ITスクール、システム・インテグレーション、人材コンサルティング、Webマーケティングを中心に、セキュリティ・ソリューション、広告事業なども手掛ける株式会社エスアイイー(以下、SIE)。
この会社が、どんな「今」を、どんな「未来」を見据えているのか、社員の「目」を通じて紹介する。
今回の「目」は、ITソリューション事業部の太田知生。
数多くのITエンジニアが所属しているSIEだが、その中でも「セキュリティ」を専門としているエンジニアである。
診断に始まり、診断に終わる毎日
--800人超のITエンジニアが所属しているSIE。会社創立当初はネットワーク系のエンジニアが多かったSIEだが、現在は様々なタイプのITエンジニアが所属し、日々それぞれの現場で業務を行っている。
まずは太田の日常の業務がどのようなモノなのか、話を聞いた。
基本的には8時~16時30分の勤務(テレワークがメイン)
8時 | 診断開始前の準備 ・8時にPCの電源をON。会社に出社報告。 ・その日に診断を行うWebページの管理者に連絡。 ・質問などのやりとりをする。 |
9時 | 担当しているWebページの診断 ・診断開始前には、必ず担当者に連絡。 ・あとはひたすらページと向かい合い診断作業。 |
午後 | ・引き続きページの診断作業 ・会議、別案件の調整、納品作業など |
16時30分 | ・Webページ管理者に診断終了の旨を連絡 ・会社に当日の進捗報告し、終業 |
太田『Web脆弱性診断が主な仕事。Webページの診断です。例えば、Webページを開いてボタンを押す。この当たり前の機能を利用して、どこかで悪いことができないかなどを診断、デバック作業に近い作業を行っています。
具体的には、みなさんがWebページを使う時には、Google、FirefoxなどのWebブラウザを使っています。それらは、HTTPというものでやりとりをしていて、送られてきたモノを解釈してWebページ上に表示します。
みなさんがWebページで、表示されているボタンを押すと、通信がサーバーに飛んでいく。その間、通常であれば、Webブラウザとサーバーの間でしかやりとりをしないのですが、我々は、その間にローカルプロキシツールというモノを挟み、途中で通信をブラウザから取得して、その中身を閲覧したり、直接手を加えるようなことをします。
例えば、商品注文の数「1コ」を「-1コ」に変更。その結果どうなるのか?!脆弱なサーバーは、商品を購入できずに、ユーザーからお金をとるようなコトになってしまう。そういう不正なことができないか、というところを調べる仕事。もしそういうことができてしまった場合には、その脆弱性を報告し、対策案を提示する、というのが主な業務になります。』
太田『コロナ禍以降、テレワークが続いていますが、大手通信会社の様々なWebページの診断を行っています。大きな会社なので、自分たちが使っているWebサイトについては、年に1回セキュリティ診断を受けなければならない、というルールがあるんです。さらに新しいサービスが始まるたびに、専用Webサイトができるので、その脆弱性診断もしなければなりません。
次々に診断するものが出てくる状態。テレワークでの作業が続いていますが、その診断に付随して、Webページ管理者とのやりとりも重要になっています。なぜなら、我々の仕事は、疑似的にではありますが、一時的にWebサイトを攻撃することになるので、事前の報告・調整はとても大切になってくるんです。』
幼い頃からPCが身近にあった
--2014年10月にSIEへ入社、そろそろ10年目となる太田。その前に勤めていた会社もIT系企業。
大学は理工学部。小さなころから漠然と「ITエンジニアになりたい」という思いがあったのだという。
ここでは、これまでの経歴について話を聞く。
太田『2000年になるかならないか・・・そこまで一般的にPCが各家庭になかった頃、もっと言うと、幼稚園児の頃からPCには触れられる環境で育ちました。今思えばこの頃から、漠然とですが、どうせ仕事をするならPCに触れていたい、そんな仕事をしたい、と思っていました。』
太田『古典など、国語系が苦手だったこともあり・・・、また大学に入る頃は、「情報化社会」が話題になっていた時期でもあり、理工学部を選びました。専門は情報システムデザイン学。CGを書いたり、絵をかいたり、クリエイティブな作業が苦手だったということもあり、こんな学部を選びました。情報関係のことを広く浅く学ぶところで、C言語のプログラミングから始まり、AI入門、ネットワーク入門、ゲームプログラミング入門など、幅広く学びました。』
太田『ちょうど就職する時、その前年に東日本大震災があり、リーマンショックの影響も、色濃く残っていた頃で、すごく就職活動が大変で・・・ひたすら受けて、ようやく受かったのがその会社。会社の会計を、ソフトを使って分かりやすいようにする、というソフト=セールスフォース。PCにあまり詳しくない会社に対し、セールスフォースを要望に合わせてカスタマイズして提供するような会社でした。理工学部情報システムデザイン学科ということもあり、大学に来る求人は、ほぼすべてがIT系に偏っていたので、受けたのはすべてIT系企業だったんです。』
太田『システムのデプロイ作業をしていました。パッチを当てて、ひたすら待つ・・・、そんな作業を3か月ほどやりました。その次は、データーベースの更新をツールでやる、という業務。そのツール自体を他社に配っていたので、それに対する問い合わせの対応もしていました。』
太田『前の会社が、在籍していてもあまり落ち着かない会社だったので、ある時、IT系の合同会社説明会になんとなく出てみたんです。そこでSIEという会社に出会いました。その時にSIEの他にも2社ほど受け、合格しましたが、まだ会社として若く、今参加すれば古参になれるかな、という思いで、SIEに入社することを決めました。』
教育体制がもたらしたターニングポイント
--そんな流れでSIEに入社した太田。それから10年がたち、現在ではSIEの中でもTOPクラスの技術を持つエンジニアとして活躍しているが、はじめから、「セキュリティエンジニア」を目指していたワケではないという。
この10年で2ヶ所あったという、セキュリティエンジニアへのターニングポイントとは・・・?!
太田『SIEの最大の魅力である、「教育がしっかりしている」こと。これが、今までのエンジニア人生にとっても大きく作用しています。
1つ目のターニングポイントは、「新人研修」。前の会社では、研修もなく、いきなり現場に配属されました。その点SIEは、自社で学校運営もしていて、全くの初心者でも、しっかり研修してから現場に送り出してくれる。これは、SIEへの就職を決めたポイントでもありました。
大学時代にプログラミングが苦手だったんですが、入社と同時に研修を受け、CCNAの資格を取得しました。この研修のおかげで、今もエンジニアを続けてこれたと思っています。学校まで運営して、自社のエンジニアの指導もしてくれる会社はなかなかありません。』
太田『もう1つのターニングポイント、こちらも「教育」に関係していますが、社員の方が、しっかり指導をしてくれるという点。入社して3つ目に担当した現場では、AWSを使ってインフラの構築をしていました。ここで半年ほど過ごした頃に、セキュリティ事業部が立ち上がり、その業務に誘ってもらったんです。そこで2週間ほど受けたセキュリティ診断の指導。この時の指導が、「今後はネットワークのセキュリティをやるんだ」と決めたターニングポイントになりました。』
太田『フリーランスとなると、契約、税金などすべては自分でやることになる。自分を売り込むことも必要。その点SIEでは教育も受けられ、営業の方もフォローもしてくれるので、現場での日々の業務に集中できるところが、利点だと思います。』
努力次第でいつまでもできる職業
--最後に、ITエンジニア、さらにはセキュリティエンジニアという職業について、太田はどのように考えているのであろうか?!
太田『まずは仕事がなくなりそうにない、という点。常に進化しているITの世界ですが、新しいシステムが開発されるたびに、セキュリティが必要になります。現在は、スマートフォンもあるので、そこでもWeb診断が必要なのは言うまでもありません。
また例えば、プログラミングは、海外に発注されることもありますが、セキュリティに関して言えば、海外に発注されることは、ほぼありません。もちろん業界内での仕事の取り合いはありますが、どこまで行っても、堅実に続けて行ける仕事だと思います。』
太田『資格試験の勉強は、ひたすらしています。それを続けていたら、情報処理安全確保支援士の資格を取ることもできました。現在はさらにそれを活かして、ネットワークスペシャリストの資格試験に勉強をしています。
そうやって普段から本を読んだり、日々知識を身に付けていくこと。 開発者としてのある程度しっかりと知識を持ってないと、脆弱性を診断することもできません。AIが増えていたり、IOT、クラウド、次から次へと新しいことが出てくるので、自分を常にアップデートさせていくことが、重要だと思います。』
太田『疑い深く、慎重に、ということ。基本的にはバグを探す作業なので、まずシステムと向かい合い、「ココ大丈夫かな? ココ大丈夫かな?」、と注意深く見ていかなければなりません。そして疑似的とはいえ、ある意味Webサイトを攻撃する=危ないことをしている、ということになります。下手をするとWebサイトを壊してしまう可能性もあります。そこでもやはり、「これしても大丈夫?!」という慎重さが必要になってきます。
今のWebサイトは、何千何万もの情報を抱え、ひとたび何か起こると、大量の顧客情報も漏洩してしまいます。しかも、いったんネット上に流出してしまった情報を、完全に取り戻すのは不可能。基本的にそんな事故は「ゼロ」にしたいと思っています。
ウィーケストリンク、というコトバをご存じでしょうか?!日本語で言うと「一番弱い輪の法則」。鎖は一ヶ所でも脆いところがあると、切れてしまいます。Webサイトもこれと一緒で、どこか一ヵ所でも危ないところがあると、そこを突破口に、Webサイト全体の脆さにつながってしまいます。危険なものはすべて排除して運用するのが前提。サイトは安全なモノ、というのが、前提となっている世界です。』
太田『 ITセキュリティ業界は、人材が足りていないのが現状です。セキュリティに興味がある方はぜひこの業界に入ってきてもらいたいです。独立行政法人情報処理推進機構(IPA)的には、3万人を目指しているが、実際にはまだ2万人ほどしかいないんです。資格試験も受けやすくなってきています。漠然とした将来を見ている方もぜひ!エンジニアとしての基本的な教育はもちろん、キャリアアップの支援も会社では行っていますので、ぜひ飛び込んできてください!』
太田が手掛けるセキュリティ関連ページ