのシステムの安全・安心を維持するためにセキュリティで守っていかなければいけない範囲を業務を通して広げていったということになります。

そして、なぜ、タイトルに金髪が含まれるのかというと、2 つ理由があります。

1.  やっぱり白髪が気になった。なるなら全部白髪にしたい！
   もうアラフィフになると白髪が目立ち始めるお年頃です。
   いっそブリーチで痛めつけたほうが白髪になりやすいかな？という仮説検証で金髪にしてみました。エンジニアの人ならわかると思いますが検証大事ですよね！

2. セキュリティの人 = 固い人というのを払拭したい
   セキュリティの人ってなんかルールを守る門番的な感じで怖い感じがしまんか？それを払拭したい、フッ軽で気楽にセキュリティの相談をしてもらいたいという意味で金髪にしちゃいました。
   ちなみに、人事面接の時の質問で「金髪はダメですか？」という質問をしたのも事実です。

…話がまた長くなりました。本題にうつっていきたいと思います！

なぜ、キャディだったのか

製造業とセキュリティ

日本における製造業は国における重要な産業であり、日本の GDP の約2割を占めています。
さらに、製造業の各分野での世界における日本のシェアは小さい部品から大きな機械までいろいろありますが圧倒的です。ベアリングボールの世界シェアは有名ですね。

参考：データで分析する日本の製造業
https://www.tel.co.jp/museum/magazine/manufacture/themegraphics/

他の国からするとその部品を手に入れたい、いや、部品ではなく極論「設計図 or その設計をした人」を手に入れたいという考えになるかと思います。理由は簡単です。

だって、1 から作るより楽だから。

手に入れられてしまうと、日本としても企業としても困ってしまいます。そのため、セキュリティ対策が必要であることは理解できるかと思います。

ちなみに、セキュリティという言葉は IT ではよく使われますが、「安全、防護、保障」などの意味を持つ英単語です。

ものづくり業界の SaaS にワクワクが生まれた

製造業のほとんどは中小企業です。かつ、高齢化と後継者不足という課題も存在しています。よくニュースなどでも出てくる話題です。

また、同じ工程を 1 から繰り返し、似たような部品であっても初期〜製作〜納品という部分は変化はありません。
この工程における非効率性を徐々になくし効率的なことができたら、別の Try & Error ができるのではないか、そうすることで「職人」「匠」と言われる人の価値はさらに上がるのではないか、ひいては日本のものづくり業界の価値もさらに上がるのではないかと以前から感じていました。

カジュアル面談時、CADDi がどのようなことを解決していこうとしているのかを説明していただいたとき、自分が思っていた上のようなことを サービスや SaaS で解決していくという考えを持っているところに共感を覚えました。

また、現状における課題・リスクについても率直にお話いただき、DRAWER が抱えているセキュリティ課題・リスクを私自身の経験を十分に発揮し解決できる方向を促進できるのはないかとも思いました。

カジュアル面談を終えた後、日に日に CADDi のサービスが自分にとってワクワクするものに変わっていったのは嘘でもなく事実です。

さらに、CTO / CEO との面接を通して解像度が高くなり、CADDi の Mission である「モノづくり産業のポテンシャルを解放する」が自分の中でさらに理解できたこともあり、入社を決めました。
内定をいただいたとき、このワクワクに Join できる気持ちが溢れガッツポーズをあげていました。

これから何をやっていくのか

まだ 1 ヶ月経っていないですが、上司含め様々な人から教わりながら、DRAWER 全体を俯瞰できる状態を自分の中に落とし込んでいます。

セキュリティは何でもやらなくてはいけない反面、効果的に高いもの、効果的に薄いもの、法令上/認証上実施しなくてはいけないことがやはり存在します。まずは効果的に高くすぐに行えることを抽出し、実行できればと思い、いろいろな文書を確認中です。

特にデータの取り扱いは DRAWER にとっては重要なものと考えています。DRAWER の中に入ってくるデータは図面および図面に関連するデータであり、そのデータが漏洩するとなると、利用いただいているお客様はおろか、サプライチェーン企業様等にも影響は発生しますし、私たち自身への信頼も一気に傾きます。

極論をいうと国レベルの影響になる可能性(=リスク)もあります。

そのため、「リスク：高 + 改善効果：高」などをしっかりと可視化し、なぜそれを行わないといけないのかということを開発メンバーとしっかりとお話させていただき改善していきたいです。

そして、1ヶ月経過して感じたこと

入社して1ヶ月経過したので、自分の中で感じたことを書いていこうと思います。

セキュリティ意識が高い！

いろいろな会社を渡ってきた私としてまず感じたことです。
取り扱っている図面がお客様にとっていかに重要なのかもあり、比較してはいけないかとは思いますが、他の会社と比べて高い状態です。

そのため、いろいろな部署でセキュリティを意識した活動ができています。それを見て私自身が感じたことは、「ちょっとしたスパイス」を入れることだと思っています。こうしたらより美味しい状態にできる、そのために自分の知見をフル活用していくことで、セキュリティ意識はさらに高まると感じています。

セキュリティの分野で「教育」が重要なのは意識向上のためでもあります。
ただ、形式上やれば終わりのセキュリティ教育は私自身嫌です。皆さんを Update できるコンテンツが教育だと思っています。ここにもスパイスをいれていきたいです。

皆さんが協力的！

まだまだ1ヶ月なのでわからないことは多いので、セキュリティ観点で様々なヒアリングをさせてもらうのですが、皆さん協力的です。
また、「〇〇の点ちょっと気になるんですが、セキュリティ観点としてはどうですか？」などヒアリング中に議論したりできたりしています。

会議、会議、会議、ようやく方針決まる、会議、会議、会議、会議、決定。

それはそれで会社の規模が大きくなればある程度なことですが、会社の Mission である「モノづくり産業のポテンシャルを解放する」ために様々な経験や目線で気になったことを相談しあったり決めたりすることへスピード感を出さないといけないと思いますし、会社が 1 → 10 への Growth フェーズだからこそとも感じます。

まだまだこれからやっていき！

1ヶ月働いてよかったことを書いていますが、セキュリティ課題としてはまだまだたくさんあると思っています。自分自身の経験としてあるあるなのですが、成長が急加速するときに優先度が低くなるのが非機能要件であるセキュリティを含む品質です。

お客様から預かっている図面や図面に関する情報、その他情報をどのように守り、かつ、プロダクトの価値を拡大し提供できるのか？

このテーマに対してどのように気づき、対応策を考え、実装するのかという部分はまだまだ足りない部分はあると思います。実装している部分も部分的です。しかし悲観はしていません。

様々な側面からセキュリティアプローチをかけていき開発の方々と考え、スピード感を出して動かしていくことで上記のテーマは達成できていくと思っています。

セキュリティアプローチの多面化はまだ始まったばかりです。さらに多面化していくために、活躍できる人が活躍できる組織ができればと思っています。

最後に

繰り返しになりますが、CADDi DRAWER というサービスは、製造業の課題に対して解決していくサービスです。

キャディのミッションである「モノづくり産業のポテンシャルを解放する」ことに共感し、一緒に SaaS のセキュリティを向上させていただける方、セキュリティの〇〇なら自分やれるぜ！な方がいればぜひ一緒に仕事ができればと思っています！

また、いろいろとセキュリティの今後なども含めて、カジュアルにお話したいと思っています。カジュアル面談を通して確認したいなどあれば、ぜひご応募ください！

併せて、キャディの他の社員も入社エントリを書いていますので、読んでいただいている皆さんがキャディという会社はどういう会社なのか、どういうモチベーションの人たちがキャディで働いているのかを知れる機会だと思いますので、ぜひ覗いてみてください！

• キャディの記事

• VPoE 藤倉さんの入社エントリ

• 機械学習エンジニア 藤田さんの入社エントリ

• ソフトウェアエンジニア 石田さんの入社エントリ
  
  【エンジニア向け採用情報】https://recruit.caddi.tech/
  【カジュアル面談申し込み】https://open.talentio.com/r/1/c/caddi-jp-recruit/pages/78398
  【Product Security Engineer 】https://open.talentio.com/r/1/c/caddi-jp-recruit/pages/77625