幅広い知識とスキルで、監査と教育を行い、Sansanの成長を支える

Members
2021/06/29

こんにちは、mimi編集部です。今回は、セキュリティ統括部門CSIRTのエンジニアとして働く、シェルビンにインタビューします。Sansanのセキュリティエンジニアとして、また監査・教育チームとして日々どのような業務に取り組んでいるのか。未経験から始めた、監査の面白さや、「転職して、Sansanの社風が合っていた」と語るその理由、CSIRTのカルチャーやメンバー同士の関係性、働く環境についても聞きました。

プロフィール

Shervin Pezeshkian(シェルビン・ペゼシキヤン)
CSIRT

2020年4月にSansan株式会社へ入社。セキュリティに関する教育や内部監査、営業のためのセキュリティに関する資料の作成などを実施し、教育監査(EA)チームをリードしている。新入社員から役職者までセキュリティの研修を実施し、会社全体のセキュリティリテラシーを高め、セキュリティと利便性の両立に取り組んでいる。各プロダクトや個人が抱えている課題を監査によって見つけ、是正方法の提案、解決まで伴走している。前職ではネットワーク・セキュリティエンジニア・セキュリティコンサルタント・営業技術支援など幅広く従事。前職の経験を生かし、ビジネスインフラになるため、組織のさまざまな課題の発見や役職とわず様々な人にセキュリティをわかりやすく教えるためにSansanに入社。


ベンチャー企業への抵抗感。
働く環境が自分に合うか、不安だった

DSC04758 1440 - 幅広い知識とスキルで、監査と教育を行い、Sansanの成長を支える

はじめに自己紹介と、Sansanに入社したきっかけを教えてください。

前職ではSIerでネットワークセキュリティエンジニアとして、サーバーや技術営業、コンサルタントと幅広い業務を従事してきました。その後転職を考え、はじめはコンサル業界を志望していたので、Sansan株式会社はまったく候補に入っていませんでした。

ただ、役員の常樂との出会いで、Sansanに興味をもつことになりました。彼から「Sansanでもコンサルティングができるよ」と言われたんです。

詳しく話を聞くうちにSansanではコンサルティング以外にも幅広い仕事ができることがわかって、自分に合っているのではと感じるようになりました。

僕はどちらかというと、ひとつのことを掘り下げるよりも、いろいろなことを幅広く知りたいタイプなので、ここならやりたいことが実現できるんじゃないかと思ったんです。ただ、自分がベンチャー企業に入ることには抵抗がありました。

それはなぜですか?

前職でコンサルタントをやっていたときに、いろいろな会社を見ていて、ベンチャー企業はセキュリティや、いわゆる情報システム部が担う業務は外部に委託し、管理だけをしているケースが多かったんです。そんな勝手な先入観で「ベンチャー企業のエンジニアの技術力はあまり高くないだろう」と思っていたんですね。

ところが面接でSansanのCSIRTのメンバーと話した瞬間、自分の認識が間違っていたことに気付きました。技術面が心配どころか、自分より知っているじゃないか!と思い、希望していたコンサルティングファームに行くよりもここに入ったほうが勉強になるかもしれないと入社を決めました。

実際に入社してどうでしたか?

面接の時に感じた「こんなことまで知っているんだ」からさらに進んで「ここまでやっているんだ」と驚きました。例えば、最近よく聞くコンピュータやネットワークの構成に依存しない、新しいセキュリティ技術「ゼロトラストネットワーク」にしても、流行りのワードを口先だけで言ってるのかと思いきや、Sansanは実際に動いていたことにも感心しましたね。

あとは入社前、もっとも懸念していた「働く環境」についての不安も解消されました。前職では、出社するのは月1程度だったんです。だから、毎日同じ場所で仕事をすることをイメージできなかったんです。

それが、Sansanの社風は自分にとても合っていて、働きやすい環境だと感じました。


CSIRT内の風通しの良さ

どんなところが合っていたのですか?

仕事柄、役員とも話す機会が多く、気軽さと言ったら語弊があるかもしれませんが、役員や上司とさまざまなことを話し合える空気感があります。また、年齢に関係なく、仕事内容がきちんと評価されることも僕には合っていました。

CSIRTのメンバーは、技術の高さはもちろん、人間性が素晴らしいです。Sansanに入って一番良かったことは人に恵まれたことかもしれません。誰かが困っていたら皆で手伝い、私は関係ないという態度の人が誰もいなくて、まるで兄弟みたいな関係だと思っています。コンサルタントとして、いろいろな会社を見てきましたが関係性の良さは自信をもって言えますね。

CSIRTには、インシデントに対応するという重要な業務があります。通常は「教育・監査」と「SOC(Security Operation Centerの略)」のチームに分かれて仕事をしていますが、インシデント発生時には、どこのチームだろうが関係なく連携して対策しなくてはなりません。普段から、助け合える関係性があることは緊急時の連携にもいい影響があるのだと思います。


これまで埋もれていた課題を見つける

DSC04783 1440 - 幅広い知識とスキルで、監査と教育を行い、Sansanの成長を支える

毎日の業務ではどのようなことをしていますか?

CSIRTの教育・監査のチームリーダーとして、新しくジョインしたメンバーから役員まですべてのメンバーにセキュリティに関する教育を行っています。セキュリティにおいて最大のリスクは人の脆弱性なので、人的なミスを防ぐ意味でも教育は重要だと思っています。

といっても、メンバーそれぞれITリテラシーも違いますから、全員を同じように教育することは不可能です。誰に対して、どういうテーマで教えるのか、対象となる人が変わればそれぞれに対応して考えなくてはなりません。そのためには教育対象となる人の仕事内容をきちんと把握している必要があります。

その人のリテラシーレベルや仕事内容に合った教育をするということですね。

これは教育だけでなく、監査についても同じことが言えます。監査では、誰を対象にするかで質問内容も変わってきます。相手がエンジニアだったとして、インフラなのかモバイルなのかによっても質問は変わりますし、相手の仕事内容をきちんと理解していないと的確な質問はできません。

その人がどんな仕事をして日々何に向き合っているのか、技術的なことも同等に理解していないと一歩踏み込んだ話ができませんし、会社全体の仕組みを知っていることがとても重要なのです。

もちろん最初から知っている必要はなく、日々勉強して少しずつアップデートしていけばいいと思います。やり方にしても1人で突き詰めるのではなく、わからなければCSIRTのチームメンバーに教えてもらえばいいし、僕も人の助けを借りて学ぶことが多々あります。

冒頭、物事を幅広く知るのが好きだとの話がありましたが、その資質は監査の仕事に必要だったんですね。

知るだけではなく、それをもとに監査対象人と円滑なコミュニケーションを図ることも重要なポイントです。例えばこちらが偉そうな態度でいろいろと質問しても、相手は答えてくれませんし、相談したいことがあっても言いにくくなってしまいます。

問題の種を拾って課題を見つけるためには、相手が話しやすい環境を作ることが大切で、それには信頼関係が必須。僕はそういう関係が役職の上下に関係なく築けるのも、監査・教育の仕事のやりがいだと思っています。

ほかに仕事の面白さを挙げるならどんなことがありますか?

教育に関して、社内全体のITリテラシーを上げることも面白さですね。数ヶ月前まであまりわかっていなかった人が、ここまで理解できるようになったと実感できた時はとてもうれしいです。

もうひとつ、これまで誰も見つけられなかった課題を見つけられた時もやりがいを感じます。監査では人的なミスを防ぐこと以外に、プロダクトの問題や課題を見つけることも大切な役割です。もちろん、見つけて終わりではなく、それに対する対策も提案します。そして、その対策がきちんと実行されているか、進捗を把握し、解決まで見届けるのも監査の仕事です。


活躍するのは、日々勉強し自分を
アップデートできる人

DSC04767 1440 - 幅広い知識とスキルで、監査と教育を行い、Sansanの成長を支える

SansanのCSIRTが目指す、近い未来での目標はなんですか?

Sansanは「ビジネスインフラになる」をビジョンに掲げていますが、それがどれだけ速いスピードで実現に向かおうと、大きな事故が起こればそこで歩みはストップしてしまいます。CSIRTがやるべきことは、Sansanのスピードにブレーキをかけないこと。人に対しても、プロダクトに対しても、いち早く課題を見つけて対策をとり、ブレーキとなるような問題を事前に防ぐことが、私たちの目指していることです。

CSIRTの職場の雰囲気はどうですか?

非常にいいと思います。就業時には朝会を行い、週に1度は1時間半ほど時間を取り、自分の関わっているプロジェクトを共有し、相談したいことに意見をもらう時間を取っています。業務の話だけでなく、Slackで気軽に雑談をすることもありますよ。僕もCSIRTの一員として、部署内の風通しの良さや雰囲気の良さには自信をもっています。

CSIRTの監査・教育チームで活躍するのはどんな人だと思いますか? 

僕自身、監査の仕事は未経験だったので、必ずしも監査経験者である必要はないと思っています。経験の有無に関わらず、自分のことをアップデートし続けられる人と一緒に働きたいですね。

仕事では新しいことに取り組む機会も多いので、これは前例がない、あれも無理とすぐにシャッターを下ろしてしまう人は向いていないと思います。そして、先ほども言いましたが多様な職種の人と良いコミュニケーションが取れることはとても重要です。もうひとつ、僕の個人的な希望として、ポジティブな人と一緒に働けたらうれしいです。

Sansanのエンジニア情報サイト「Sansan Engineering」

Sansan Engineering」ではSansanエンジニアが実現しようとしているMission、信念といった軸とも言えるメッセージから、それを実現するためのプロダクト、技術、チーム、そしてエンジニアたちの熱い想い、技術スタック、働く環境といった具体的な内容まで幅広くご紹介しています。Sansanのエンジニアに興味をもった方は、ぜひチェックしてください。

engineeringsite bnr - 幅広い知識とスキルで、監査と教育を行い、Sansanの成長を支える


インタビュー後記

セキュリティ部門メンバーのインタビューということで、業務内容のイメージから、勝手ながら、かしこまった雰囲気で取材が進行すると思っていました。そんな予想に反し、シェルビンは終始笑顔を絶やさず、この取材を楽しみながらインタビューに答えていたのが印象的です。

ただ、ときおり真剣な表情で、埋もれているセキュリティの課題を見つけ、監査と教育によってSansanの事業成長をリードすると語るシェルビンから、強い意思と意図を感じました。

下記のリンクから、同じくCSIRTに所属するメンバーのインタビューを読むことができます。

「セキュリティと利便性を両立させる」がSansan成長の起爆剤

Sansanでは、ビジネスインフラになるために必要不可欠な、セキュリティ部門のメンバーを募集しています。興味を持たれた方は、ぜひ採用情報をご覧ください。

interview&text: mimi編集部 photo: 人事部 高橋淳

Pick Up