こんにちは。人事部のびんです。今回は、恥ずかしながら私の同期に当たるメンバーにインタビューしてきました。
2013年に新卒入社した河村辰也は、情報セキュリティーを専門に扱う組織「CSIRT(Computer Security Incident Response Team)」を入社から2年後にSansan内で立ち上げました。彼とは、入社したばかりの当時、お互いにまだ独身の身だったこともあって、夜遅くまで飲み明かしたこともしばしばありました。そんな私生活でも仲良くしている彼に改まってインタビューするのは、気恥ずかしい気持ちもありましたが、彼の仕事に対する姿勢やCSIRTでの仕事、やりがいなどについて話を聞きました。
プロフィール
学生時代
セキュリティーの話題には事欠かなかった
内定者時代、初めて出会った私は、常に落ち着いていて、大人の振る舞いをする彼に対して、正直なところ同期であることを疑っていました(笑)。そんな同期とのインタビューは、和やかなムードの中、進みました。
同期入社して、こんな日を迎えるとは思わなかった(笑)。まあ、そんな話は置いといて、まずはこの記事を読まれる皆さんへ自己紹介をお願いできる?
では、改めて(笑)。Sansan-CSIRTでCISO補佐とスレットリサーチャーを務めています、河村辰也です。私は中学卒業後、高専(高等専門学校)に進学し、情報系の学科でソフトウエアなどを作っていました。その後は、大学院に進み、セキュリティー技術を習得しました。2年間の大学院生活を経て、2013年4月にSansanへ新卒入社しました。河村は高専出身で高い専門知識を持っているイメージが強いけれど、そもそも高専に進学したのはなぜ?
小学生の頃に書道教室に通っていたんだけど、その教室の先生が「新しくパソコン教室を開くから見学してみれば?」と誘われて、そこに行ったのがきっかけ。教室自体にはすぐに飽きてしまったんだけど、そこに出入りしていた先生の友人が当時IBMの社員だったらしくて、彼も高専出身で、高専の魅力をいろいろと語ってくれて。そこで話を聞いているうちに自分も行きたくなったんだ。高専に入学してからは、一般の高校と変わらない一般教養の授業を受ける一方で、プログラミングや電子回路、電気回路に関する授業を受けていたね。セキュリティーに関する知識も高専時代に身に付けたの?
いやいや、当時はセキュリティーの授業なんてなかったよ。ただ、情報系に関する専門性の高い授業を受けていると、「友達のパソコンを乗っ取ってやろうぜ!」なんていう冗談まじりの会話は、クラス内では日常茶飯事だった。だから、日常的にセキュリティーの話題は、意識せずとも回りで飛び交っていたね。 そんな環境を経て、自分自身としてもただモノを作るだけではなくて、そこに一本軸が欲しかったこともあって、大学院に進む時にはセキュリティーの分野を専攻することにしたんだ。どこへ行こうか迷ったけれど、いろいろな大学院を見比べて、最終的には情報セキュリティ大学大学院に進学することに決めた。その大学院を選んだ決め手は何?
他の大学に比べて、セキュリティーに関する情報量の多さに魅力を感じたことが理由。情報セキュリティ大学大学院では、技術からマネジメントまで、サイバーセキュリティーをトータルで学べるから、周りにはKDDIやNTTといった企業で働く現役社員の方など、第一線で活躍している社会人がたくさんいたんだ。事実、通っていた研究室では社会人ではない学生は、自分だけだった。研究室で話す会話の内容も実践的で、とてもいい刺激になったんだ。そのおかげで、大学院にいた2年間はセキュリティーについて本気で学ぶことができたと思う。Sansanで働く社員の前向きな姿勢に魅力を感じた
かなり充実した大学院生活を送ったんだね。就職活動の方はどうだった?
求人サイトにエントリーして、会社訪問も何社かしたよ。就活を始めた当初は、大手のIT企業に目を付けていたんだけれど、会社訪問や説明会に出席するたびに「自分が求めているものとは少し違うな」と違和感を感じて、そこから180度振り切って、ベンチャー企業で働くことを目指すことに決めたんだ。 ただ、ベンチャー企業といっても見た企業の規模は大小さまざまで、求人サイトで募集をかけていない会社も多かったと思う。高専時代に参加した勉強会で運良く10社ほどのベンチャー企業から名刺をいただいていたこともあって、一社一社に直接電話をかけて、新卒の募集をしているかどうか確かめたりもした。−その中に、Sansanの名刺があったというわけだ。
Sansanからも名刺をもらっていたけれど、電話はかけなかった。ウェブサイトで新卒募集をしていたから、ウェブサイトからエントリーして説明会に行ったんだ。たくさんのベンチャー企業がある中で、Sansanに入社した理由は?
最終的に決め手になったのは、働く社員の人柄だね。いろいろな会社で面接を受けたけれど、自分にはどこもパッとしなかった。その点で、Sansanは社員一人ひとりが情熱を持って仕事に取り組んでいると感じられたし、とても前向きな印象があって、「ぜひ一緒に働きたい!」と思ったんだ。でも、河村が入社した2013年当時は、まだCSIRTのようなセキュリティーに関する部署はなかったはず。エンジニアとして新卒入社したこと、業務内容に不安や不満はなかった?
技術は、後からでも付いてくると思ったんだ。それよりも、働いていて楽しいと思える会社であることの方が自分にとっては重要だったんだ。技術なんて、5年から10年も経てば様変わりするし。それに、セキュリティーだけに興味を持っていたわけではなくて、アプリの開発にも興味があったから、開発を担当しながら平行してセキュリティーもいつかできるんじゃないかなって考えていた。入社後から現在まで
社員の生産性を意識しながら、万全なセキュリティー対策を
河村が担当する「新入社員向け情報セキュリティ研修」。Sansanに入社した全員が対象です。
実際に入社して、最初に配属されたのはSansan事業部プロダクト開発部だったよね? 当時はどんなモチベーションで仕事に取り組んでいた?
法人向けクラウド名刺管理サービス「Sansan」の開発責任者である藤倉さん(現在は、CTOを務める)の下で働けるのが、すごく嬉しかったことを覚えている。見た目は金髪で強面だけど(笑)、仕事に対してストイックで学ぶべき点がたくさんあったんだ。当時は、主にフロントエンドの開発を担当していたんだけど、夢中になって仕事していたよ。入社後3年目にして、セキュリティーの部署に移ったよね?
そうだね。ただ、いきなりセキュリティー関連のことを担当するようになったわけではないんだよね。実は、入社1年目から趣味でセキュリティーに関する情報を社内のSNSにアップしていたんだ。それを見た社員の方が声を掛けてくれて、プログラムの開発をする一方で、セキュリティー関連のことにも取り組んでいたんだ。 ただ、それも数年続けていたら、だんだんと開発とセキュリティー関連の業務を両立させるのが難しくなってきて、このままではどちらも中途半端になるという危機感もあったんだ。また、自分自身にも結婚などのライフイベントがあったので、それを機に自分の領域をセキュリティーに絞ることに決めたんだ。それでCSIRTを自ら立ち上げたんだね。河村の行動力には頭が上がらないよ。ちなみに、CSIRTがどんな組織なのかを改めて説明してくれる?
CSIRTは「Computer Security Incident Response Team」の略で、例えるなら情報セキュリティーに関する組織内の“消防団”といったところかな。日本では、2007年に日本シーサート協議会というという組織が設立されて、そこから徐々に国内企業にも普及し始めたんだけど、SansanがCSIRTを立ち上げたのは、2015年4月だね。具体的に、どんなことをしているの?
Sansanでは、ウイルス対策はもちろんのこと、Webフィルタリングやワイヤーロック、プライバシーフィルターなどを実施しているんだけど、それらのメンテナンスや社内外からの相談に対応するのが、主な仕事。また、セキュリティータスクフォースという、各プロダクトの開発部門や社内システムを管理する部門のエンジニアが所属する仮想組織を設けて、各メンバーと社内のセキュリティーに関する進捗確認も行っているよ。
情報セキュリティーに関する豊富な知識や自身の役割にプライドを持つ河村。セキュリティーと利便性のバランスを常に考えているそうです。
開発とセキュリティーに取り組んでいた頃に比べて、集中して業務に取り組めるようになったんじゃない?
正直、仕事内容が絞られたようで大して変わっていないんだ。むしろセキュリティー業務に専念することでやることが広がった感じがする。例えば、業務をより効率化させるためには、開発時代にやっていたコードを書かなければいけないし、その一方で法務対応の作文もしなくてはいけない。さらに、CSIRT運用のための長期目標も立てなくてはいけないし、やることは限りなくある(笑)。 でも、やることが広がって増えたということは、良い意味でCSIRTという組織が社内外で認知されてきたということになるから、嬉しいことではあるけどね。今は、自分を含めて四名体制で組織を動かしているよ。「Sansanのカタチ」ではPremiseとして、「セキュリティと利便性を両立させる」と掲げているけれど、業務を遂行する上で意識している?
もちろん、めちゃくちゃ意識している。こちら側としては、ガチガチにセキュリティーで固めた方が圧倒的に楽だからね。でも、それではエンジニアをはじめとして、社員が何かのツールを使いたくても自由に使えなくなってしまうことになって、結果的に会社としての生産性は高まらなくなってしまう。だから、セキュリティーと利便性の塩梅をいつも気にしている。今後のビジョン
攻めのセキュリティーで、大切なプロダクトを守りたい
プライベートでは、一児のパパである河村。仕事も子育ても妥協しない、そんな彼の姿勢にいつも刺激を受けています。
ちなみにSansanのメンバーからはセキュリティーに対する意識の高さみたいなものは感じる?
「名刺」という個人情報を取り扱っていることも大きいとは思うけど、社員のセキュリティーに対する意識は高いと思う。理解も示してくれるし、CSIRTとしてはとても仕事がしやすいよ。今後の課題は?
人への教育面はもちろんのこと、技術面でもやれることはまだまだあるので、それらを一つずつクリアしていくことが当面の目標かな。ただ守るのではなく、攻撃者の視点に立って見ることで、セキュリティー上の弱点を理解した上で守っていく。そんな攻めのセキュリティーを目指しているよ。 エンジニアをはじめ、社員みんなで作り上げた大切なプロダクトだから、壊されるわけにはいかない。日々チャレンジの連続だけれど、入社して以来、今が一番やりがいが感じられて楽しいんだ。2013年新卒入社メンバーとして、これからもお互いに頑張っていこう!
もちろん! 末長くよろしく!
インタビュー後記
今回は、私と同期ということもあり、自己紹介以外は普段通りの口調でかしこまらずに話してもらいました。彼にインタビューを申し出たのは、河村が所属するCSIRTという組織について、改めて彼の視点から語ってもらいたかったことが理由です。
インタビュー中は、気恥ずかしさがあったものの、こうして同期に改めて話を聞くような機会は初めてだったので、なんだか新鮮でした。話を聞くまでは、CSIRTを立ち上げたことで、彼の業務内容は絞られたかと思っていましたが、逆に広がってさまざまな業務を対応していることには驚きました。
「情報セキュリティー」と聞くと、一般的には「守り」のイメージが強いのですが、それだけでは不十分だということ、そして大切なプロダクトを守るためには「攻め」の姿勢も必要だと話す彼を同じSansanのメンバーとして誇らしく思いました。
interview & text: 人事部 伊東敏(びん) text: 長谷部美佐 photo: 山平敦史
