セキュリティエンジニアの仕事とは?
-現役エンジニアにインタビュー-

外資系企業の現役エンジニアに直接インタビューを行い、業務内容の理解を深め、転職にも役立つアドバイスをお届けする連載企画。

今回は、仮想プライベートネットワーク(VPN)プロダクトを開発提供する海外企業「ExpressVPN」でセキュリティエンジニアとして活躍するLeeさんにセキュリティエンジニアの仕事内容やこの職種の魅力、キャリアパスなどについてお話を伺った。

「Leeさん、本日はよろしくお願いいたします」
タリスマン/盛内
タリスマン/盛内
ExpressVPN/Leeさん
ExpressVPN/Leeさん
「よろしくお願いします」

セキュリティエンジニアの仕事内容について

ーー 仕事内容について教えてください
ExpressVPNには大きなセキュリティチームがあり、チーム全体で製品や従業員を含む会社全体のセキュリティ体制の整備を行っています。その中のセキュリティエンジニアリングチームに属しており、統合や自動化の要件を持っているオフェンシブセキュリティチームや脅威ハンティングチーム(※)といった他のチームを支援するツール開発に重点を置いて業務をしています。

編集部注(※)
オフェンシブセキュリティ:攻撃者視点でシステムやサービスの潜在的な脅威を発見して対処するセキュリティ概念
脅威ハンティング:潜在的な脅威を発見するためにログや監視データを収集・分析するセキュリティ概念

ーー 社内外のステークホルダーを教えてください
社内的には次の3者をステークホルダーと捉えています。
1つ目はソフトエンジニアリングチームです。彼らに対して私たちは自社プロダクトのセキュリティを改善したり、ユーザーのセキュリティを維持するためのサポートを行います。
2つ目はPCを利用する全従業員、つまり全員ですね(笑) 全従業員のセキュリティを守らなければなりません。
3つ目がセキュリティチーム自体です。プロダクトのセキュリティプロセスの一部を所有していますので、それがステークホルダーそのものですね。
社外的には、監査役とベンダーがあります。
監査役は、私たちが常にコンプライアンス要件を満たしていることを確認する必要があります。ベンダーは、多くの内部セキュリティに関してサービスを提供します。

チャレンジやモチベーションについて

ーー 一番大きなチャレンジは何でしたか?
これはサイバーセキュリティエンジニアリングの分野での「あるある」とは言えないものですが、私たちはExpressVPNにおいて物理的なセキュリティも管理しています。オンラインセキュリティと同じように重要なものですが、サイバーセキュリティの慣習では対処できません。ドアアクセスなどは通常オンラインでモニタリングされるものではないのですよね、だからこそ大きなチャレンジでした。物理的に何かが起こるまで異変に気付かないからです。
最大のチャレンジ
これに対して、非常に創造的なソリューションを考え出さなくてはなりませんでした。それに加え、現代的なワークカルチャーでは就業時間がフレキシブルであるため、決まった時間でオフィスを閉めておくことができません。そのため、オンラインシステムと統合でき、監視・リモート管理しながらセキュリティを確保できるより柔軟なカスタムソリューションが必要でした。
そこで私たちは物理的なセキュリティシステムとオンラインシステム間でコミュニケーションを取るためのセキュリティボットを開発しました。またオンラインシステムと既存のメッセージングシステムを統合し、物理的なセキュリティに対して起こる様々な問題を監視し、検討できるようになりました。これにはいくつかのソフトウェア開発とオートメーションツールも導入しています。
通常業務を超えて探求・挑戦することを許容してくれた会社やマネージャーに感謝していますし、最終的に素晴らしい方法で問題を解決することができました。

ーー 仕事のモチベーションは何ですか?
問題を解決することを楽しんでいるので、タスクやプロジェクトを完了する度に爽快な気分になり、達成感を感じます。
さらに内部・外部のユーザーが、私たちが実装したセキュリティ制御でより安全になっていることを確認できます。それに満足感を感じモチベーションにつながっています。
例を挙げると、最近、従業員の一人が誤ってダウンロードしたマルウェアを検出して封じ込めることができました。検出はEDR(Endpoint Detection and Response)システムで行われ、封じ込めはほぼ即座に行われました。調査の結果、脅威にさらされているデータは無いことが分かり安心したのですが、マルウェアはフィッシングメールを介して侵入しました。非常に多くの種類が存在するため受信する可能性のある全てのフィッシングメールをブロックすることはできませんでしたが、追加したセキュリティレイヤーによりこれを検出できました。
これは内部・外部のユーザーを保護するという点で実装したセキュリティレイヤーが非常に役立ったということです。

セキュリティエンジニアへの転職やキャリアパスについて

ーー 未経験からセキュリティエンジニアに転職する場合、どんなバックグラウンドや経験が役に立つでしょうか?
面白い質問ですね。私自身を例にお話ししようと思いますが、セキュリティエンジニアのファンクションはまだそれほど確立されていないということもあるので、企業によって異なるということが前提です。
10年程前は(エンジニアが大きく括られて)「IT」と呼ばれていました。つまりITと言えば、ITに含まれる全てのものだったのです。
これと同じようにセキュリティエンジニアと言っても様々なファンクションがあるのですが、今は「セキュリティエンジニア」として大きく括られています。
例えば、私はセキュリティに関するちゃんとした教育を受けてはいませんし、大学の学位もありません。色々な方面からここに来ることが可能ですが、好奇心旺盛なマインドセットを持つことがとても重要だと思います。なぜなら、私たちは急速に変化するテクノロジーの中にいるからです。学ぶことや成長することに興味が無ければ、変化に対応してスキルアップすることは困難です。
そして、セキュリティは常に進化し、私たちが世界で目にしている脅威、攻撃の種類も年々増加しています。それについていくには自身のモチベーションが必要です。
また、セキュリティはブロックですから、日常生活の中での常識がセキュリティにも適用できます。例えば外出や旅行する時に、自分のお金を周りの人に見せびらかしたりしないですよね。これはサイバーセキュリティで行うことと同じです。現場のエンジニアとしてこうした常識を当てはめることを実践し習慣化したいと思うのです。こういった意識や好奇心旺盛なマインドセットはこのポジションに就くために役に立つでしょう。
テクニカルスキルで言えばソフトエンジニアリングのスキルが役に立つと思います。

ーー おすすめの学習方法はありますか?
興味を持っている業界に目を向けてみることです。
例えば、私たちのようなVPNプロダクトのカンパニーに興味があるなら、当社のセキュリティエンジニアの業務内容や使用しているツールを見れるので、そこから探求や学習を始められるでしょう。ジョブディスクリプションを見ることで、その企業が何を求めているかを知ることができるのです。
その際に重要なことは「なぜ」という疑問を持つことです。
「なぜそのツールを使っているのか」、その意図を知る必要があります。意図を研究するにつれてセキュリティについて理解するようになります。
2つ目に、セキュリティカンファレンスに参加することをおすすめします。また世界中にローカルのミートアップグループもあると思います。
Capture The Flag(CTF※)という、システムのセキュリティ脆弱性を発見するコンペティション大会に参加するのもいいでしょう。
分かり易い例を挙げてみますと、安全な家であるということを知るには、家に侵入しようとする必要がありますよね? それと同じで、脆弱なシステムに入るアタッカーになろうとするわけです。もしシステム侵入に成功できたら、それは正しい防御ではないことが分かります。脆弱性を検出することを学び、防御を学ぶことができます。これらはすべてセキュリティを学習するプロセスなのです。私も過去のCTFで多くのことを学びました。

編集部注(※)
CTFについてはこちらのサイトが参考になります

ーー もしLeeさんがセキュリティエンジニアの面接官だとしたら、どんな質問をしますか?
3つに分けて質問します。
初めに、例えば暗号化テクノロジーについて、いつどのようなテクノロジーを使用するかをお聞きします。
幅広い暗号化テクノロジーがありますが、この質問で見ようとしているのは、譲歩やトレードオフを十分に理解できているかどうかです。この種の質問をすることで、候補者がが様々なテクノロジーに興味や関心を持っているかどうかを知ることができます。そしてそれらをどうやって比較・トレードオフし、いつ使うかについて彼らの理解を知ることができます。これはとても重要なことです。なぜならエンジニアリングとは応用だからです。
次に今まで行った自動化の例を挙げてもらいます。
セキュリティエンジニアの面接で予想される質問
セキュリティエンジニアリングにおける我々の作業の大部分は自動化されています。私たちは、オフェンシブセキュリティチームと脅威ハンティングチームの自動化と調整を支援しています。どんどん人を雇う訳にはいかないので、アウトプットを増やすために自動化する必要があります。
どのように自動化を行っているか、例を挙げてもらうことによって、実際に彼らが何を考えているかを知ることができ、掘り下げてトレードオフがあるかどうかを尋ねます。繰り返しになりますが、エンジニアリングやセキュリティには常にトレードオフがあります。どのようなトレードオフを選択し、何を考えていたかということです。トレードオフはエンジニアにとって非常に重要なスキルです。
そして最後に、脅威モデリングシナリオの例に移ります。ソフトウェアやシステム、サーバーの観点からシナリオを示し、安全でないことをどのように認識し、どのように保護するのかを聞きます。先ほどお話したCTFはこれらのことを学習するという点で非常に役立ちます。

ーーセキュリティエンジニアのキャリアパスについて教えてください
私の見解ではセキュリティエンジニアになるには2つの道があります。そして、進む道も2つあると思います。
セキュリティエンジニアになるためには次のいずれかを選択します。
オフェンシブセキュリティや脅威ハンティングを行う典型的なセキュリティチーム、いわゆるレッドチーム(攻撃)とブルーチーム(防御)、またはソフトウェアエンジニアリングです。
セキュリティサイドから入った場合はソフトウェアエンジニアリングについて学びます。逆にソフトウェアエンジニアリングから入った場合はエンジニアリングの観点をある程度分かっていますので必要なのはセキュリティについて学ぶことです。
セキュリティエンジニアリングは両方の分野を組み合わせたものであり、それらを調整や自動化に適用します。

ではセキュリティエンジニアの次のキャリアについてですが、これは会社によりかなり異なります。私たちの会社を例にとるとIC(Individual Contributor role/管理職ではない専門職)と管理職の道があります。ICには非常に長い道のりがありますが、多くのエンジニアはエンジニアリングワークが好きで、彼らは人を管理するのが好きではありません(笑)。いえ、管理よりもテクノロジーを好むという意味です。
なので、好みによって、ICとしてのキャリアを進むか、マネージャーとしてセキュリティエンジニアチームを管理するかを選ぶことができます。

ーー昇進するために必要なスキルは何ですか?
ExpressVPNを例に取るとソリューションを設計し、組み立てる能力は非常に重要です。若手の頃はエンジニアリングソリューションを私たちが分解したタスクを行いますが、上級職になればソリューション全体を設計し、さまざなトレードオフを検討する必要があります。面接の際、候補者に尋ねる部分でもありますね。
次に、ビジネスニーズをエンジニアリング仕様に変換する能力です。これは非常に重要です、なぜなら、一日中ただテクノロジーについて話すことはできないですよね。結局はビジネスなので、会社で何を推進し進歩させるのか、ビジネス要件を理解できることが必要です。
ビジネスでXとYを実行する必要があるなら、それをテクノロジーやエンジニアリング仕様に変換する必要があり、チームの他のメンバーが何をすべきか理解できるようにする必要があります。

最後に、非常に重要なのに多くの人が重きを置いていないのが、「ソフトスキル」です。ソフトスキルは我々の成長にとってとても重要です。コーチングやチーム間コラボレーションです。これらはチームに加わった時に高く評価されるスキルです。チームの成長やより強いチーム作りに役立つからです。

「Leeさん、本日はためになるお話をありがとうございました。」
タリスマン/盛内
タリスマン/盛内
ExpressVPN/Leeさん
ExpressVPN/Leeさん
「どういたしまして、今回の企画に協力できて光栄でした。」

ー取材協力ーpfofile
Express VPN International Ltd.
ユーザーのWebトラフィックを暗号化しIPアドレスをマスクするプライバシー・セキュリティツール「ExpressVPN」を提供・販売する企業。ExpressVPNのサーバーネットワークは、94ヶ国160のVPNサーバーロケーションをカバー(2021年8月時点)。今回インタビューに協力いただいたLeeさんがExpressVPNの自社ブログでもセキュリティエンジニアの仕事について解説しています。

インタビューの動画版はこちらから視聴いただけます。

タリスマンでは各種業界・外資系企業転職に関する情報交換から、きめ細かい転職サポート、英語面接指導など転職成功に向けて充実したサービスをご提供しております。
まずはお気軽にご連絡ください。

いますぐ求人を探す

タリスマンに転職相談をする

Talisman編集部

最新の転職市場、キャリアアドバイスの他、効率的な働き方やビジネス英語等のスキルアップに向けた旬な情報をお届けします。

コーポレートサイト
talisman-corporation.com/ja/

Linked In
@talisman-corporation

Facebook
@talisman.recruitment

YouTube
@TalismanCorporation

Instagram:
@talisman__corporation

関連記事

  1. 【プログラミング言語別に分類】Webフレームワークおすすめ18種類

    【プログラミング言語別に分類】Webフレームワークおすすめ18種類

  2. 開発に役立つ!ソフトウェアフレームワークについての基礎知識一覧

    開発に役立つ!ソフトウェアフレームワークについての基礎知識一覧

  3. 業界別に解説!外資系企業で求められる英語力とは?

  4. エンジニアのキャリアアップのためにコミュニケーション力が必要な理由

  5. エンジニアは情報のアップデートが生命線!真に使える良質情報収集法

  6. なりたい姿のビジョンを共有する【中途採用の新人教育コーチング6】

  7. コーチングが実際に機能する瞬間とは【育成コーチング7】

  8. 外資系で派遣として働きたい!働く前に知っておきたいこと

    外資系で派遣として働きたい!働く前に知っておきたいこと

  9. エンジニアなら知っておきたい!主要なキャリアパスと求められるもの

    エンジニアなら知っておきたい!主要なキャリアパスと求められるもの

職種別求人情報検索

以下より厳選されたミドルクラス以上の各職種別求人一覧を確認できます(求人企業名は非公開)

SNS

PAGE TOP

ビジネスのプロフェッショナルをつなぎ、転職を成功に導く

スカウトを受ける