外資系企業の現役エンジニアに直接インタビューを行い、業務内容の理解を深め、転職にも役立つアドバイスをお届けする連載企画。
今回は、仮想プライベートネットワーク(VPN)プロダクトを開発提供する海外企業「ExpressVPN」でセキュリティエンジニアとして活躍するLeeさんにセキュリティエンジニアの仕事内容やこの職種の魅力、キャリアパスなどについてお話を伺った。
セキュリティエンジニアの仕事内容について
ーー 仕事内容について教えてください
ExpressVPNには大きなセキュリティチームがあり、チーム全体で製品や従業員を含む会社全体のセキュリティ体制の整備を行っています。その中のセキュリティエンジニアリングチームに属しており、統合や自動化の要件を持っているオフェンシブセキュリティチームや脅威ハンティングチーム(※)といった他のチームを支援するツール開発に重点を置いて業務をしています。
Thank you for reading this post
編集部注(※)
オフェンシブセキュリティ:攻撃者視点でシステムやサービスの潜在的な脅威を発見して対処するセキュリティ概念
脅威ハンティング:潜在的な脅威を発見するためにログや監視データを収集・分析するセキュリティ概念
ーー 社内外のステークホルダーを教えてください
社内的には次の3者をステークホルダーと捉えています。
1つ目はソフトエンジニアリングチームです。彼らに対して私たちは自社プロダクトのセキュリティを改善したり、ユーザーのセキュリティを維持するためのサポートを行います。
2つ目はPCを利用する全従業員、つまり全員ですね(笑) 全従業員のセキュリティを守らなければなりません。
3つ目がセキュリティチーム自体です。プロダクトのセキュリティプロセスの一部を所有していますので、それがステークホルダーそのものですね。
社外的には、監査役とベンダーがあります。
監査役は、私たちが常にコンプライアンス要件を満たしていることを確認する必要があります。ベンダーは、多くの内部セキュリティに関してサービスを提供します。
チャレンジやモチベーションについて
ーー 一番大きなチャレンジは何でしたか?
これはサイバーセキュリティエンジニアリングの分野での「あるある」とは言えないものですが、私たちはExpressVPNにおいて物理的なセキュリティも管理しています。オンラインセキュリティと同じように重要なものですが、サイバーセキュリティの慣習では対処できません。ドアアクセスなどは通常オンラインでモニタリングされるものではないのですよね、だからこそ大きなチャレンジでした。物理的に何かが起こるまで異変に気付かないからです。
これに対して、非常に創造的なソリューションを考え出さなくてはなりませんでした。それに加え、現代的なワークカルチャーでは就業時間がフレキシブルであるため、決まった時間でオフィスを閉めておくことができません。そのため、オンラインシステムと統合でき、監視・リモート管理しながらセキュリティを確保できるより柔軟なカスタムソリューションが必要でした。
そこで私たちは物理的なセキュリティシステムとオンラインシステム間でコミュニケーションを取るためのセキュリティボットを開発しました。またオンラインシステムと既存のメッセージングシステムを統合し、物理的なセキュリティに対して起こる様々な問題を監視し、検討できるようになりました。これにはいくつかのソフトウェア開発とオートメーションツールも導入しています。
通常業務を超えて探求・挑戦することを許容してくれた会社やマネージャーに感謝していますし、最終的に素晴らしい方法で問題を解決することができました。
ーー 仕事のモチベーションは何ですか?
問題を解決することを楽しんでいるので、タスクやプロジェクトを完了する度に爽快な気分になり、達成感を感じます。
さらに内部・外部のユーザーが、私たちが実装したセキュリティ制御でより安全になっていることを確認できます。それに満足感を感じモチベーションにつながっています。
例を挙げると、最近、従業員の一人が誤ってダウンロードしたマルウェアを検出して封じ込めることができました。検出はEDR(Endpoint Detection and Response)システムで行われ、封じ込めはほぼ即座に行われました。調査の結果、脅威にさらされているデータは無いことが分かり安心したのですが、マルウェアはフィッシングメールを介して侵入しました。非常に多くの種類が存在するため受信する可能性のある全てのフィッシングメールをブロックすることはできませんでしたが、追加したセキュリティレイヤーによりこれを検出できました。
これは内部・外部のユーザーを保護するという点で実装したセキュリティレイヤーが非常に役立ったということです。
セキュリティエンジニアへの転職やキャリアパスについて
ーー 未経験からセキュリティエンジニアに転職する場合、どんなバックグラウンドや経験が役に立つでしょうか?
面白い質問ですね。私自身を例にお話ししようと思いますが、セキュリティエンジニアのファンクションはまだそれほど確立されていないということもあるので、企業によって異なるということが前提です。
10年程前は(エンジニアが大きく括られて)「IT」と呼ばれていました。つまりITと言えば、ITに含まれる全てのものだったのです。
これと同じようにセキュリティエンジニアと言っても様々なファンクションがあるのですが、今は「セキュリティエンジニア」として大きく括られています。
例えば、私はセキュリティに関するちゃんとした教育を受けてはいませんし、大学の学位もありません。色々な方面からここに来ることが可能ですが、好奇心旺盛なマインドセットを持つことがとても重要だと思います。なぜなら、私たちは急速に変化するテクノロジーの中にいるからです。学ぶことや成長することに興味が無ければ、変化に対応してスキルアップすることは困難です。
そして、セキュリティは常に進化し、私たちが世界で目にしている脅威、攻撃の種類も年々増加しています。それについていくには自身のモチベーションが必要です。
また、セキュリティはブロックですから、日常生活の中での常識がセキュリティにも適用できます。例えば外出や旅行する時に、自分のお金を周りの人に見せびらかしたりしないですよね。これはサイバーセキュリティで行うことと同じです。現場のエンジニアとしてこうした常識を当てはめることを実践し習慣化したいと思うのです。こういった意識や好奇心旺盛なマインドセットはこのポジションに就くために役に立つでしょう。
テクニカルスキルで言えばソフトエンジニアリングのスキルが役に立つと思います。
ーー おすすめの学習方法はありますか?
興味を持っている業界に目を向けてみることです。
例えば、私たちのようなVPNプロダクトのカンパニーに興味があるなら、当社のセキュリティエンジニアの業務内容や使用しているツールを見れるので、そこから探求や学習を始められるでしょう。ジョブディスクリプションを見ることで、その企業が何を求めているかを知ることができるのです。
その際に重要なことは「なぜ」という疑問を持つことです。
「なぜそのツールを使っているのか」、その意図を知る必要があります。意図を研究するにつれてセキュリティについて理解するようになります。
2つ目に、セキュリティカンファレンスに参加することをおすすめします。また世界中にローカルのミートアップグループもあると思います。
Capture The Flag(CTF※)という、システムのセキュリティ脆弱性を発見するコンペティション大会に参加するのもいいでしょう。
分かり易い例を挙げてみますと、安全な家であるということを知るには、家に侵入しようとする必要がありますよね? それと同じで、脆弱なシステムに入るアタッカーになろうとするわけです。もしシステム侵入に成功できたら、それは正しい防御ではないことが分かります。脆弱性を検出することを学び、防御を学ぶことができます。これらはすべてセキュリティを学習するプロセスなのです。私も過去のCTFで多くのことを学びました。
編集部注(※)
CTFについてはこちらのサイトが参考になります
ーー もしLeeさんがセキュリティエンジニアの面接官だとしたら、どんな質問をしますか?
3つに分けて質問します。
初めに、例えば暗号化テクノロジーについて、いつどのようなテクノロジーを使用するかをお聞きします。
幅広い暗号化テクノロジーがありますが、この質問で見ようとしているのは、譲歩やトレードオフを十分に理解できているかどうかです。この種の質問をすることで、候補者がが様々なテクノロジーに興味や関心を持っているかどうかを知ることができます。そしてそれらをどうやって比較・トレードオフし、いつ使うかについて彼らの理解を知ることができます。これはとても重要なことです。なぜならエンジニアリングとは応用だからです。
次に今まで行った自動化の例を挙げてもらいます。
セキュリティエンジニアリングにおける我々の作業の大部分は自動化されています。私たちは、オフェンシブセキュリティチームと脅威ハンティングチームの自動化と調整を支援しています。どんどん人を雇う訳にはいかないので、アウトプットを増やすために自動化する必要があります。
どのように自動化を行っているか、例を挙げてもらうことによって、実際に彼らが何を考えているかを知ることができ、掘り下げてトレードオフがあるかどうかを尋ねます。繰り返しになりますが、エンジニアリングやセキュリティには常にトレードオフがあります。どのようなトレードオフを選択し、何を考えていたかということです。トレードオフはエンジニアにとって非常に重要なスキルです。
そして最後に、脅威モデリングシナリオの例に移ります。ソフトウェアやシステム、サーバーの観点からシナリオを示し、安全でないことをどのように認識し、どのように保護するのかを聞きます。先ほどお話したCTFはこれらのことを学習するという点で非常に役立ちます。
ーーセキュリティエンジニアのキャリアパスについて教えてください
私の見解ではセキュリティエンジニアになるには2つの道があります。そして、進む道も2つあると思います。
セキュリティエンジニアになるためには次のいずれかを選択します。
オフェンシブセキュリティや脅威ハンティングを行う典型的なセキュリティチーム、いわゆるレッドチーム(攻撃)とブルーチーム(防御)、またはソフトウェアエンジニアリングです。
セキュリティサイドから入った場合はソフトウェアエンジニアリングについて学びます。逆にソフトウェアエンジニアリングから入った場合はエンジニアリングの観点をある程度分かっていますので必要なのはセキュリティについて学ぶことです。
セキュリティエンジニアリングは両方の分野を組み合わせたものであり、それらを調整や自動化に適用します。
ではセキュリティエンジニアの次のキャリアについてですが、これは会社によりかなり異なります。私たちの会社を例にとるとIC(Individual Contributor role/管理職ではない専門職)と管理職の道があります。ICには非常に長い道のりがありますが、多くのエンジニアはエンジニアリングワークが好きで、彼らは人を管理するのが好きではありません(笑)。いえ、管理よりもテクノロジーを好むという意味です。
なので、好みによって、ICとしてのキャリアを進むか、マネージャーとしてセキュリティエンジニアチームを管理するかを選ぶことができます。
ーー昇進するために必要なスキルは何ですか?
ExpressVPNを例に取るとソリューションを設計し、組み立てる能力は非常に重要です。若手の頃はエンジニアリングソリューションを私たちが分解したタスクを行いますが、上級職になればソリューション全体を設計し、さまざなトレードオフを検討する必要があります。面接の際、候補者に尋ねる部分でもありますね。
次に、ビジネスニーズをエンジニアリング仕様に変換する能力です。これは非常に重要です、なぜなら、一日中ただテクノロジーについて話すことはできないですよね。結局はビジネスなので、会社で何を推進し進歩させるのか、ビジネス要件を理解できることが必要です。
ビジネスでXとYを実行する必要があるなら、それをテクノロジーやエンジニアリング仕様に変換する必要があり、チームの他のメンバーが何をすべきか理解できるようにする必要があります。
最後に、非常に重要なのに多くの人が重きを置いていないのが、「ソフトスキル」です。ソフトスキルは我々の成長にとってとても重要です。コーチングやチーム間コラボレーションです。これらはチームに加わった時に高く評価されるスキルです。チームの成長やより強いチーム作りに役立つからです。
ー取材協力ー
Express VPN International Ltd.
ユーザーのWebトラフィックを暗号化しIPアドレスをマスクするプライバシー・セキュリティツール「ExpressVPN」を提供・販売する企業。ExpressVPNのサーバーネットワークは、94ヶ国160のVPNサーバーロケーションをカバー(2021年8月時点)。今回インタビューに協力いただいたLeeさんがExpressVPNの自社ブログでもセキュリティエンジニアの仕事について解説しています。
インタビューの動画版はこちらから視聴いただけます。
タリスマンでは各種業界・外資系企業転職に関する情報交換から、きめ細かい転職サポート、英語面接指導など転職成功に向けて充実したサービスをご提供しております。
まずはお気軽にご連絡ください。
