mimi

Sansanの
人・組織・カルチャーを
伝えるメディア

CSIRTとして挑戦しがいのある「セキュリティと利便性の両立」とは

こんにちは、mimi編集部です。
今回は、Sansan株式会社の情報セキュリティ部のCSIRTグループで働く佐藤健太にインタビューを行いました。ベンダーから転職の決め手になったのは、Sansan株式会社Sansanのカタチの中でPremiseとして掲げている「セキュリティと利便性の両立」への挑戦。日々、そこにどのように向き合い、取り組んでいるのかを聞きました。

プロフィール

佐藤 健太
技術本部 情報セキュリティ部 CSIRTグループ

2022年にSansan株式会社へ入社。入社後は、セキュリティに関する企画推進・管理統制・有事対応などを担っている。前職では大手SIグループにてセキュリティの提案から運用まで幅広く従事。セキュリティのプロフェッショナルとして成長していくために、ベンダーとして外から事業を支える仕事だけでなく、中で支える仕事にも挑戦してみたいと思い、入社。


セキュリティエンジニアとして
成長するために転職

最初に自己紹介とSansan入社までの経緯を教えてください。

技術本部、情報セキュリティ部CSIRTグループの佐藤健太です。Sansanに入社する前は、外部ベンダーとして、クライアントへの提案から要件定義、設計、構築、運用と、セキュリティに関する業務を幅広く行っていました。仕事はおもしろくやりがいも感じていたのですが、一方で外から事業を支えるのではなく、社内で支える仕事に携わってみたい、そこで自分のスキルの幅を広げたいという気持ちもあって、事業会社への転職を決意しました。

Sansanを選んだ理由は?

大手企業だとどうしても縦割りの風習が根強く、業務の幅が狭かったり、仕事の裁量が小さい傾向があります。Sansanのようなフェーズの会社だったら、仕事の幅も広く、深く関われるのではないかと思った事が理由です。実際に、Sansanの面接で話したときにも、自分が裁量をもって仕事ができるイメージが沸きました。

実際に入社してどうでしたか?

思った通りでしたね。まだ入社半年ですが、やりたいと思って手を挙げたことに関しては、かなり柔軟に挑戦させてもらっています。
仕事では、主務として技術的なセキュリティの業務(サイバー攻撃の分析、脆弱性診断、インシデント対応、ツール開発など)を日々行っていますが、今までの実績を生かして会社に貢献しつつ、並行してこれまでにやったことがないけれどもやってみたいこと、叶えたいことにもチャレンジしています。

チャレンジとしては、具体的にどんなプロジェクトに挑戦したのでしょうか?

現在は、当社のグループ会社のセキュリティガバナンス確立のプロジェクトに取り組んでいます。セキュリティガバナンスとは、会社や事業のセキュリティを確保するために必要な対応方法を規定して、統制を図る仕事です。これまでこういった非技術的なセキュリティについてはあまり知見がありませんでしたが、挑戦してみたかったので、こういうプロジェクトがあるという話を聞いたときに真っ先に手を挙げました。
もちろん最初はわからないことも多かったので、マネジャーや法務部の力を借りながら、今やっと基礎部分を完成させることができた段階です。これからさらに高度に進化させていきます。

「セキュリティと利便性の両立」を
実行する日々

SansanのCSIRTならではのおもしろさや難しさとはなんですか?

Sansanでは企業理念のPremiseとして、「セキュリティと利便性を両立させる」ことを掲げています。これこそが、おもしろさであり同時に難しさでもあると思います。
世の中の企業の多くは、セキュリティと利便性のどちらも高い状態にする「両立」ではなく、天秤にかけることが多いのが常です。セキュリティをガチガチにして利便性が無くなったり、逆に利便性しか考えずセキュリティがガバガバな状態になってしまったりするパターンが多いんですよね。
前職でも利便性よりもセキュリティを優先する、という考え方が強く、僕自身も利便性とセキュリティはトレードオフだと考えていました。Sansanに入社して、どうやったら両立できるかを考えたり、両立の実現をチームで話し合う時間をたくさん持つことで、そんな考え方もあるんだ、難しいけれど面白いなと考えるようになりました。
Sansanのように事業が急成長しているときに、堅すぎるセキュリティが足かせになったり、社員の生産性を阻害したり、事業活動を邪魔しないよう「両立」を取ることに納得感もあります。

セキュリティと利便性の両立を掲げていることは、入社前に知っていましたか?

はい。入社前にはもちろんPremiseを知っていましたし、他にもいろいろな媒体でのインタビュー記事や社員のブログを見ていても、「セキュリティに理解のある経営陣」というイメージが強くありました。
そこに理解がないと、こちらがセキュリティとして必要なことを発信しても、重要性がないと判断され、そんなことやらなくてもいいじゃん、と聞いてもらえません。入社半年の私がここまでいろいろなチャレンジができている理由にも、経営陣にセキュリティへの理解があるのだと思っています。
実は、転職活動で迷ったのは、世界中に自社ブランドを展開する大手アパレル企業と、国内大手IT企業、そしてSansanの3社でした。転職先として、規模を重視するとしたら最初の2社ですが、僕はこのPremiseを理念として掲げ、実行している点にもひかれて、Sansanに決めました。
セキュリティと利便性の両立は、おもしろさであり難しさであり、また仕事をする上での指針でもあります。

スキルアップのために日々佐藤さんが行っていること、そのために活用している社内制度を教えてください。

セキュリティという分野は、かなり幅広く奥深くて、少し手を広げて違うことに挑戦しようとすると、知識が全然足らないということが往々にしてあります。成長を止めないためにも、エンジニアとして自己研鑽する必要があります。
SansanにはGeek Seekという社内制度が有り、資格取得費用や書籍、ソフトウェアやハードウェアなどの購入費用を補助してくれる制度があるので、これを活用しています。
また、Sansanでは社内勉強会も頻繁に行われていて、そこで参加者と共に学習や議論をしながら能力の向上を図っています。チームではほぼ毎日勉強会が行われていますし、やっぱり自分ひとりで勉強するのって終わりのない道なき道を行く孤独な作業なので、仲間も一緒に学べることは助かりますし、新しい意見が聞けたりとメリットもあります。Sansanには同じ意識で勉強している人が多いこと、レベルの高いエンジニアの存在も私にとっては大きなモチベーションになっています。

情報がオープンで体制がフラットだから
挑戦しやすい

SansanのCSIRTとしてどんなときに楽しさを感じますか?

これまではベンダーとして外部からセキュリティを担保していたのですが、その時はセキュリティが守られている状態が当たり前で、当然お客さまから感謝されることはありません。
何か問題が起きた時、怒りを買ってしまう、というのが常だったのですが、事業会社の中に入って仕事をしていると、施策を進めることで事業が安全に運営できるようになったり、社員の問題を解決できたときに感謝されることが多く、これがとても新鮮な体験でした。事業会社の中で仕事するって楽しいんだな、としみじみ思いましたね(笑)。

ずばり、セキュリティエンジニアとしてSansanのCSIRTで働くメリットはなんでしょうか

いろいろな情報に触れられることだと思います。大きな企業だと特に、上からの情報が伝わってこないまま仕事に取り組み、今向き合っている作業がどこに向かおうとしているかわからないことも多々あります。
Sansanは体制や情報の共有がフラットであり、オープンなので、今会社やチームが目指していることがわかったうえで、今自分が何に挑戦すべきかが見えやすいんです。だから自分が挑戦したいことを発信しても「それは会社にとっても必要だよね」と意見が通りやすく、社員がいろいろなことに挑戦しやすい。その環境があることはエンジニアとしての成長につながりやすく、メリットだと思います。

SansanのCSIRTに向いている人はどんな人でしょうか?

現時点のSansanの規模感であれば、何かひとつのことを行いたいというスペシャリスト志向の人よりも、セキュリティ領域のいろいろなことを身につけて、幅広くできるようになりたいという人は合っていると思います。それは単純に器用貧乏という意味ではなくて、いろいろやっていく中で何を伸ばしていきたいかも考えたいという人、幅広く知識を広げてキャリアのプラスにしたい人にもいい環境だと思います。

Sansan技術本部 募集ポジションの情報を公開しています

こちらのページでは、技術本部で募集しているポジションについて、あらゆる情報を公開しています。各職種の情報から関連記事、概要やミッション、技術スタック、社内制度に至るまで網羅しています。Sansan技術本部の各ポジションをより具体的に知りたい方はぜひご覧ください。 情報セキュリティ部のページはこちら

text&photo: mimi