自分の興味関心を社会につなげてくれる場所

ユービーセキュアで働く一人ひとりのストーリーと本音に迫る連載「だから、ユービーセキュア。」。今回はプロダクト事業本部 プロダクト開発部で診断ツールの開発に従事する生井 絢也さんに語っていただきました。

生井 絢也

プロダクト事業本部 プロダクト開発部

2017年新卒入社。脆弱性診断やペネトレーションテスト業務を経て、現在は攻撃手法のツール化を目指す開発事業に挑戦中。趣味は美食、OSINT CTF、英語と中国語の学習。

私は現在、Webアプリケーションの脆弱性検査ツール「Vex」の開発に携わっています。

でも、学生時代から情報セキュリティを専門としていたわけではなく、大学では物理学を専攻しました。物理に興味を持ったのは、予備校の先生の影響です。日常の身近な出来事と物理学がどうつながっているかや、物理の歴史などをわかりやすく話してくれる人だったので、物理で世の中の問題を解決できたら面白いなと。

就活の時期を迎えると、「世の中に求められる仕事がしたい」と考えるようになりました。社会にとって、何年経っても変わらずに需要があり続けるものってなんだろう──そんな軸でいろいろな業界をみているなかで、「セキュリティ人材が不足している」というニュースを目にしました。

ここかもしれない。企業の活動も人の暮らしも、「安全」なしでは成り立たない。安全・安心をつくり、担保するセキュリティという技術はきっと進化し続けて、今後も世の中にとって不可欠なものであり続けるだろう。そこで業界を絞り、出会ったのがユービーセキュアです。野村総合研究所のグループ企業であり、大手資本に認められている技術があるという点が、入社の決め手になりました。

入社後は約3年間、セキュリティ診断の実施担当者として、Webアプリケーションの診断とプラットフォーム診断の両方を幅広く手掛けてきました。4年目以降は、サービスのオーナーとして診断サービスの開発や設計、提案も経験。大規模な診断プロジェクトのマネジメントを担う機会も増えていきました。

特に印象に残っているのは、大手総合商社のお客様に対してAttack Surface調査を行ったプロジェクトです。物量が膨大でありながら、高い技術品質も求められる状況。「ミスは許されない」という緊張感と責任感のなか、調査項目や調査手法を決めるところからプロジェクト全体を設計しました。

プロジェクトを進めるうちに、ルールが明確になっておらず暗黙知化している部分が多々あることがわかってきました。この状況では、いつどこでミスが起こるかわかりません。どうにかしなければと思い、自分で手も動かしながら、一つずつ手順を整えていきました。地道な作業ではあるのですが、これが思いのほか楽しくなってきて。プロジェクトマネジメントは自分に向いているのかも、と思いました。

セキュリティは「守り」の技術ですから、正直にいうと、派手ではないし、地道な作業も多いです。そんななかで一番うれしいのは、やっぱり自分たちの技術や仕事ぶりでお客様が喜んでくださることですね。診断の担当者はお客様の反応が直接見えるポジションですから、相手の役に立てていると実感したときにやりがいを感じます。

例えば、脆弱性診断に欠かせない結果報告の場面。見つかった脆弱性を報告するのは、いわばお客様のシステムの“隙”を指摘するようなものです。お客様からすると対策の手間も増えるので、だいたい皆さん微妙な反応になりがちです。「その脆弱性は、本当に対策が必要なほどのものですか？」なんて問い詰められることも……（笑）。そういうときは、お客様のご意見をうかがいつつ、専門家としてできる限り冷静に、客観的に事実をお伝えしています。その結果、最終的には対策の必要性をご理解いただいて、「助かりました、信頼してよかったです」と一言。この仕事をしていてよかったと感じる瞬間ですね。

診断の経験を経て、約半年前にWebアプリケーションの脆弱性検査ツール「Vex」の開発チームへ異動しました。

異動のきっかけは、開発の仕事に本気で向き合ってみたいと思ったからです。診断業務でサイバー攻撃の手法を学んでいると、プログラミングのコードが頻出します。そこで複雑なコードもちゃんと読み解けたら、攻撃手法についてより深く理解できるのに……ともどかしさを感じていました。さらにその知見を診断業務に反映できれば、ユービーセキュアとしてより高い価値を提供できるはず。その結果、世の中にさらに求められる仕事ができると思うと、キャリアの軸足を移す覚悟ができました。こうした想いを当時の上司に伝えると、前向きに受け止めてくれて、背中を押してくれました。

診断業務に比べて「お客様との距離」は遠くなったかと思いきや、実はそうでもありません。ユービーセキュアではVexを使った診断サービスも提供しているため、自分が開発するツールのユーザー（診断チームの社員）がすぐ隣の部署にいるからです。

ツールの使い勝手や機能に関するのフィードバックが、リアルタイムに聞こえてくる。そんな環境にちょっとした緊張感もありますが、ユーザーの率直な声を製品開発に組み込みながら品質を磨いていける開発環境は、唯一無二の魅力だと思います。

診断実務を経たからこそ、開発業務で発揮できることもあります。これまでさまざまなお客様のシステムを診断してきた経験から、「実際どんな脆弱性がどのくらいの頻度で見つかるものか」といった現場の肌感覚を共有することで、機能開発の優先度や重要性の意思決定に貢献できています。

仕事をするにあたって一番大切にしていることは、「相手目線で考える」ことですね。お客様はどう考え、どう感じているのか？この提案をしてくれた同僚は、どんな知識をベースに、なぜこれを考え出したのか？──いろんな人の目線に立ってみると、普段の自分と異なる考え方が見えてくるからです。

この仕事においては「攻撃者の目線」も重要になります。AI活用などによってサイバー攻撃の手法はますます進化していますが、それに伴ってセキュリティ対策の水準を高めようとすると、どうしても先進的で複雑な攻撃に目が行きがちになります。

でも、実際には意外と初歩的な部分に落とし穴があることが多いんです。攻撃者の目線に立って初めて、「あえて難しいことをしなくても簡単に攻撃できる隙がある」ことに気付きます。この気付きが“現場に即したツール”をつくることにもつながると思うので、やっぱり目線を変えて考えることって大事ですよね。

今後のキャリアについては、まだ悩んでいるところです。ただ、診断×開発という2つの軸を持てたことで、選択肢が広がったことは確かだと思います。このままエンジニアとして開発を突き詰めていくのか、診断業務に戻るのか。仕組みや手順を整えるのが好きなので、マネジメントに携わっていく道もあると思っています。もしかしたら「全部やるスーパージェネラリスト」を目指すのもありかもしれない。

いずれにしても、ユービーセキュアは自分の興味関心で突き詰めたことと世の中のニーズをつなぎ合わせて、社会に役立つための舞台を与えてくれる場所だと思います。「これ面白いな」と思ったことが、世の中に求められる仕事になる。そんな喜びを感じながら、日々仕事に向き合っています。