はじめに自己紹介と、Sansanに入社したきっかけを教えてください。

前職ではSIerでネットワークセキュリティエンジニアとして、サーバーや技術営業、コンサルタントと幅広い業務を従事してきました。その後転職を考え、はじめはコンサル業界を志望していたので、Sansan株式会社はまったく候補に入っていませんでした。
ただ、役員の常樂との出会いで、Sansanに興味をもつことになりました。彼から「Sansanでもコンサルティングができるよ」と言われたんです。
詳しく話を聞くうちにSansanではコンサルティング以外にも幅広い仕事ができることがわかって、自分に合っているのではと感じるようになりました。
僕はどちらかというと、ひとつのことを掘り下げるよりも、いろいろなことを幅広く知りたいタイプなので、ここならやりたいことが実現できるんじゃないかと思ったんです。ただ、自分がベンチャー企業に入ることには抵抗がありました。

それはなぜですか？

前職でコンサルタントをやっていたときに、いろいろな会社を見ていて、ベンチャー企業はセキュリティや、いわゆる情報システム部が担う業務は外部に委託し、管理だけをしているケースが多かったんです。そんな勝手な先入観で「ベンチャー企業のエンジニアの技術力はあまり高くないだろう」と思っていたんですね。
ところが面接でSansanのCSIRTのメンバーと話した瞬間、自分の認識が間違っていたことに気付きました。技術面が心配どころか、自分より知っているじゃないか！と思い、希望していたコンサルティングファームに行くよりもここに入ったほうが勉強になるかもしれないと入社を決めました。

実際に入社してどうでしたか？

面接の時に感じた「こんなことまで知っているんだ」からさらに進んで「ここまでやっているんだ」と驚きました。例えば、最近よく聞くコンピュータやネットワークの構成に依存しない、新しいセキュリティ技術「ゼロトラストネットワーク」にしても、流行りのワードを口先だけで言ってるのかと思いきや、Sansanは実際に動いていたことにも感心しましたね。
あとは入社前、もっとも懸念していた「働く環境」についての不安も解消されました。前職では、出社するのは月1程度だったんです。だから、毎日同じ場所で仕事をすることをイメージできなかったんです。
それが、Sansanの社風は自分にとても合っていて、働きやすい環境だと感じました。

どんなところが合っていたのですか？

仕事柄、役員とも話す機会が多く、気軽さと言ったら語弊があるかもしれませんが、役員や上司とさまざまなことを話し合える空気感があります。また、年齢に関係なく、仕事内容がきちんと評価されることも僕には合っていました。
CSIRTのメンバーは、技術の高さはもちろん、人間性が素晴らしいです。Sansanに入って一番良かったことは人に恵まれたことかもしれません。誰かが困っていたら皆で手伝い、私は関係ないという態度の人が誰もいなくて、まるで兄弟みたいな関係だと思っています。コンサルタントとして、いろいろな会社を見てきましたが関係性の良さは自信をもって言えますね。
CSIRTには、インシデントに対応するという重要な業務があります。通常は「教育・監査」と「SOC（Security Operation Centerの略）」のチームに分かれて仕事をしていますが、インシデント発生時には、どこのチームだろうが関係なく連携して対策しなくてはなりません。普段から、助け合える関係性があることは緊急時の連携にもいい影響があるのだと思います。

毎日の業務ではどのようなことをしていますか？

CSIRTの教育・監査のチームリーダーとして、新しくジョインしたメンバーから役員まですべてのメンバーにセキュリティに関する教育を行っています。セキュリティにおいて最大のリスクは人の脆弱性なので、人的なミスを防ぐ意味でも教育は重要だと思っています。
といっても、メンバーそれぞれITリテラシーも違いますから、全員を同じように教育することは不可能です。誰に対して、どういうテーマで教えるのか、対象となる人が変わればそれぞれに対応して考えなくてはなりません。そのためには教育対象となる人の仕事内容をきちんと把握している必要があります。

その人のリテラシーレベルや仕事内容に合った教育をするということですね。

これは教育だけでなく、監査についても同じことが言えます。監査では、誰を対象にするかで質問内容も変わってきます。相手がエンジニアだったとして、インフラなのかモバイルなのかによっても質問は変わりますし、相手の仕事内容をきちんと理解していないと的確な質問はできません。
その人がどんな仕事をして日々何に向き合っているのか、技術的なことも同等に理解していないと一歩踏み込んだ話ができませんし、会社全体の仕組みを知っていることがとても重要なのです。
もちろん最初から知っている必要はなく、日々勉強して少しずつアップデートしていけばいいと思います。やり方にしても1人で突き詰めるのではなく、わからなければCSIRTのチームメンバーに教えてもらえばいいし、僕も人の助けを借りて学ぶことが多々あります。

冒頭、物事を幅広く知るのが好きだとの話がありましたが、その資質は監査の仕事に必要だったんですね。

知るだけではなく、それをもとに監査対象人と円滑なコミュニケーションを図ることも重要なポイントです。例えばこちらが偉そうな態度でいろいろと質問しても、相手は答えてくれませんし、相談したいことがあっても言いにくくなってしまいます。
問題の種を拾って課題を見つけるためには、相手が話しやすい環境を作ることが大切で、それには信頼関係が必須。僕はそういう関係が役職の上下に関係なく築けるのも、監査・教育の仕事のやりがいだと思っています。

ほかに仕事の面白さを挙げるならどんなことがありますか？

教育に関して、社内全体のITリテラシーを上げることも面白さですね。数ヶ月前まであまりわかっていなかった人が、ここまで理解できるようになったと実感できた時はとてもうれしいです。
もうひとつ、これまで誰も見つけられなかった課題を見つけられた時もやりがいを感じます。監査では人的なミスを防ぐこと以外に、プロダクトの問題や課題を見つけることも大切な役割です。もちろん、見つけて終わりではなく、それに対する対策も提案します。そして、その対策がきちんと実行されているか、進捗を把握し、解決まで見届けるのも監査の仕事です。

SansanのCSIRTが目指す、近い未来での目標はなんですか？

Sansanは「ビジネスインフラになる」をビジョンに掲げていますが、それがどれだけ速いスピードで実現に向かおうと、大きな事故が起こればそこで歩みはストップしてしまいます。CSIRTがやるべきことは、Sansanのスピードにブレーキをかけないこと。人に対しても、プロダクトに対しても、いち早く課題を見つけて対策をとり、ブレーキとなるような問題を事前に防ぐことが、私たちの目指していることです。

CSIRTの職場の雰囲気はどうですか？

非常にいいと思います。就業時には朝会を行い、週に1度は1時間半ほど時間を取り、自分の関わっているプロジェクトを共有し、相談したいことに意見をもらう時間を取っています。業務の話だけでなく、Slackで気軽に雑談をすることもありますよ。僕もCSIRTの一員として、部署内の風通しの良さや雰囲気の良さには自信をもっています。

CSIRTの監査・教育チームで活躍するのはどんな人だと思いますか？　

僕自身、監査の仕事は未経験だったので、必ずしも監査経験者である必要はないと思っています。経験の有無に関わらず、自分のことをアップデートし続けられる人と一緒に働きたいですね。
仕事では新しいことに取り組む機会も多いので、これは前例がない、あれも無理とすぐにシャッターを下ろしてしまう人は向いていないと思います。そして、先ほども言いましたが多様な職種の人と良いコミュニケーションが取れることはとても重要です。もうひとつ、僕の個人的な希望として、ポジティブな人と一緒に働けたらうれしいです。