こんにちは。人事の佐島です。

グリーグループでは、ゲーム事業、広告・メディア事業、ライブエンターテインメント事業の3事業を展開しています。それらの事業を横断して支えている技術部門が開発本部。

そんな開発本部で働く人やチームを不定期で紹介をしていこうと思っています。

今回はグリーグループのセキュリティを一手に引き受けるセキュリティ部よりセキュリティ診断チームをご紹介したいと思います。

お話を伺ったのは徐 承賢（写真左上）、髙村 充（写真右上）、瀧沢 和也（写真下）の3人。

まずは、セキュリティ診断チームが普段どのようなお仕事をされているのか、教えてください。3人の自己紹介も合わせてお願いします。

瀧沢

普段はWebアプリ、Nativeアプリの脆弱性診断をやっています。具体的には診断の依頼があったアプリのソースコードを読んだり、Nativeアプリであればコンパイルされたアプリを解析したり、通常では起きないような動作を起こすことで脆弱性が起きるかの検証などをおこなっています。

実は私は3年前に社内公募制度（GREE Open Job Posting）で異動してきました。新卒で広告事業を展開するGlossom株式会社に配属され、2年半経過した後、今のチームにジョインしています。

徐

基本的にプロダクトのセキュリティ問題を全力でサポートしています。

リリース前の業務だと脆弱性発見、ソースコード静的解析、ファジング、デバッグ、修正レビュー、リリース後は海賊版解析、データ分析、不正ユーザ検知を含め、その作業を効率化するための開発、例えば burpエクステンダー、fridaインタセプター、静的解析ツールなどのツールをぼちぼち作成したりしています。

たまに社内インシデントの時は徹夜で攻撃者追跡、脆弱性解析、ウィルス解析、再発防止対策サポートもやっております。

髙村

瀧沢さん、徐さんと同じく、WebアプリとNativeアプリの診断業務を行っています。マネージャーとしてチームのとりまとめをしており、どのように診断を運用していくか年間スケジュールを立てています。また、診断以外でアウトプットができるかというところで、例えばチート防止用の機能や、診断効率化を図るために独自ツールを開発しています。

その他にも、アプリは海賊版が流通して悪さをすることがあるので、その撲滅のため、海賊版がどのようなチートを行っているのか、どのような仕組みで動いているかを解析し、対策を立て、解析のサービスを立ち上げることもしています。

攻撃者の視点に立ってアプリを攻略できる楽しさ

セキュリティ診断チームの業務におけるやりがいや、魅力について教えてください。

瀧沢

セキュリティの仕事はあまり境界がないので、必要な知識が多岐にわたり、いろいろな技術に触れる機会が多い点が魅力です。

おおまかに言うと、Webアプリであれば、OSやフレームワークやプログラミング言語といった一般の開発者がよく触れる部分から、通信の仕組みなどの現在ではライブラリなどで覆い隠されていて一般の開発者があまり触らない部分まで、カバーします。

Nativeアプリであれば、それに加えてアセンブリ言語など、低レイヤーの知識も必要になります。

徐

グリーは新しい技術を取り入れて新しいサービスを作りたいという開発者が多くてセキュリティの人間として色んなフレームワークと新しい技術を触れる環境が魅力かもしれないですね。今まで触ってきたフレームワークだけでも Ethna, Laravel, Fuelphp, Cakephp, Silex, Symfony, Django, Node.js, Golang, TypeScriptなど、、、数多く経験させて頂いたのでそれが自分のスキルの向上にも繋がったと思います。

髙村

セキュリティと言いながらも、攻撃者の視点に立ってアプリを攻略できることが一番楽しいんじゃないかと思います。知識を得れば得るほど攻略の幅が広がり、「ここでこうすると無敵になれるじゃん」「これ一発でクリアできて楽して強化できるな」というように、攻撃のシナリオを自分で組み立てて攻略できるのは非常に楽しいです。

もちろん、その知識は守る側にもいかせていて、プロダクトの担当者に「この攻略に対してはこんな対策が有効です」とお伝えして感謝されることもあり、これは診断業務ならではの経験だと思います。

とにかく技術好きなメンバーが集まったチーム

セキュリティ診断チームのカルチャーや、メンバーの特徴などを教えてください。

瀧沢

現状、セキュリティ診断チームはメンバー3人と非常に少ないので、カルチャーと言えるものはあまりないかもしれないです。3人とも個性豊かでいい意味でバラバラですね。全員共通しているのは、とにかく技術好きな人、どういう仕組で動いてるか興味がある人、というところです。

徐

新しいものと勉強好きな人が多いかもしれないですね。毎年新しい技術が出てくるしそれについていくにはいつも勉強する姿勢じゃないと辛いので、みんな少し時間ができたらいつも何かを研究している事が多いです。そしてもう一つの共通点と言えば、物を違う角度から見るところじゃないでしょうか。メンバーが全員AB型なのもその一つかもしれないです。

髙村

チームとしては人が少ないので、一つのアプリを1人で見るのも結構な工数がかかってしまいます。そのため、一つのアプリを三者三様、いろんな視点から攻めることによって、こんな攻略もあるね、という気づきをみんなで得ながら進めるスタイルをとっています。いわゆるダブルチェックに近いイメージです。

定期的な話で言えば、週に2回話し合う場を設けていて、それ以外ではslackでコミュニケーションをしながら、ここが怪しいから1回集まろうか、などとラフな感じでやってます。

セキュリティ診断チームでは一緒に働く仲間を募集しています

どんな方に来ていただきたいですか？

瀧沢

セキュリティの分野は、先述したように境界がないのが特徴なので、色々な技術や仕組みに興味がある人に来ていただきたいですね。

徐

グリーでリリースされるサービスを誰よりも最初に触れる仕事なので、新しい事が好きな人、新しい技術が好きな人、そして誰よりも早く脆弱性を見つけて見たい方もぜひ応募していただけたらと思います。

髙村

公に言っていいのかわからないのですが(笑)、とにかく攻撃に興味がある人がいいのかなと思います。

攻略するにあたって、ソースを読み込むなど、とにかく泥臭いことをやる必要があるのですが、一つひとつ進めていく感じが、ゲームをクリアした時の「やったぜ！」みたいな達成感と似ているんですよね。

それが実際にできたときの爽快感というか、”してやったり感”みたいなのがあって、攻略が好きな人やパズルを解くのが好きな人は、はまるんじゃないかなと思っています。

瀧沢さんは社内公募制度で異動されたと伺いました。異動後はどのようにチームの中でインプットがなされたか、またもともとどのような技術を持っていて、それがどういきたのか教えてください。

瀧沢

とりあえずやってみようということで、ノルマとかは一切なく時間をかけて色々調べて、学ぶ時間をいただきました。それに加えて、部の業務をある程度把握するために、診断以外のチーム（インフラ周りのチームや、法務系ルールの相談をやっているチーム）を回らせていただいて、チーム内のみならず、部全体の仕事を一通り吸収させていただきました。

技術の話については、もともと学生時代にCPUをFPGAで作成していましたし、OSなどにも興味があって、フレームワークなどは一切使わずにHTTPのサーバーを書いたこともありました。また、異動前はウェブアプリメインの開発担当だったので、ウェブアプリの知識はあり、それが解析に役立ちました。追加で必要になった技術としては、デバッカーとかアセンブリ言語ですね。

最後に、応募を考えている方に一言お願いします！

瀧沢

最近新しい知識が身についてないなと感じたり、開発以外の道も見てみたくなったりした方は、ぜひお話を聞くだけでもよいので、来ていただければと思います！

徐

デジタル化が進む中、IT業界でもセキュリティの重要性は高まっていますので、少し違うキャリアを積んでみたい方、ぜひ応募して頂ければと思います。

ちなみにチーム内ではAB型が多い方ですが、AB型じゃなくても良いので血液型問わずぜひ応募してください。

髙村

セキュリティの分野に限ってではないですが、人材不足が叫ばれていますが、セキュリティの知識は、強力な自分の武器になると思っています。少しでもセキュリティに興味がある方は、是非ご応募お待ちしております。特に攻撃者の視点やハッカーなどの知識に興味があって、やってみたいなとか学んでみたいなという方、大歓迎です！