社員インタビュー

加藤徳英・亀山直生

2018.09.28 エンジニア

会社を守る「セキュリティ×はた環」...そしてロボット掃除機!?

こんにちは、XFLAGキャリア採用担当です。XFLAGの各職種の仕事内容や働き方を紹介する社員インタビュー。今回は、ミクシィグループ全体のセキュリティに携わる2部署のマネージャーを招集。セキュリティ技術グループの亀山と「はたらく環境グループ」(通称「はた環」)の加藤とによる対談をお届けします。

プロフィール写真

亀山直生(かめやま なおき)

セキュリティサービス会社を経て、2015年6月にミクシィに入社。
標的型攻撃監視・CSIRT業務・脆弱性診断などの対応に加え、セキュリティに関する社内勉強会を開催するなど幅広く業務を担当。現在はセキュリティ技術グループのマネージャーを務め、「はた環」と共にミクシィグループ全体のセキュリティ対策にも力を入れている。

プロフィール写真

加藤徳英(かとう のりひで)

インターネットプロバイダーにてネットワークエンジニアとして従事したのち、2006年12月ミクシィに入社。SNS「mixi」のネットワーク周り・データセンター拡張などを担当する一方で、購買・資産管理などのバックオフィスのルール策定にも携わる。現在ははたらく環境グループでマネージャーを務める。

それぞれの経歴

――まずはお二人の経歴を教えてください。

亀山:
前職は、脆弱性診断やゲームチート診断といったセキュリティサービスをBtoB向けに提供する会社で働いていました。第三者的な立場から脆弱性やセキュリティホールについてクライアントに報告し対策の提案などをしていました。

ただ、当時はあくまでもクライアントに模範的な対策案を提案するだけだったので、「実際に現場で効果が出ているのか?」ということに疑問を持ってしまいました。そこで、現場にもっと近づき、よりリアリティのあるセキュリティ対策に携わりたいと考え転職を決意しました。

そんななかで受けた企業のひとつがミクシィでした。当時は、リソースの確保や調整のしやすさといったメリットから、脆弱性診断の内製化が業界内のトレンドになっていた時期です。ミクシィでもその需要があったため、前職のスキルやノウハウが活かせると考えました。同時に、CSIRTやゲーム開発の現場など、さまざまな経験が積めるという点も魅力でした。そのほか、労働環境やセミナー参加などの面で自由がきく点も入社を決めたきっかけのひとつです。

――入社後はどのような業務を?

亀山:
CSIRT業務と同時に、前職に引き続き脆弱性診断やチート診断なども行っています。チート対策のレベル感を底上げするという意味で、社内講習を実施する機会にも恵まれました。
社内講習のレポート→「新卒研修受講レポート~セキュリティ編~

その後、XFLAGに配置されこれまでの業務を踏襲しつつ、パブリッククラウドの監視や社内ツールのサーバ構築管理の一部などにも携わりました。現在はセキュリティ技術グループとして、「はた環」と協働で社員PCや通信のセキュリティ監視、セキュリティアラート対応などを行っています。

あと個人の業務としては......マネージャー業務ですね、一応。

――一応って!(笑)

亀山:
今のセキュリティ技術グループには、それぞれ専門分野の違うスタッフが集まっています。もともとAndroidアプリの開発をしていた人はクライアントに強いですし、インフラのセキュリティを担当していた人はサーバ周りやネットワークに強い。脆弱性診断を10年やっていた、というスタッフもいます。

こうしたスキルフルなスタッフが自走しながら手を動かしてくれているので、あまり"管理"って感じじゃないんですよね。もちろん、みんなが仕事をしやすいように環境を整えたりするのは好きですよ。

あとは私自身、コーディングをしたり通信を見たりするのが好きなんですよね。窓口やタスク整理などの比重は増えてきているものの、現場に出て作業することも多いです。

――続いて、加藤さんの経歴も教えてください。

加藤:
私は2006年12月入社で、SNS「mixi」などのサービス用ネットワークやデータセンターの拡張を行っていました。前職はインターネットプロバイダで、ネットワークエンジニアとして勤めていました。当時としては私のようなキャリアの人間がITベンチャーに入社するのは珍しかったと思います。

また、並行して社内の購買・資産管理などの事務処理ルール整備にも携わっていました。上場直後でまだまだ事務処理ルールが固まっておらず、大変だった思い出があります。その後は会社の成長に伴い、新規事業や海外展開、SAPさんの支援など、SNS「mixi」以外の案件でも設備と購買面での支援を主に行ってきました。

――現在も、「はた環」でその業務を継続しているんですか?

加藤:
最近は社内ITも任せられる人が増えてきたので、自分でネットワーク機器を触る機会は減っていますけどね。ただ、設備と購買面における社内支援という点は変わりありません。社内ITの運用をしつつ、オフィス構築やM&A、会社譲渡時の社内ITの調整などに携わっています。

それぞれの部署の役割と業務内容

――次に、お二人の部署についても教えてください。まずはセキュリティ技術グループですが、これは亀山さんが立ち上げたんですよね?

亀山:
はい。XFLAGに配属された後に、一人でセキュリティ業務に携わっていたのですが、どんどん業務の幅が広がってきまして。「これはそろそろ一人じゃきついぞ...」と。そこでまず一人チームを作り(笑)、採用活動と異動による人員確保を進めて4名のグループにしました。

――あの時は順調に採用できましたもんね!

加藤:
セキュリティエンジニアを4人集めるのって、普通だったら2年くらいはかかると思うのですが、亀山さんは1年くらいで集めたのですごいですよ。

亀山:
そうですね。運がよかったというのもありますが、XFLAG自体にさまざまなセキュリティに関わるテーマがあったのもよかったと思います。

当時掲載した募集要項の仕事内容詳細を見ると、いろいろな経験が積めるということが求職者の方に魅力と映ったのだと思います。また、BtoCビジネスであることも大きなポイントだったのではないかと。アプリケーションに対する生の攻撃を直接見られるのは、コンテンツを持つ事業者ならではですから。

▲実際の募集要項

――現在の業務内容も、この募集要綱と基本的には同じですか?

亀山:
はい。現在は4名体制でXFLAGのセキュリティ診断、パブリッククラウド監視、チート対策支援、セキュリティの相談窓口を担っています。一方、ミクシィでは社員PC&通信のセキュリティ監視、標的型攻撃対策、インシデント対応、加えて新卒エンジニア向けのセキュリティ研修などを、「はた環」と一緒に取り組んでいます。

――続いて、「はた環」について教えてください。

加藤:
大元となる「はたらく環境室」は、ミクシィグループ全体の総務・庶務・社内ITの役割を担っており、社内セキュリティの主管部署でもあります。そのなかのいちグループである「はたらく環境グループ」は、主に社内ITについて見ています。

――最近力を入れていることはなんですか?

加藤:
一例としては認証基盤の整備が挙げられます。今後、セキュリティの要となる部分だけに、セキュリティ技術グループと協働で進めている最中です。セキュリティは強化しながらも、利用者の利便性を向上できるような仕組みを考えています。そのほか、FIDOや物理認証などの活用も模索中です。

とくに近年はサービスへ浸入するために、なりすましメールなどを用いた標的型攻撃で社内の人間のアカウントを盗むといった手口がトレンド化しています。入り口として、システムよりも人間のほうが容易になりつつあるからです。そのため、その糊付け役としてサービス側と社内側の両方を理解しているセキュリティ技術グループの存在は欠かせません。

亀山:
もちろん、こうした対策はセキュリティ技術グループだけでは解決できません。社内のPCを守るにあたって、対策ツールをスムーズに展開する術も権限も私たちは持ち合わせていませんから。その点で、はた環との協働は必要不可欠です。

セキュリティ技術グループ×はた環の実績

――"協働"というキーワードが出ましたので、次に「はた環」とセキュリティ技術グループの関わりについてもう少し詳しく伺います。最近の協働実績はありますか?

亀山:
たとえばEDRの導入ですね。これまではなにかトラブルが発生してしまったら、その社員の席まで出向く必要がありました。そのうえで、ファイルの削除やネットワークの隔離といった対応を行うのですが、これらがリモートでできるようになり、万が一の際にもスピーディーかつ効率的な動きができるようになります。

EDRの導入には「はた環」の端末管理ツールが役立ちました。また、併せてネットワーク相関分析ツールも導入したのですが、導入には社内ネットワークを管理している「はた環」の協力が不可欠でした。これらは協働だからこそ殆どの社員の手を煩わせることなく、導入ができたんです。

加藤:
端末管理ツールはそもそも、EDR展開のために導入したという経緯もあります。デプロイに気づかないだけでなく、バックグランドで動いていることも分からないようなものを入れています。

亀山:
あとは運用効率化で言うと、「はた環」が持つログ分析プラットフォームと資産管理システムにSlackを組み合わせたツールも事例のひとつですね。ネットワーク相関分析ツールから上がってきたアラートに含まれるIPアドレスや時刻とログと資産管理システムを組み合わせ、該当する端末と所有者を半自動でSlackへ送るような仕組みです。
アラート対応を補助するためのプチ機能も実装し効率化を図っています。

加藤:
これはセキュリティ技術グループの開発力があってこその実績です。互いに足りない部分を補い合うことで、物事を前に進めていける環境が整えられているのは非常に重要だと思います。

また、互いの役割に線引きをせず、手を動かしてくれる点もありがたい。「はた環×セキュリティ技術グループ」の先にはもうひとつの「×」があります。その先は各事業部となっており、セキュリティ技術グループは「はた環」と各事業部とのハブになってくれているのです。封建的な制度面だけでは、ハブとして正しく機能しません。実際にセキュリティエンジニアが同じ目標の下、一緒に考えて手を動かしてくれるからこそ、情報共有もスムーズですし、互いへのリスペクトも生まれます。

ロボット掃除機みたいな人、募集!

――続いて活躍できる人物像についても教えてください。

亀山:
与えられた仕事をこなすだけの人にはちょっと辛い職場だと思います。セキュリティは完璧じゃない部分を数え出すとキリがない......。だからこそ、今、なにが必要なのかを自分自身で考え行動しなくてはいけませんが、一方で、独りよがりな考えに縛られてしまうのもよくありません。コンテキストから説明し、周りの理解を得ながら一人で歩ける人が活躍できると思います。

加藤:
「はた環」も基本的には同じです。社内をふらふらしながら積極的に情報を集めて課題を発見することが重要。最近はSlackのほうが便利だったりもしますが。そのうえで、自分・他人・会社のメリットを考えた行動ができる人......。なにかいい例えないですかね?

――う~ん、ふらふら属性で自走......ロボット掃除機とか?

加藤:
あ、いいですね(笑)。ロボット掃除機みたいな人、お待ちしています。

ミクシィへ転職を考えている方へのメッセージ

――では最後に代表して亀山さん、ミクシィへ転職を考えている方へメッセージをお願いします。

亀山:
単純作業に飽きた。目先のことばかりの仕事に疲れてしまった。そんな方にはおすすめの職場です。仕事の進め方には自由がききますし、チャレンジにも寛大。スキルアップや、希望のキャリアを積むことも比較的しやすい環境ですので、こうした点にも魅力を感じる方はぜひご応募ください。

***

今回は、セキュリティを支えるタッグ「セキュリティ技術グループ×はた環」のインタビューをお届けしました。今後もミクシィグループはセキュリティのさらなる向上に努めていきます。



※本文中の組織名・所属・役職はインタビュー時点のものです

社員インタビューに戻る