今年で入社3年目になったテクニカルコンサルティング部配属の同期3人。2021年にユービーセキュアに入社してから、これまでにどんなことをやって来たのか? そしてこれから、どんなことに挑戦しようとしているのか? 現在までの振り返りと、これから挑戦したいことについて聞いてみました。
プロフィール
テクニカルコンサルティング部 セキュリティコンサルタント 平井 亮多
情報セキュリティ学の専門学校を経てユービーセキュアに入社。診断に加えてインターンシップでの講師など人材育成にも力を入れている。
テクニカルコンサルティング部 セキュリティコンサルタント 平野 竜也
プログラミングの専門学校時代にセキュリティに興味を持ち1Dayインターンへの参加を機に入社。診断とペネトレーションテストを対応。
テクニカルコンサルティング部 セキュリティコンサルタント 大西 辰輝
学生時代から独学でセキュリティへの取り組みを開始し、これまでに多数の診断やペネトレーションテストを行う。入社から現在まで、診断とペネトレーションテストに従事。
ユービーセキュアに入社した理由
―まずは、みなさんがユービーセキュアに入社したきっかけを教えてください。
大西:学生時代に独学でWebアプリを作っていたのですが、読んでいた入門書に正しくアクセスが行われていることを証明するCSRF(Cross-site Request Forgery)トークンについての説明があったんです。入門書には“おまじない”のように記載されているだけでしたが、それが実際にどんな役割をしているのか気になって調べたりしているうちにセキュリティについて興味を持ち、技術書を読んだりCTFに参加したりするようになりました。就職に際しては、実務未経験でも幅広いセキュリティ業務に携われるユービーセキュアを選びました。
平野:私はプログラミングの専門学校時代に、友人と「セキュリティが面白そうだ」と盛り上がったことがありました。頑張ってプログラムを書いても乗っ取られたりするなんて、ヤバそうですけどなんか面白そうじゃないですか。それでセキュリティに興味を持ち、ユービーセキュアの1Dayインターンシップに参加してみたら、社員のみなさんがイキイキと楽しそうにセキュリティをやっていたので「私もこんな風になれたらいいな」と思ったのが入社のきっかけです。
平井:私は中学生の頃に初めてウイルスに感染したのを機にセキュリティに興味を持ち、情報セキュリティ学の専門学校に進学しました。ユービーセキュアは診断ツール「Vex」を自社で開発・販売しているので、「ここなら自分が診断したノウハウをプロダクトやサービスの進化にも活かせる」と感じたことが、入社の決め手になりました。
平野:確かに自社でVexを開発している点は、私も決め手の一つでしたね。1Dayインターンシップで脆弱性診断を体験した際に「この技術はすごいな」と思ったんです。実際に自力で診断しようと思ったらすごく難しいのに、Vexを使えば簡単に診断ができたのでびっくりしました。さらに、プログラミングをやっていたこともあって、「ユービーセキュアなら、診断も開発も両方をやれるかもしれない」という期待もありました。
入社1~2年目の仕事
―入社から現在までの2年間に、どんな業務を担当しましたか?
平井:入社当初はVexを使ったツール診断から始めて、2年目からは、手動診断サービスやGraphQLなどの新しい技術を使って作られたサイトの診断も行うようになりました。他にも、新サービスの検討に加わったり、インターンシップの講師にチャレンジしたり…業務内容は広がっています。
大西:私も1年目はほぼ同じです。まずは診断を身に付けるところからスタートして、2年目からは先輩のサポートを受けながらペネトレーションテストにもチャレンジしています。私が担当する案件も増えてきました。
平野:私も診断業務とペネトレーションテストを担当しています。最初にチームリーダーから「どんなことがやりたい?」と聞かれた際に「変わり種がやりたいです」とリクエストしたので、手動診断の中でもイレギュラーな診断やgRPCなど、比較的新しい観点が必要になる診断やマイナーな診断を中心に40~50案件ほどやらせてもらいました。
―どうして変わり種の診断を希望したんですか?
平野:新しい技術に目がないタイプなので、普通のことをやっても飽きてしまいそうで。それにニッチな領域の診断経験を積んでいけば、将来的に他の人ができないような診断ができるようになれるかなと思ったんです。想像以上にマイナーなところをやっています。(笑)
―なるほど。基本の診断は全員がやりながら、それぞれの志向性に沿った業務を担当しているんですね。
みなさん、業務のどういうところが面白いですか?
平井:権限系の脆弱性が特に面白いなと思っています。本来は操作できないはずの人が操作できてしまったり、制御されるべき点が制御されていなかったり…。あとはクロスサイトスクリプティング(XSS)やSQLインジェクションでどこまでデータが抜けるのか…とかも興味深い部分ではあります。攻撃者観点の話になってしまいますが。(笑)
平野:私も「どうやったらインパクトの大きい攻撃ができるか?」を、攻撃者観点で考えるのが面白いです。
大西:手動診断やペネトレーションテストはツール診断と異なり、システムの環境などに合わせて、自分の裁量で診断したりテストしたりするので面白いですよね。
平野:あとは見つけるのが難しい脆弱性を見つけた時も嬉しいですし、開発やロジックを考えることも好きなので、診断していて「これはすごいプログラムだな」、「このサーバー、イケてるな」と思うようなすごいサイトやアプリケーションに出会えるのも楽しいです。
通常業務に留まらない挑戦
―通常業務以外にも、3人が自発的に取り組まれていることがたくさんあると聞きました。どんなことをやっているんですか?
平井:3人に共通しているのは、NRIセキュアテクノロジーズ株式会社と共催している技術調査会に参加していることです。その名の通り、新しい技術について調査・検討する活動を行っています。
平野:他には社内勉強会もやりましたね。平井さんと私は1年目の頃から開催しています。
平井:そうですね。私はGraphQLや診断ツールの使い方などのテーマで勉強会を行いました。
―勉強会の参加者は先輩方ですよね? 講師として先輩に説明するのは恐縮しませんでしたか?
平野:ビクビクするようなことは全くなかったです、皆さんすごく優しいので。それに、セキュリティやITの技術は膨大にあるので、すべてを一人で学ぶことは難しいですし、もし知っている技術に関する内容だったとしても他の人の視点を知ることは参考になるはずですから。
平井:説明する側も、アウトプットすることで知識が整理されたり、新たな気付きがあったりします。
平野:他にもマニュアルや手順書の整備、診断ツールを開発している部門へのフィードバックや改善案なども提出しています。
大西:私もgRPCの診断に関する内容のマニュアル化や、気になった技術に関する社内ドキュメント作成に貢献しました。他にもペネトレーションテストの認定試験であるOSCPのトレーニングを受けたり、「Hack The Box」というペネトレーションのスキルを磨くためのプラットフォームを活用してトレーニングをおこなう社内活動にも参加しました。
適切に情報を伝えることの難しさ
―入社してから苦労したことはありますか?
平井: “お客様に正しくわかりやすく伝える“ことは、今も苦労しています。
平野:私もまさに同じです。セキュリティや技術についての知識がない人にセキュリティの説明をするのは本当に大変です。お客様も全然分からない訳ではないので、どこまで知っているのか、どう伝えればお客様に必要な情報を伝えられるか難しいんですよね。説明しすぎて、「そんなところまで説明されるのか…面倒だな…」と思われるのは避けたいですし。
大西:確かに難しいですね。報告会ではお客様の理解に合わせた粒度で伝えているつもりですが、セキュリティ用語にはいろんな背景や説明が集約されているので、かみ砕いて説明すると必要以上に冗長になってしまうこともありますし、かと言って省くと伝わらないし。お客様にとっては、「私たちの報告=ユービーセキュアの報告」なので、会社の評価に直結すると思うと緊張感もあります。
平井:先輩がお客様の目線に合わせて話しながら必要な情報を引き出しているのを見て勉強したり、事前にわかりやすく説明するために準備をしたりして、最初の頃よりはできるようになってきたと思います。最初の頃は “言われたことに相槌を打つ”くらいしかできませんでしたから。それでも、まだまだです。
平野:私もこれについてはまだまだだと感じていて、今後もずっと苦労し続けるだろうなと思っています。
これまでの成長とこれからの挑戦
―2年間でどれくらい成長できたと思いますか?
大西:実践環境での経験や複数名で連携しての診断は大きな成長になりました。入社当時と比べて技術力も報告書の質も上がったと思います。
平井:私も業務を通して、様々なシステムに対応する観点が身に付き、「このシステムは、ここが怪しそうだな」と経験から推測できるようになったのは大きな成長だと感じています。また、2年目からは営業活動も行うようになってお客様と話す機会も増えたので、「ユービーセキュアのコンサルタントとしてどうあるべきか」という視点も持てるようになりました。
平野:入社前はプログラムしか組めませんでしたが、今はセキュリティについての深い話や診断もできるようになりましたし、自分の事だけではなく、「お客様のニーズに対して、ユービーセキュアとして何が提供できるのか」ということも考えられるようになりました。
―3年目はどんなことに挑戦したいですか?
平野:新サービスをリリースしたいし、自分が診断できる領域も増やしたいし、OSCPを取得してペネトレーションテストも一人前にできるようになりたいし…やりたいことがたくさんあります。
平井:私もです。クラウド診断や新サービスの立ち上げ、今年度入社の育成、ペネトレーションテストにもチャレンジしたいと考えています。
大西:私はペネトレーションテストの経験をもっと積みたいです。実践における技術力の底上げはもちろん、お客様との接点を増やして経験をしっかり重ねて、見積もりや診断前のシナリオ選定からお客様と話せるようになりたいです。
―3年目も充実した一年になりそうですね! さらにその先はどんなことをイメージしていますか?
大西:ユービーセキュアはVexで診断の効率化を実現していますが、最近は企業でも機械学習を取り入れてWebアプリケーションの診断業務効率向上を図る企業が増えています。このあたりの技術と診断を通じて得た知見を合わせることで、WAFサービスの提供や、クラウドの設定周りの検証自動化サービスなどにつなげていければ面白そうだなと思っています。
平野:将来的には、プラットフォーム診断、スマートフォン診断のような既存の診断ではなく、もしかしたら「VR診断」のような新たな領域の診断をやる日が来るかもしれません。このまま自分が対応できる領域を一つずつ増やしていき、人ができないような診断もできる人になりたいです。ユービーセキュアで5本の指に入るくらい、“技術を知っている人”になれたらいいですね。
平井:私は興味を持つとすぐにやりたくなってしまうタイプで、コードを書くことやフォレンジックなど、業務では触れることがない領域にも興味があるんです。そういう部分は個人的にチャレンジしながら、ユービーセキュアでできる挑戦もしっかりやって、ユービーセキュアのセキュリティコンサルタントとして頼られる存在になりたいと考えています。
平野:3人で一緒に取り組める部分があったら、一緒にやりたいですね。
―ありがとうございました!これからのみなさんのご活躍を期待しています!
ユービーセキュアでは、セキュリティコンサルタントが様々なセキュリティの課題解決を支援しております。お悩みの際は、お気軽にご相談ください。
