SOCチームが担っている業務について教えてください。

基本的には社内のセキュリティ対策が主になりますが、それに加えてサポートとしてプロダクトのセキュリティ対策も行っています。たとえば、数年先までのセキュリティ戦略の立案や、セキュリティ製品の検討・導入・運用、ログ基盤の構築から各種システムの利用状況や通信状況の可視化など、担当する領域は多岐にわたります。

松田さんが入社されたのは2019年ですが、そこからどのようなプロジェクトを担当しましたか？

Sansanでは2019年から、職種により1週間あたりの上限はありますが、全社的にリモートワークが可能になりました。それに伴ってセキュリティ対策を強化するため、社員が使用する端末のエンドポイントセキュリティ系のソリューションを最新のものに入れ替えました。これは合計数千台ほどの端末に影響がおよぶプロジェクトで、企画から運用設計までをトータルで担当しました。

2020年にはSansan社内のありとあらゆるログを収集・管理して、もし何か問題が発生した場合でも、調査を容易にして素早く原因を究明するための基盤を構築しました。これは社内だけではなくAWS社とも共同で基盤開発を進めたプロジェクトで、ステークホルダーが多く難易度も高いプロジェクトでしたね。

2021年から2022年にかけては、セキュリティ関連業務における運用の効率化・自動化などを行いました。当時は事業の成長や先ほど述べたログ基盤を構築した影響などで、セキュリティエンジニアが見るべき情報の量や受け取るアラートの数がどんどん増加し、業務量が増えてしまっていたのです。

そこで、複数のアラートを一つに集約したり、アラートの内容をわかりやすくしたり、エラーが発生したときの対応を自動化したりと、業務効率化につながるような施策を推進しました。

担当する業務内容も、時期ごとに変化しているのですね。

私が入社したばかりの頃と現在を比べると、社員数や社内で使っているソフトウエアの種類、Sansanが提供するプロダクトの数、プロダクトのユーザー数などあらゆるものが変わっています。それにもかかわらず、セキュリティエンジニアが昔の運用方法のままで仕事をしていると、運用負荷が大きくなりすぎてしまいます。

そのためセキュリティエンジニアは、業務内容や各種システムなどを最適化していく作業を継続しなければなりません。実際に数年前に自分が決めた方針が、現在のSansanには合わなくなっているということが頻繁に起こります。だからこそ、セキュリティのあり方そのものを、常に変化させていかなければならないのが、Sansanにおけるセキュリティエンジニアの特徴です。

またSansanの特徴という意味では、企業理念「Sansanのカタチ」のプレミス（前提、という意味）として掲げる「セキュリティと利便性を両立させる」ことも重要なポイントです。

実際にその特徴が表れた事例はありますか？

過去に「社内のセキュリティを向上させるために、プロキシ製品を導入して、メンバーがどのようなネットワーク通信を行っているのかを可視化できるようにしてはどうか」という趣旨のプロジェクトが立ち上がったことがありました。

ところが製品について検証してみたところ、ネットワーク通信のパフォーマンスが10分の1ほどになってしまうことがわかりました。確かにセキュリティは向上しますが、利便性はかなり落ちます。利便性を犠牲にしてはならないという判断で、その製品の導入をやめて別の解決策を選びました。

セキュリティだけではなく、利便性とのバランスを考え選択する。広い視野と技術が必要そうですね。

あくまで私の前職との比較になりますが、Sansanでは求められる技術的な知識が圧倒的に広くて、深いです。特徴としては、わかりやすい正解がない仕事が多いことですね。これは例え話ですが、仮にある社員から「セキュリティを高めるために⚪︎⚪︎をしたいです」と要望があったとします。一般的な企業では、それを実現するための方法を提示することがセキュリティエンジニアの仕事です。

一方で、Sansanのセキュリティエンジニアの場合は、そもそも何のためにその行動やツールが必要なのか、実は業務プロセス自体を見直せば解決するのではないかといったことまで考えて、方針を決めます。事業・プロダクト・組織の状況や発生し得るリスク、実現の難易度など、複数の観点でものごとを考えて判断することを、私たちは重視しています。

松田さんは学習意欲が高くて、常に新しい技術を学ばれているそうですね。

私自身はあまり勉強しているという自覚がありませんが、興味のある領域について知ることが面白くて、気がつくとさまざまなことを調べています。技術書を読むのも好きで、月に数万円、年間で30万円くらいは本を買っていますね。Sansanには書籍購入補助制度の「Geek Seek」がありますが、実はこの補助金では全く足りていないです（笑）。

書籍のなかで登場した単語や考え方などを学びつつ、実際に自分自身でもその技術に触れながら、理解を深めていくような流れが多いですね。

今後はSOCチームとして、どのような点に注力していきたいですか？

私たちはセキュリティを守る側ですが、常に攻撃する側の視点を持ちながら対策を考えていく必要があると思っています。どのような脅威があるか知らないまま対策しても、一定の水準までしかセキュリティを高められないので。攻撃方法についての深い知識を身につけたうえで「どうすればそれを防げるか」に向き合いたいと考えています。

さらに、社内システムに加えてプロダクトにも視野を広げていく必要があります。各プロダクトの仕様やアーキテクチャ・インフラなどを理解したうえで、それらを守るための施策を推進したいです。インフラとしてAWSとGCP、Microsoft Azureという複数のクラウドを使っているので、それぞれのプラットフォームの特徴を把握しておくことも求められます。

私たちセキュリティエンジニアがプロダクトを守るためのガードレールを敷いて、プロダクト開発者たちが「プロダクトの価値を向上させること」に注力できるような体制にしていきたいです。

どのような要素を持った人に、チームに加わってほしいですか？

マインド面としては、SOCチームが策定しているバリュー（行動指針）に当てはまる人です。一つ目は「リスクを想像できる人材」。さまざまな要素を鑑みたうえで、どのようなリスクが発生し得るのかを考えて、先回りして対策できること。そして表面的な事象だけではなく、本質的な課題を見極めたうえで判断できることを意味しています。

二つ目は「本質に向き合い最適解を探求する」。要するに絵に描いた餅にしない。セキュリティ対策は運用がきちんと行われなければ意味がないので、それを徹底できる人であること。三つ目は「妥協せずに薄皮を積み重ねる」。さまざまな施策を少しずつ積み重ねて、妥協せずにセキュリティを向上させられる人であってほしいです。

最後は「ホスピタリティマインドを持つ」。社内からさまざまな問い合わせが来ますが、そんなときに相手のことを思いやって親身に対応できる人であること。「SOCチームに相談すれば、丁寧に対応してくれる。そして課題を解決できる」と思ってもらえるようにしたいです。

スキル面としては「この領域に関しては、自分は絶対に他の人に負けない自信がある」という何かを持っている人に加わってほしいです。あれも、これもと広く浅く手を出している人よりは、何かを深く突き詰めて学んだ経験があることが重要ですね。私の場合は、それがネットワークという領域でした。

今のフェーズのSansanでセキュリティエンジニアとして働くことの面白さは、どのような部分にありますか？

これまで他の日本企業が実施したことがない領域に対して、自分のアイデアをもとにしてプロジェクトを推進することができます。ひとつ例を挙げると、私たちは「スキルの高いハッカーが、一見すると攻撃とわからないような攻撃をしてきた場合、どのように検知したらよいか」といった課題を抱えています。

そうした攻撃を、機械学習などの技術を用いることで検知できないか、という構想を練っています。こうした施策に取り組める日本企業はあまりないので、セキュリティに関連してチャレンジングな仕事ができるのがSansanの面白さだと感じます。