これまでのキャリアについて教えてください。

新卒入社した1社目の企業は、金融系システムを扱うSIerでした。そのSIerで私は開発には携わらず、プロジェクト管理やオフショア先の企業へのディレクション、作成されたシステムの受け入れ作業などを行っていました。手を動かしてプロダクトを作る機会がないので、仕事を通じて何かを成し遂げた実感が薄かったのかもしれません。ものづくりをしたくて転職をしました。

2社目はWeb制作会社で、私はクライアント企業からの依頼のもとにコーポレートサイトやECサイトなどの制作や運用を行っていました。学びの多い職場でしたが、受託業務なので顧客の了承を得なければサービスを改善できません。自分自身が機能を提案、開発し、サービスをグロースさせる経験を積みたいと思うようになりました。

Sansanを選んだ一番の理由は、プロダクトの成長性です。扱っている事業そのものが魅力的だと感じました。そして、働く人たちが良い意味での野心を持っていること。特に印象的だったのが、CEOの寺田が採用面接で「私たちが掲げているミッションが実現できれば、Sansanという会社はなくなってもいい」と言っていたことです。組織を拡大することや利益をあげることだけが目的ではなく、Sansanはあくまでミッションのもとに集結したプロジェクトのようなもの。紙の名刺を交換するというアナログな文化を変え、ビジネスに革新をもたらし、ミッションを実現できればすぐに解散してもいいくらいの気持ちだという意図が込められていました。壮大な挑戦だと感じ、興味を抱きました。

Sansan入社後は、どのような業務に携わってきましたか？

入社してからは、営業DXサービス「Sansan」や新規事業の開発に携わりました。その後、1社目のSIerで品質保証を経験していたこともあり、Sansan社内で新しく立ち上がったQuality Assuranceグループに異動しました。そこでQA業務に3年ほど従事してから、セキュリティ部門に移りました。

そこからは主にオフェンシブセキュリティに携わってきました。たとえば、Sansanの各プロダクトに対しての脆弱性診断やペネトレーションテストを実施する業務です。そして、現在は新設されたプロダクトセキュリティチームに所属しています。

プロダクトセキュリティチームの業務内容について教えてください。

各プロダクトを開発するエンジニアと連携しながら、セキュリティとプロダクト開発の橋渡しをする役割を担います。プロダクトの設計レビューに参加してセキュリティ改善のための提案をしたり、プロダクトのセキュリティに関するインシデントが発生した際にはトリアージの指揮を執ったりと、かなり幅広い範囲の業務に携わります。

過去の事例で、黒澤さんが関わってプロダクトのセキュリティを改善したものはありますか？

プロダクトセキュリティチームができるよりも前の話になりますが、「Sansan」における二要素認証の無償化です。かつて、「Sansan」では二要素認証はオプション機能であり、設定するためにユーザー企業は追加料金を支払う必要がありました。「Sansan」を提供し始めた頃は「二要素認証はプロダクトの基本機能ではない」という考え方で、このような判断をしたのだと想像します。

しかしここ数年、二要素認証は当たり前に設定すべき機能だという認識へと変わってきました。そこで、すべてのユーザー企業がより安心して利用できるプロダクトにするために二要素認証の無償化を提案、経営陣も巻き込んでプロジェクトを推進し実現させました。

黒澤さんはSansanの過去のキャリアで、プロダクト開発やQAなどの業務も経験されています。だからこそわかる、セキュリティ関連業務ならではの特徴はありますか？

プロジェクト管理の領域ではよく「熊とワルツを踊る」という表現が用いられます。これは、未知のリスクを恐ろしい熊に例え、リスクを適切に手なずけて、コントロールできるようにしていくという考え方です。プロダクト開発を行う以上はリスクをゼロにすることはできないので、どうすれば許容可能な範囲でリスクをコントロールできるのかを把握し、あらゆる手段を用いてその方針を実現していくところは、他のポジションにはない特徴だと感じます。

プロダクトセキュリティチームとして、今後目指したいことはありますか？

情報セキュリティ部はセキュリティ・バイ・デザインというコンセプトを掲げています。これはプロダクト作りにおいて、企画・設計といった初期段階からセキュアなプロダクトが生み出される仕組みを構築することです。私たちプロダクトセキュリティチームは、このセキュリティ・バイ・デザインの実現を目指しています。

それに関連して、今後は各プロダクトの開発チームがシステム要件を考える際、プロダクトセキュリティチームが協力しながら、セキュリティ要件も併せて定義できるようにしていきたいと考えています。Sansanのエンジニアはみなセキュリティのリテラシーが高いのですが、セキュリティの専門家でなければ気付けないこともあります。私たちがガードレールの役割を担って、セキュリティを守っていきたいです。

黒澤さんのように、プロダクト開発やQAなどの経験を積んでからセキュリティ業務に関わるエンジニアは多いのですか？

プロダクト開発の経験があるセキュリティエンジニアは少数派です。加えて仮にプロダクト開発の経験があっても、ユーザー体験やシステムの運用までトータルで考えてセキュリティの方針を立てられるエンジニアはさらに少ないです。私自身がそうした経験を積んできたので、プロダクトセキュリティチームの業務に活用できています。

今後はどのようなスキルやマインドの人を採用したいと考えていますか？

スキル面では、間口を広くしたいと思っています。プロダクト開発に携わるエンジニアとして十分な経験を積まれている方であれば、セキュリティについての知識をインプットすることでこのチームで活躍できます。逆に、セキュリティを専門的にしてきたけれど、このチームでプロダクトを良くすることに向き合いたい人でも合っていると感じます。

マインドに関しては、企業理念である「Sansanのカタチ」の中にあるプレミス（前提、という意味）に「セキュリティと利便性を両立させる」と掲げており、この価値観に共感できることがセキュリティエンジニアとしての前提条件です。

ルールを堅くすれば堅くするほど、セキュリティを守るのは簡単になります。ただし、それではプロダクトの利便性が著しく損なわれ、事業成長の足を引っ張ります。他にも、私たちが扱うのはプロダクトセキュリティなので、プロダクトを良くすることに興味を持ち、そのために自分に何ができるのかを考えられる人が向いています。

他企業ではなく、Sansanでプロダクトセキュリティに携わる醍醐味は何でしょうか？

Sansanは「Sansan」「Eight」「Bill One」「Contract One」などさまざまなプロダクトを提供していますが、それらの置かれているフェーズはすべてバラバラです。すでに多くの企業に導入されているもの、市場に受け入れられて急成長しているもの、これからプロダクト・マーケット・フィットを目指すものと、多種多様な状態です。

フェーズの異なるプロダクトすべてに関わることができるのは、Sansanのプロダクトセキュリティ特有の面白さです。「この施策はプロダクト横断で実施しよう」とか「逆に、この施策は特定プロダクトだけに反映させるべき」といった、複数プロダクトにまたがったセキュリティ設計や仕組み作りと向き合っていく必要があるからです。

非常にワクワクする仕事ですね。最後に、黒澤さんがプロダクトセキュリティに携わっていて、やりがいを感じるのはどんな瞬間ですか？

乗り越えるべき壁が最も高い状況のときです。例えばインシデント対応なら、急を要しますし、その場その場で的確な行動を取る必要があります。かつ、その状況下で自分の培ってきたスキルをすべて活用して対応しなければなりません。つまり、難易度の高い課題に対して、自分なりにベストだと思える解決策を全力でぶつけていくような仕事をしているときが、一番燃えるんです。

私はセキュリティという領域を総合格闘技だと思っています。プロダクトセキュリティは、まさにその典型ですよね。セキュリティのことだけではなくて、事業やプロダクトへの理解、設計、開発、運用、その先のユーザー対応など、ありとあらゆる要素を考える必要があります。知識の広さに加えて、それぞれの要素に対する理解の深さも求められます。難しい仕事だからこそ、そこに楽しさを感じて前向きに取り組めているのかもしれません。