Our People

風通しの良い環境で自分の役割を見つけた

鈴木

前職に居た3年間、脆弱性診断士をやらせてくれって言ってたんです。3年経って色んな人に話を聞いて回っていたんですが、脆弱性診断といっても、開発をやっていない人もいるし、逆に開発やった人も居るということを知りました。
そう考えると、一度は開発の経験を積んだ方が、脆弱性診断士として大成するには良いんじゃないかと思い始めました。いつ始めるかと考えると、さすがに、3年以降に脆弱性診断士チームに入れる目がなければ、外でやろうと。そしてその後に戻ってこようと思っていました。
結局3年のうちにいけなかったので、開発をする会社に転職活動を始めたんですよね。そしたら、マネーフォワードに居る友人が紹介してくれて、転職期間は1ヶ月も無かったですね。

――

どうでしたか、実際に転職してみて。マネーフォワードで仕事をしていて、それが思っているキャリアパスに対して、プラスに左右しているのかしていないのか。

鈴木

最初の1年半くらいは、Androidアプリの開発をしてました。その後、CI周りのサーバーを作ったりして、またセキュリティに戻ってきたという感じです。

――

最初のころは、今よりも社員の数も技術者の数も少なくて、色んな事をやる機会があった？

鈴木

そうですね。今も色々なことをやっています。ネットワークだとか、脆弱性を見たりだとか。

――

マネーフォワードの性質的に、この人はこの担当という壁がある感じはなく、色んなことに携わっている人が多いですね。

鈴木

そうですね。マネーフォワードではそういった壁があまりないところが僕のキャリアにとっては、一番プラスじゃないかなと思っています。
自分からアクティブに情報を取りにいくこともできますし、ほかの事業部の情報も入ってきやすいってところもプラスかと。
それによって、「なるほど！Webではこういうやり方なんだな」って分かったり、僕がアクションを起こしたりだとか。逆にみんなが僕に聞きに来たりもしてくれるので、開発者がセキュリティに対してどう思っているのかという部分が分りやすくなり、視野も広がった気がしますね。

――

Androidアプリの開発から仕事をスタートして、色々と役割が変わってきたっていうのはどういう経緯なんですか？興味の領域が変わって来たんですかね。

鈴木

興味というよりは、自分なりにマネーフォワードでの役割が見えてきた感じですね
Androidアプリ開発を1年半やって、まだまだヒヨッコではあると思いますし、飽きたという訳ではないので、今後も手を動かしたい気持ちはあります。
一方で、開発を進める中で脆弱な部分も見えて来まして、それに対して適切なアクションとコミュニケーションがとれるの人って、そんなに居ないんじゃないかと思ったんです。そういったキャパシティーやケイパビリティーを持っているのは自分かなと。
そこに自分の居場所を見つけたというのが現状です。

――

例えば、セキュリティを頭に入れながら、開発するみたいなことが出来る人もいれば、出来ない人もいますよね。それは、慣れだったりもするので。

鈴木

それは慣れもありますし、そもそもそういうものがあるかどうかも知らない方もいらっしゃるので。僕がセキュリティやっていて、開発のことを何も知らなかったのと同じかな。

――

実際にどんな感じで仕事が進んでいるんですか。

鈴木

ロングタームの仕事が6割で、ショートタームの仕事4割という感じです。
ロングタームに関しては、よく当社CISOが言ってますけど、今まではスピードを重視をして走って来たがゆえに、置き去りにして来た部分があると。そういった置いてきたものを、今の成熟度に合わせて直しているのが、ロングタームの仕事です。
Proxyの整備による出口対策だとか、インシデントが発生した際の対応方法のシナリオを作ったりだとか、広報チームとの連携の仕方とかを考えたりだとか、包括的な仕事などを行っています。
ショートタームに関しては、脆弱性の診断を各サービスで定期的にやったりだとか、何か障害があったらそれを見たりだとか、若干インフラ的な部分もありりますね。

――

セキュリティの部署と、インフラの部署ってそんなにはっきり分かれていないというか、担当はそれぞれ居るけど部署的には、そこまで垣根はかっちりしていない印象があります。

鈴木

新卒で入った部署はMSSというマネージドセキュリティサービスを扱う部署でしたが、同じくそんな感じでした。
何をやっていたかといえば、今やっているようなことですよね。ファイアーウォールを置いたりだとか、ネットワーク切ったりだとか、あとは、新しいセキュリティ機器を導入して保守運用するような、インフラネットワーク的なことをやってきましたね。
今の仕事もそれの延長プラス他のセキュリティの分野もやっているといった感じですね。

セキュリティエンジニアになるためには

――

セキュリティエンジニアって昔からある職業ではないですよね。なので、何かあんまり実態が知られていないこともあると思うんですね。
セキュリティエンジニアになりたい人のためにも、普段の仕事内容をこのインタビューを読んでいる人は知りたいんじゃないかなと思うんですが。

鈴木

なるほど。そういう意味だと、どう答えればいいんだろう。セキュリティエンジニアって非常に広範囲に渡っていると思うんですよね。
僕の最初の肩書きは、セキュリティエンジニアではなくて、セキュリティアナリストでして、そのインフラを監視していて、そこで発生したものを分析するという意味でアナリストだったんですよね。
僕が元々なりたかった脆弱性を分析する人は脆弱性アナリストだし、あとはセキュリティ向けのプロダクトを作るプロダクトの人は、これまた別の肩書きなんですよね。
セキュリティエンジニアという言葉ができたのがここ最近で、どこからどこまで包括しているのか難しいですね。

――

そうですね。

鈴木

そういう意味だと、僕にはセキュリティエンジニアという肩書きはついていますが、ハッカー的なことはしないですし、どっちかとういうと、マネージメントだとか分析だとかセキュリティの設計を考えるようなアーキテクト的なところをカバーしているのかもしれませんね。

――

なるほど、そういうセキュリティアーキテクトをやりたいって人は、どういう勉強をしていれば良いんですかね。
今後、鈴木さんの後輩を採用するにあたってどういう人が来て欲しいかってって話なんですけど。

鈴木

それに即答は出来ないのですが、どういう人が欲しいかっていう人物像から入ると。うーん。
そうですね。僕みたいなキャリアパスを歩んでいうる人が実は結構いるんじゃないかと思っています。
つまり、どういうことかというと、セキュリティに携わる今のエンジニアっていわゆるSIer業界に住んでいると思っています。あんまりこういったWeb業界に居ない気がします。

――

そういう需要があるかどうかも問題だとは思いますが。

鈴木

そうですね。新卒で1個のことを専門的にやってきて3年ぐらい経つと、自分の立場を俯瞰してみはじめると思うんですけど、その時点で将来もセキュリティのことをやっていきたいけど、開発のことやサービス提供のこと何も知らないかもって感じた人に来てほしいですね。
プラス、出来れば、マネーフォワードのやっていることに意義を感じてくれて、それを死なさないためのマインドを持っている人。
突き進む個のパワーも大事なんですけど、それを崖から落とさないためのディフェンス役に徹せれる人が向いていると思います。

――

確かにセキュリティって色々なことをやらなきゃいけないので、ある程度包括的な話になりがちだから、見渡して見れるというのは重要な技能かも知れないですね。