※記載している部署名は、インタビュー時点での所属部署名です。

入社の決め手は、「人」と「成長できる環境」

──NECセキュリティに入社した決め手はどのようなものでしたか？

大学で学んだ暗号技術を生かせる会社に入りたいと思い、セキュリティ関連の会社に絞って就職活動を行っていました。

複数の会社のインターンシップや説明会に参加した中でも、NECセキュリティへ入社を決めたのは最も社員を大切にしていると感じたからです。
他の会社に比べても学生に寄り添ったインターンシップのプログラムを考えて実施されていましたし、技術に関する疑問にとても真摯に答えてくれて、社員を大切にしている会社であることがとても印象的でした。社員の方々の人柄はもちろん、インターンシップに参加していた同期も技術力が高い人が多く、入社後も切磋琢磨して成長していけそうだと感じ、入社を決めました。

──現在の仕事内容について教えてください

当社のセキュリティ診断エンジニアの仕事は、主にサーバやNW機器などの診断対象を選定するなど事前調整を経た上で診断業務を行います。その後、診断結果を元に報告書を作成し、クライアントに向けて報告会を実施するまでの一連の流れを案件ごとに実施しています。
診断業務は、WebアプリケーションやAPIの脆弱性を調査する「Web診断」、サーバやＮＷ機器などの脆弱性を調査する「ネットワーク診断」、スマートフォンアプリケーションの脆弱性を調査する「スマートフォンアプリケーション診断」の3種類に分けられ、私はネットワーク診断を担当しています。具体的には、ファイアウォールやロードバランサー、ルーターからお客様の利用するPC端末までネットワークに繋がっている機器に脆弱性がないか、1つ1つの事象を踏まえ、どのように攻撃につなげられるかを考えながら検査をしています。
診断業務終了後に報告書を作成し、報告会では、主にオンライン会議ツールを用いてお客様に診断結果を説明します。
診断業務や報告書作成がない時は、診断環境の整備や診断事項の見直し、脆弱性情報の収集や検証を行い、診断作業の効率化や品質の向上に努めています。

──仕事は個人単位で進めていますか？それとも、チームで進めていますか？

基本的にチームメンバーで協力して進めます。1人で担当する案件もあれば、対応するIPアドレスの数が増える場合などは複数人で分担します。現在、私が所属しているユニットは主に「Web診断・スマホ診断チーム」「ネットワーク診断チーム」や「DFIRチーム」に分かれていますが、案件ごとにそれぞれの知見が必要となる際はチームの垣根を越えて相談し対応しています。

──1日の勤務スケジュールは？

診断業務があるか否かでスケジュールが大きく異なります。診断業務を行う日の例を挙げると、朝9時半ごろから準備を始めて、10時から診断業務を開始します。お客様のシステム運用に影響が出ないよう、基本的にお客様から開始時間と終了時間を指定いただき、その時間内に対応します。診断が終了したら、証拠保全や整理を行い、19時頃に1日の業務を終えます。報告書の締め切りが迫っている、診断後に調査する必要があるといった場合は残業することもあります。
診断業務がない日はフレックスを活用し、自分の好きな時間に業務を開始、終了しています。早めに業務を終わらせて趣味の時間にあてるなど、自由に調整できるのでとても働きやすいですね。

「わからないことを放置せず、腹落ちするまで調べる」をモットーに

──やりがいを感じる瞬間を教えてください

大型の診断プロジェクトを遂行したときはやりがいを感じますね。通常であれば、診断してから5営業日以内に報告書を作成しますが、大きな案件になるほど、診断業務や報告書作成にも時間がかかります。膨大な調査結果を報告書にまとめて、お客様が納得できる形で診断結果を伝えられたときは、やりがいとともに大きな達成感を得られますね。

──仕事で大変だったことは？また、その課題をどのように乗り越えましたか？

1年目のときに、報告会の練習で、報告内容をうまく伝えられず悩んでいたことがありました。指摘事項を報告書に記載できても、それを納得できるように説明できるイメージが湧かなかったのです。

そこで、報告書を作成するだけでなく、指摘事項に近い状況を仮想サーバで再現し、対応策が有効であることを確認するようにしました。また、先輩の報告会を見て、どのようにすれば伝わりやすいかなど参考にした上で臨むようにしました。その結果、本番の報告会で自信をもって説明できるようになりました。それからは、納得がいくまで調査・理解してから、報告書に載せることを心がけています。

──仕事をする上で、大切にしていることを教えてください

わからないことを放置せずに、納得するまで調べることですね。診断業務では、ネットワークやWebアプリケーションの脆弱性を確認するため、実際の攻撃と似たリクエストを対象に送信することがあります。しかし、適切に行わなければ、お客様のシステムやソフトウェアに障害が出る恐れもあります。

疑問点を解消せずに、表層的な理解のまま業務にあたってしまうと、このようなトラブルを引き起こしてしまうことも考えられます。安全性を担保する上でも、システムやソフトウェアの構造や仕組みそのものを理解し、適切に問題点を捉えることが重要です。

「技術を使ってお客様に何を提供するか」を起点に、考えられる人と働きたい

──社内の雰囲気について教えてください

風通しが良い職場だと思います。チームのマネージャーとも、出社の時には気軽に話しかけてコミュニケーションが図れますし、チャットツールでも、頻繁にやりとりが交わされています。
チャットでセキュリティに関する雑談や質問をしても拾ってくれて、そこから会話が広がっていきます。そういう雑談の中からも有益な情報を得られることも多く、楽しみながら学ばせてもらっています。

──今後、考えている展望やキャリアを教えてください

セキュリティ診断エンジニアになって日が浅いため、今はまだ先輩にバックアップいただきながら仕事をしている日々です。個人の裁量を広げていき、診断エンジニアとしての土台をしっかり築いていきたいです。中長期的には、周りから頼られる人材、診断業務を先導できる人材になれたら良いなと思っています。

──NECセキュリティでは、どのような人が活躍していますか？

「お客様のことを第一に考えている人」が活躍しています。同期や上司だけでなく、社長や管理職の話を聞いても、「お客様が安心して事業やサービスを展開するために、技術を使って当社がどのようなご提案ができるか」を主眼において物事を考えていると感じる瞬間が多いですね。

──最後に、NECセキュリティに興味のある方へ、メッセージをお願いします

NECセキュリティには、技術が好きな人が多く、これまで学んできたIT知識やセキュリティの技術を生かせるだけでなく、最先端のセキュリティ技術についてもアンテナを張って仕事ができる環境だと思います。

セキュリティの技術を生かしてお客様の課題解決に役立ちたいと考えている方には、やりたいことを実現できる会社だと思います。皆さんと一緒に働ける日を楽しみにしています！