複数サービスを展開するスリーシェイクのPMとは!?
こんにちは!スリーシェイクの徳山です!
スリーシェイクでは「インフラをシンプルにしてイノベーションを起こす」をミッションに、自社の強みである開発技術をもって複数のサービスを展開、続々とリリースしています。
そして今年9月には新たに、バグバウンティ運用代行サービス【Bugty(バグティ)】をリリースいたしました!
そこで今回、PMとして【Bugty(バグティ)】のプロジェクトを推進した尾張さんに、スリーシェイクのPMとしての苦労と印象的なエピソードなどを聞いてきました!
---------------------------------------------
【Bugty(バグティ)】ってなに?
まず、バグバウンティ(バグ報奨金制度)とは?
企業が自社の製品やサービスに対する調査案件を公開し、バグハンター(ホワイトハッカー)が公開されたサービスの脆弱性(バグ)を発見・報告することで、バグハンターに対して報奨金を支払う仕組みです。
バグバウンティ運用代行サービス【Bugty(バグティ)】 とは?
セキュリティ専門家でないと対応の難しいバグバウンティの運用から請求までをスリーシェイクが代行するサービスです。セキュリティ人材、リソースが確保できない企業もバグバウンティをご利用いただけます。
リリース内容 ▷ https://3-shake.com/bugty/
---------------------------------------------
---------------------------------------------
話を聞いてる人:徳山
スリーシェイクの一人広報担当。
骨盤矯正にハマり中。
話を聞かれている人:尾張
Sreake事業部 PMチーム。
砂漠に雨を降らせるくらいの雨男。
---------------------------------------------
新サービスのPMに抜擢
徳山:まず、入社されて1ヶ月程で「Bugty(バグティ)」のPMに抜擢されましたが、どのような思いがありましたか?
尾張:バグバウンティとは?という状況からスタートしましたので、最初はGoogle先生に質問するところからでした。
前職でゼロトラストの検討やサービス検証を行っていましたので、セキュリティ系のサービスについては何となく理解できるかな、と甘い考えからスタートしました。
徳山:バグバウンティについて、どのように理解を深めていきましたか?
尾張:そうですね、「バグバウンティ」という言葉自体が初めて聞いた言葉でしたし、前職だとWAF、IPS/IDS入れてという感じだったので、アプリケーション側で何か対策してたかというとそこまで意識したことがなかったんですよね。
アプリケーションの脆弱性にどう対応していくのかという部分で、あまり深く考えたことがなかったんですが、チームで話しながら理解を深めていきました。
徳山:リリースまでのタスク管理は、どのようにされていましたか?
尾張:事業計画書の項目で、目次のようなものを作っていきました。
その中で出てくるお題目に対して何をやってけばいいのかというところを整えていきました。
徳山:どのようなツールで管理されてましたか?
尾張:最初のタスク洗い出しと関係性の紐づけはマインドマップで作成して、その後はNotionで全て管理していました。スケジュールも、カレンダー機能を使ったりして、作成しました。
徳山:Notionページが充実していて広報としてはとても助かったのですが、尾張さんがご自身で纏めたんですか?
尾張:そうですね、自分で理解を深めるためにワークでばんばん作っていきました。
最終的に、人に見せる資料として整えていきました。
自分が気になってるところって他の人も同じような疑問を抱くと思うので、纏めるように意識していた部分でもあります。
PMとして苦労した点と良かった点
徳山:PMとして進めていく中で、大変だったことはありますか?
尾張:バグバウンティで実際に脆弱性を発見する方々をバグハンターと言いますが、彼らがどのようなモチベーションでバグを見つけるのかを当初理解できませんでした。
バグハンターは、リサーチャー、エシカルハッカーとも言われます。クラッカーとハッカーの違い程度しか理解していなかったため、「信じて良いの?」という疑問を抱いていました。
バグを見つけてお金(報奨金)を稼ぐことを目的としている方もいますが、お金がなくとも対象企業のノベルティ(Tシャツなど)を目的にしている方々もいます。
理解するにつれ、「ああ、この方々はエンジニアなんだな」ということで腹落ちしました。
エンジニアの方々も、自分のレベルアップや世の中を良くしたい、という思いからオープンソースプログラムに参加する人も多いと思います。
モチベーションが自分のレベルアップや世の中を良くしたい、という方々が多いということを理解してからは、色々と納得しながら進めることができました。
徳山:進め方として、良かったと思うところはありますか?
尾張:自分の進め方で良かっと思うところは、楽しく進められたことです。まだ入社したばかりでほぼ初対面の方ばかりでしたが心理的安全性と言いますか、マイナス発言が一回も出ないんですよね。これは本当にすごいなと思いました。
基本的に「やりましょう」というのが前提になっていて、そこにむけてじゃあ自分たちは何しましょうかとか、いついつまでにこうやってきましょうとか、そういう会話にしかならなかったので、余計なストレスがまったくなかったです。
徳山:確かに、スリーシェイクのいい面ですよね!
もしかすると「なんでやらなくちゃいけないのか?」とか「する理由はあるのか?」を考える機会がなかったりするんですかね?
尾張:それでいうと、例えば根本的な課題にぶち当たった時の「この進め方で本当にいいんでしたっけ」という方向性の修正がとても早いなと思いました。
吉田さん(代表)や手塚さん(事業部長)、セキュリティエンジニアが「これはちょっと違うんじゃない」となると、その場ですぐ軌道修正が入ります。
微修正しながらどんどん前に進めていけたと思います。
徳山:セキュリティエンジニアとのコミュニケーションはどうでしたか?
尾張:実際にサービスを作っていく中でかなり密に話さないといけないと思いました。
社内のセキュリティエンジニアにお会いするまではどういう方だろうなと思っていたんですが、実際に会ったらシュッとしていてかなり優しい雰囲気の方だったので、お会いしてからは私としてはやりやすかったです。
徳山:INTIGRITI社とのやりとりは、どうでしたか?
尾張:Web会議しながらチャットで彼らとやりとりしてたんですが、「今はこんな話してるよ!」ってチャット(英語)で送ってくれたりするんですよ。
徳山:そんなにフランクな感じだったんですね!
尾張:はい、とても素敵な方たちです。
Slackでも繋がっていて、レスポンスもとても早いですよ。
課題と今後の展開
徳山:バグティの魅力は、どんなところですか?
尾張:バグバウンティにまつわる面倒な運用が様々ありますが、スリーシェイクに丸投げできるというのが一番のメリットだと考えています。
これはバグバウンティの魅力ですが、日々進化するプロダクトやサービスに対して、1つの契約だけで脆弱性の調査を常時行う状況にすることが可能になります。
(脆弱性診断ですと、固定した環境に対して行うため、環境変化があると診断のやり直しになります)
これに加え、バグティの場合は運用面についてもスリーシェイクが行いますので、お客様企業にとっては普段通りシステム開発を継続しつつ、バグティを使って脆弱性の調査も並走しているイメージになります。
徳山:現状の課題はありますか?
尾張:バグバウンティが日本だとあまり浸透してないところが一番課題ですね。
INTIGRITI社にも質問をしてみたんですが、同じ状況はあるようで、どうバグバウンティのメリットを理解してもらうかっていうところが「時間がかかるしよく分かるよ」って仰ってました。
バグバウンティを広めていくってことがまずは重要な仕事の一つだと思っています。
徳山:最後にバグティの今後の展開について、教えて下さい!
尾張:お客様企業の現状を考えると、毎週のようにプロダクトやサービスの更新を行っている状況で、さらに攻撃手法が進化し続けている状況に対応しなければならない、という厳しい状況にいると考えています。
また、その状況は今後さらに加速していくと想定されます。
その中で、現状お客様企業でプロダクト・サービスの脆弱性に対応するには、お客様企業の中で閉じて対応したり、一時的に外部のセキュリティ企業に脆弱性診断を依頼したり、という対応になっているかと思います。
このような課題感を踏まえると、今後はプロダクト開発時に様々な脆弱性を防ぐことが可能なプラットフォームも増えてくるでしょうし、エンジニアのセキュリティ対策に対するレベルアップもされると思います。
それに加えて、世界中にいる多数の優秀なセキュリティ人材に自社のプロダクトの脆弱性の調査をオープンに依頼する、という流れが加速していくと考えております。
実際、Googleのようなセキュリティ人材が自社に多数いる企業でもバグバウンティを行なっています。
日本においてはバグバウンティを行なっている企業はまだまだ少ないため、まずはバグバウンティを広めることと、実際に利用したいお客様企業のお手伝いをしていきたいと考えています。
また、今回INTIGRITI社の世界初のパートナー企業になりましたので、日本だけでなくアジアのお客様企業に対してもバグバウンティを利用して頂き、常時脆弱性に対して世界中の優秀なセキュリテイ人材が
調査を行なっている状況を作っていきたいと考えております。
おわりに
尾張さんは、戦略、進捗管理、社内外とのコミュニケーションなど円滑に推進されており、社内からも絶大な信頼を寄せています。
PMとして重圧や苦労が多かったと思ったのですが、楽しく進められたというのが意外でした!
現状の課題でも上げられているように、今後はバグバウンティを広めていく活動を一緒に楽しみながら進めていければと思います!
この記事が気に入ったらサポートをしてみませんか?