こんにちは！人事の小高です。

前回の記事よりお時間空いてしまいましたが、今後は現場メンバーにフォーカスしたパートナーインタビューを定期的に発信していきたいと思います。
※弊社では社員のことをパートナーと呼んでいます

記念すべき1人目は、GMOサイバーセキュリティbyイエラエ（以下、GMOイエラエ）に入社してから2年、Webアプリケーション診断部門の課長としてマネジメントに関わる篠宮さん。非常に高い技術力を持つ彼ですが、キャリアの最初からセキュリティに携わっていたわけではありません。新卒ではSIerで社内SEをしていた彼が、セキュリティの世界に入るまでの道、そしていかにしてWebアプリケーション診断士としてのキャリアを築いてきたのかに迫ります。

篠宮 一司
アセスメントサービス部　診断一課　課長　
1社目はSIer企業で社内SEを経験。2社目でWebアプリケーション診断に関わった後、2022年4月にWebアプリケーション診断士としてGMOイエラエへ入社。2023年4月からは課長として教育や業務改善プロジェクトにも従事。

なんだか楽しそう。偶然の出会いが導いたセキュリティへの道

―まず、篠宮さんのこれまでのご経歴と現在の業務を簡単に教えてください。

これまでに2回の転職を経験していて、GMOイエラエは3社目です。1社目はSIerでの社内SEで何でも屋的な立ち位置でした。システム開発だけでなく新人研修も行いましたし、プロジェクトが炎上した時に助けに行くなど、社内の困りごとを幅広く解決していました。​​その日々のなかでセキュリティに興味を持ち始めたんです。ちょうどその頃、社内でセキュリティインシデントが起きた際に対応するための部署の立ち上げがあって、そこにジョインしました。そこで簡単なセキュリティ診断も行ったのち転職しました。

2社目はセキュリティベンダーでした。Webアプリケーション診断やプラットフォーム診断など幅広く診断に取り組みつつ、開発プロセスやコンサルティングにも携わりました。そこで4年ほど経験を積んだのち、GMOイエラエへ転職。

GMOイエラエに入社して1年間はWebアプリケーション診断士として従事しました。現在は課長として、​メンバーの案件調整や顧客との間に入って折衝する調整業務を主に行っています。そのほかにも、サービスの企画・開発、業務改善、新人研修や採用にも携わっています。

―セキュリティに興味を持たれたのは何がきっかけだったのでしょうか。

きっかけは1社目で行った社内の勉強会のネタ探しでした。最初は正直セキュリティにあまり興味はなかったんですが、ネタ探しで見つけたとある動画でセキュリティの話をしていたんです。それがすごく楽しそうで。「こんなにも楽しそうに話すくらいセキュリティって面白いんだな」、「なんか楽しそうだな」と感じたことからセキュリティに興味を持ちました。

それを機に自分で調べたり、それを勉強会で発表したりするようになりました。ただ、セキュリティは開発側からするとめんどうくさいんですよね。そしてお金がかかる。なのにやっても褒められない。インフラだから当たり前だと思われてしまうわけです。現在は状況が変わってきましたが、私が興味を持ち始めた頃は特にそんな感じだったんです。でも、私自身は面白いと感じていたし、大切なことでもあるので、もっと楽しく広めていきたいと思うようになりました。それと同時に、他にやる人がいないなら自分がやりたいという想いも芽生えていました。

そして先ほどもお話ししたように、タイミングよく立ち上がることになったセキュリティのチームに自ら手をあげて参加しました。ここでは、社内の開発プロセスにおいてセキュリティを考える上で、どの工程で何をするべきかのガイドラインを作ったり、実際に危険性がないかを確認したりしていました。そして1年ほど携わったのち、セキュリティにより本格的に携わるべく転職しました。

―そこではじめて本格的にセキュリティに関わることになったわけですが、業務はどのように覚えていきましたか。

2社目は大きいグループということもあって、診断でやることのレギュレーションがきっちり決められていました。私は本格的にセキュリティに関わるのがはじめてだったこともあって、資料化されたレギュレーションをとにかく覚えることからスタートしました。

メンターも伴走してくれていたので、一連の作業をメンターと一緒に作業して、結果を見比べることで学ぶことも多くありました。このように半年ほどはとにかく学ぶことが中心でした。入社から1年経つ頃には新人研修に携わるようになりました。そこでようやく独り立ちできたことを感じましたね。そして4年ほど働いたのち、GMOイエラエに転職して今に至ります。

―GMOイエラエへの転職を考えられたのはなぜだったのでしょう。

転職先を検討するにあたって、技術の頂点でありレベルの高い人がたくさんいるイメージだったGMOイエラエのことが真っ先に浮かびました。小規模から大手まで色々なお客さんがいることも魅力的で、ぜひ入社したいと思い応募しました。とはいえ、入社できるとは思っていなくて記念受験的な意味合いで受けたんです。内定をいただいた時はうれしさ半分驚き半分でした。

入社後は、最初のひと月くらいはどのように診断をしているのかを一緒に案件に入って実体験させてもらいました。それが終わると早速独り立ち。業務そのものの変化はさほどなく、診断に取り組む日々でした。

入社半年経った頃からは診断のほか、研修やメンター的な立場で診断を教えたり、課を跨いだ業務改善プロジェクトのリーダーをしたりしてきました。

Webアプリケーション診断士として必要なこととは

―セキュリティの道を極めてこられたわけですが、改めて実際の業務や他の診断との違いを教えていただけますか？

Webアプリケーション診断は健康診断に近くて、網羅的に何か悪いところがないかを探していきます。例えば、病院で健康診断を受けると「どこか悪いところがないか」いろんな検査をしますよね。その結果を総合評価（A~Dなど）と注意すべき点や対策として教えてくれますよね。こちらに非常に似ています。

また、総合的な健康診断に近いWebアプリケーション診断に対して、ペネトレーションテストは「顧客データベースに不正アクセスできないか」といったある特定のテーマを設定して、それに対してセキュリティの強度を確かめていくものになります。

Webアプリケーション診断の場合は顧客のニーズも「なにかダメなところがないか知りたい」と非常にざっくりしています。しかし、結果をお渡ししてもただ悪いところを並べるだけでは何をすればいいかわかりません。診断の目的は行動を促すことなので、行動できるように優先順位をつけて報告書を出さなくてはならないですし、その上でこの順番で取り組むべき理由を、わかりやすく伝える必要があるんです。逆にペネトレーションテストは目的が決まっているため、特定のリスクに対して顧客が対策できているかどうか診断し、結果に関してもそこに対してどうだったか、ピンポイントな報告書になります。

このように同じセキュリティでもニュアンスが全然違います。

―やはり同じセキュリティでも違いがあるんですね。ちなみにWebアプリケーション診断/脆弱性診断やペネトレーションテストなどのスキルの違いも教えてください

ペネトレーションテストでは特定のことを追求する粘り強さが求められますが、Webアプリケーション診断では全体を俯瞰しつつ網羅的に見るスキルが求められます。技術は覚えればいいですが、どういうゴールに向けて取り組むのか、そもそものスタンスが異なります。

そういった意味では、スキルの違いというよりは目的やスタンスの違いを理解し取り組めるかどうかのほうが重要だと考えています。

よく「ペネトレーションテストのほうが難易度が高いのではないか」、「Webアプリケーション診断士を経てペンテスターというキャリアが多いのではないか」と聞かれることがありますが、決してそんなことはないと考えています。しかし、確かにGMOイエラエのペネトレーションテストはかなり技術力が求められるため、難しいという印象を持たれているのかもしれません。

―スキルの優劣というよりは、スタンスの違いなんですね！ちなみに、これまで2社でWebアプリケーション診断を行ってきたわけですが、他社とGMOイエラエの違いはありますか？

特に違いを感じたのは深堀の度合いですね。診断には必須で確認しなければいけないラインがあって、その先はプラスαです。それを深く深く追求していく人が多いなと感じます。「こうやったらもっとうまくいくのではないか？こういう回避策があるのではないか？」といい意味で旺盛ですね。

これはきっと、GMOイエラエのエンジニアたちの技術力やモチベーションの高さにより実現されていることですね。前職だけではなくて、他社さんと比較してもGMOイエラエの強みだといえる点だと思います。

また、顧客目線でいうとやはり技術力の高さはGMOイエラエの特徴のひとつだと感じます。診断の際はツールを使用することがありますが、手操作は人に依存することもあります。行動力が高く、回避策の手数が多いのは技術力の高さ故と感じます。

とにかく手を動かしてアウトプットすることでスキルを身につける

―篠宮さんは高い技術力はもちろん、非常に優れたヒューマンスキルもお持ちだと感じます。その能力はどのようにして身につけられたのでしょう。

技術はとにかく自分で手を動かすことで学びました。業務中はもちろんプライベートでも同じです。特に始めたての頃はがむしゃらに取り組みましたね。そうすることで自分ができていないことがわかって、それを強化することができます。

もう1つ大切にしていたのがアウトプット。自分が身につけたことを教えるのは技術を高める上で大切です。自分で理解していないと教えられないし、質問に回答できません。質問に答えることで自分の理解度も上がっていきました。社外で発表したりセキュリティに関する情報サイトで上位を目指したりもしました。外部での活動はGMOイエラエの技術力の高さをアピールすることにもなりますし、一石二鳥ですよね。

ヒューマンスキルは、業務で人と話すことで高めました。前職では自分がクライアントに対する窓口を担当していたので、伝え方をはじめコミュニケーションにおける多くのことを学びましたね。もともと人と話すのは得意ではなかったんですが、前職での顧客折衝を通じて、人と話すことの心のハードルも下げることができました。

クライアントに診断結果を報告する時には、自分の発表を自分で聞いて練習していたこともありました。改めて聞いてみると伝わりづらかったり「えー」のような訥弁が多かったりなどの改善点が見つかるんです。そうして自分で自分にフィードバックをしたり、実際に話した時の相手の反応を見て反省したりしながら、伝える力を磨いていきました。

診断士を増やすことで、より安全なITの世界を実現したい

―チームを率いながらWebアプリケーション診断を行う上で、大切にしていることがあれば教えてください。

次に繋げることを大切にしています。Webアプリケーション診断は、診断してもらって結果を見たらそれで終わりではありません。結果を見て次の打ち手を考えたり、他のプロジェクトに繋げたりしていただきたいと考えています。そのためには、次に繋げやすい報告書や結果を出して、気づきをお客さんに提供することが必要です。

また、結果をもとに、クライアントが社内にセキュリティ人材を増やしたり、GMOイエラエに再度診断を依頼してもらえたりできたらとてもうれしいです。お客さんを安全にしつつ、お客さんの次のプロジェクトも安全にしたいと考えています。

そして次に繋げてもらいたいのは、クライアントだけではありません。メンバーにも、きちんと次に繋げてほしい。その想いから、別の機会に活かせるように診断結果や困ったことを残してもらっています。

―今後どのようなキャリアを歩みたいと考えていますか。

まだふわっとしたビジョンなのですが、まずはメンバーをどんどん育てていきたいと考えています。そして診断士を増やすのが当面の目標です。クライアントの社内に診断士がいるのもいいなと考えています。

私はセキュリティの問題が起きる原因は、攻撃に関する知識の差だと思っているんです。攻撃者より劣っているから攻撃されてしまうのだと。つまり全員が強くなれれば、攻撃もされないわけです。「全員が診断士レベルになれば、安全な世界になるのでは」という理想を持っています。そのためにはセキュリティレベルの底上げが不可欠。優秀な診断士を増やすための仕組みづくりやサービスづくりをしていきたいです。

―最後に、篠宮さんのように開発エンジニアからセキュリティ診断士になろうとする人へ、メッセージをお願いします。

まず、開発者としての経験は非常に役に立ちます。開発手法やプログラムの中身がわかるので、どんなふうに攻撃されるのかを想像しやすいという強みがあります。また、クライアントの動きや感情も理解しやすいため、よりクライアントに寄り添った提案ができます。

セキュリティは面白いし、社会的に意義の大きい仕事でもあります。安全を実現するために診断士を増やすことは大切だと考えているので、挑戦したい方は大歓迎です。ぜひ勇気を持って、セキュリティの世界に飛び込んでいただきたいです。

篠宮さん、インタビューのお時間をいただき、ありがとうございました！
篠宮さんのこれまでのご経験と「診断士を増やしたい」という強い思いが伝わってきました。

GMOイエラエではセキュリティ経験者はもちろん、開発経験を活かしてWeb診断に挑戦したいという方も歓迎しています！より安全なITの世界の実現に向け挑戦していきたい方のご応募お待ちしております！