コーポレートITに留まらず、自社プロダクトの根幹を担える「セキュリティエンジニア」の魅力に迫る

こんにちは! 図面 / 現場施工管理アプリ『SPIDERPLUS』を開発・販売するスパイダープラスの採用広報の樋口です。

お客様にとって価値のあるプロダクトを提供するには、プロダクトの仕様や機能を追求することが大切です。それと同じくらい重要なのが、プロダクトのセキュリティをしっかりと担保し、安心して使っていただける状態を整えること。

今回は、そんなプロダクトの根幹の部分を支える「セキュリティエンジニア」の業務にクローズアップします。当社のVPoEである石井功一さん、情報システム部の部長である中島啓太さんに「S+のセキュリティエンジニアならでは」の、仕事のやりがいや魅力を聞きました!

▶石井功一 執行役員VPoE

広告業界、通信業界にてシステム責任者などを歴任。2020年にS+に参画し、現在はエンジニア部門のマネジメント責任者。

▶中島啓太 コーポレート本部情報システム部部長

IT業界にてインフラ整備やセキュリティ対策プロジェクトに従事。S+に参画し、現在は情報システム部部長。

 

※所属部署・役職など、記事の内容は取材時点(2022.4月末)のものです

※本記事では会社名を「S+」、プロダクト名を『SPIDERPLUS』と表記をしております。

コーポレート側とプロダクト側、俯瞰的な視点でセキュリティ業務を担うポジション

——S+のセキュリティエンジニアには、どんなお仕事を担っていただくのでしょうか?

中島:自社が提供するプロダクト『SPIDERPLUS』のセキュリティ強化をメインとして、全社的なセキュリティの設計を行っていただくポジションです。

具体的な業務は、プロダクトをあらゆるリスクから守るためのさまざまなセキュリティ規格を基にした評価・分析や、プロダクトの開発チームに対する改善提案などです。そのほかにも、第三者的な立場で脆弱性診断の推進や情報セキュリティインシデントが発生した際のインシデント対応などもお願いしたいと思っています。

——コーポレート側もプロダクト側も、幅広く対応するポジションなんですね。

中島:はい。全社的なセキュリティの管理において、どのようなリスクがあるのか分析して対応を行う一連の流れの中で、プロダクトの管理に関しても、全社視点から関与していくような立ち位置となっています。

石井:セキュリティエンジニアがどのような部門に所属するかは、会社によって異なると思います。S+の場合プロダクトを開発するエンジニアは、セールス部門や戦略部門と同様、「ビジネスの成長」というトップラインへの視点でバリューを発揮しています。今回のセキュリティエンジニアは、コーポレート本部に所属し、客観的視点をフル活用できる構造になっています。

——このポジションにおいて、特に期待されることは何でしょうか?

中島:セキュリティに関する業務の実行部分をまるっと担ってもらうことです。抜け漏れがないように業務を大局的に見た上で、全社的なセキュリティの設計から管理までお任せしたいと思っています。

セキュリティ管理では、ガバナンス的な目線とテクニカルな目線、2つの立ち位置から業務を進めていくことが求められます。一般的に、大企業の情報セキュリティ部門では、実際に手を動かして開発を行うような作業はほとんどありません。

S+のセキュリティエンジニアの場合は、会社規模やリソース的な観点から、それらを横断して担えるポジションです。たとえば、脆弱性診断を行う際に第三者機関による定期的な診断の他に、プロダクトのリリースに柔軟に対応できるようスキャンツールを自社内にも構築して運用するなど、必要なシステムの開発運用業務などもお願いできればと考えています。

石井:セキュリティにおいて、ガバナンス目線が強すぎると「どれだけチェックしたか」がKPIに設定されがちです。そうすると、「なぜそのチェック業務が必要なのか」を置き去りにしてチェックすることそのものが目的化してしまいます。

それは全く本質的ではない上に、プロダクトを必死に開発しているエンジニアとの対立構造が強くなりすぎてしまいます。だからこそ、プロダクトがどのような作りになっているのかをまず理解することが大切なんです。

「脆弱性診断をやるべきです」ではなく、「このような仕様であれば、次のような方法で診断したほうがいいと思います」と解像度が高く具体案までを伝えられるかどうか。プロダクトを理解した上で関係者を巻き込んで行く力が求められます。

 

プロダクトに直接関与し、大きな裁量と責任を持てるのが面白さ

——おふたりから見た、セキュリティエンジニアの面白さを教えてください。

 

中島:プロダクトを直接開発する立場にはありませんが、セキュリティという観点でプロダクトに直接関与できるところでしょうか。

開発チームのエンジニアたちと対等に話ができ、プロダクトにおける重要な意思決定に関われるのはやりがいがありますね。裏を返すと、本当にプロダクトを理解していないと最適な提案ができません。常に勉強する必要があるので、その面では良い意味でのプレッシャーを感じています。

石井:開発面に強いエンジニアでなくても、「プロダクトを守る」という非常に重い責任を担えるのが魅力です。セキュリティ観点からの原因調査/対策、顧客対応など、折衝業務にもやりがいを感じてもらえる人には面白いポジションだと思います。

中島:それと、インシデント対応は、犯人を突き止める探偵の仕事に似たところがあると思っていまして。さまざまなシステムのアクセスログを日常的に把握していると、怪しいログがあったときに「何か怪しいな」と、すぐに発見できるんです。

実際に中身を見ていって、攻撃を仕掛けようとしている兆候を探り当て、事前に止める。技術的アプローチに加えて人的アプローチで脅威と戦う点は、人によってはかなり面白さを感じていただけるのではないでしょうか。

石井:ものすごく共感します。日常的な動きをきちんとチェックしていると、少しでもイレギュラーな動きがあったときにすぐアンテナが立ちますよね。これは、プロダクト開発に集中しているとなかなか気づけない部分でもあります。周囲から褒められることはありませんが、事前に察知してリスクを回避できたときはめちゃめちゃテンションが上がります(笑)。

——プロダクトに積極的に関われたり、セキュリティ面で大きな裁量が持てたりする点は、S+のセキュリティエンジニアならではの面白さだと言えそうですね。

中島:それは間違いないと思います。私は、SIerのシステムエンジニアとしてネットワーク運用・監視、インフラ整備やサポートを行っていた経験があります。当時は出向社員として企業に常駐する形で働いていたため、自分が携われる領域にはどうしても限りがあり、直接携わった業務もいわゆるコーポレートITの領域で、顧客向けのITに携わることに憧れのようなものを抱いていましたから。

石井:私も情報システム部門の仕事をしていたことがありますが、セキュリティ回りの業務は重要であるにもかかわらず、どうしても脚光を浴びにくいポジションなんですよね。そのことには以前から疑問を抱いていました。イケてるプロダクトを企画/開発したり、皆の目に見える課題を解決したりすると賞賛されますが「そもそもその課題が発生しないようにする」という仕事を全うすればするほど、目立たなくなる役割だなあと。

でも、今までは防げなかった新しい仕組みを作ることができたり、新しいガイドラインをお客様に提案して目線合わせをしたり。セキュリティという視点から仕組みの強化を生み出せるというのは、すごく格好いいことです。

そういった光が当たるような仕事を、今後いかようにでも作れると思っています。S+はベンチャーではあるものの、建設業界という大きなマーケットにチャレンジしています。市場に対して影響力を高めていければ、従来の「情報システム」という仕事のイメージを変えることができます。そのきっかけを作ることが、私自身の一つの野望だったりします。

 

セキュリティエンジニアとして活躍できるのは、自ら学び、他者へのリスペクトを忘れない人

——セキュリティエンジニアのポジションには、どんな方がジョインすると活躍いただけそうでしょうか?

中島:現段階で、業務の全てをカバーできる人はほぼいないと思っています。さらに、新しい技術が日々どんどん入ってくる。ですがその分、自ら学んでレベルアップしていける人であれば必ず活躍いただけると思います。

一緒に業務をしていく中で、足りない部分に気づき、周りに相談したり自発的に勉強したりして、どんどん業務提案をしてもらえたらうれしいですね。もちろん、最初は私たちがしっかりとサポートします。

石井:このポジションは、社内外のあらゆる人たちと進めていく仕事です。だからこそ、まずは他者をリスペクトすることから始めることができるかがとても重要なのではないかと思っています。

セキュリティの領域は、どうしても「リスク回避のために、こうやらねばならない」というアプローチになりがちです。改善提案をするにも、どれだけ多くの人に共感を持ってもらえるかが鍵となります。

そういう関係を構築するには、今あるプロダクトに関わっている人の思いを尊重できるマインドが必要不可欠です。正義感ゆえに、その視点が抜けてしまう人って意外と多いと思うんですよね。

中島:周りとの関係性を築くのは大切ですよね。セキュリティ施策の設計をする上で、現場が普段はどうやっているのか、普段からコミュニケーションが取れていると進めやすいとも感じます。

石井:そこに意外と穴があったりしますよね。「これをやったらダメです」という一方的なアプローチばかりしていては、情報をもらえるような関係性になりません。

中島:事業を拡大していくフェーズの中では、まず事業の売り上げを立てることが大切ですよね。売り上げに注力する場合、ついセキュリティの観点は後回しになってしまいがち。そういった背景を理解せず、事業を大きくしてくれてきた先輩たちに対して、いきなり「どうしてセキュリティ管理できてないんですか!」と責めるようでは、現場との良い関係を築いていくことはできません。

S+が大切にしているバリューの一つに、「Roleplay」(他者の立場に立って考えてみよう)がありますが、セキュリティエンジニアはまさしく「Roleplay」を体現する仕事だと感じます。

——最後に、メッセージをお願いします!

中島:いま、建設DXという大きなミッションを推進する中で、プロダクトの重要な部分に携わることができるのは本当に刺激的です。

プロダクトが伸びていく中で、挑戦の機会が増えたり、新たな技術や情報が次々に入ってきたり、たくさんの変化が起きている今のフェーズ。S⁺に入社すれば、成長スピードが加速する「ロケット」に乗れますよ、とお伝えしたいですね。

大きな環境の変化やイベントを経験すればするほど、自分のキャリアにとっても糧となります。日々いろいろなことが起こるので、成長につながる環境ですよ。

石井:「アクシデントがエンジニアを強くする」とか言いますからね。乗り越えた分だけ、強くなれる。成長の機会がたくさん転がっています。ぜひ一緒に強くなっていけたらうれしいです。

——石井さん、中島さん、ありがとうございました!

当社では、選考なしの個人会社説明会としてカジュアル面談も実施しております。

少しでもご興味のある方は、こちらからポジションを参照し、ぜひお気軽にお問い合わせください!

ご連絡を心よりお待ちしております。

Recent Posts最新記事

2022.06.20

JECA FAIR 2022 ~第70回電設工業展~に出展しました

スパイダープラス株式会社(本社:東京都港区、代表取締役社長:伊藤謙自、証券コード:4192 東証グロース)は、6月1日(水)から6月3日(金)まで東京ビッグサイトで開催さ ...

2022.06.17

コーポレートITに留まらず、自社プロダクトの根幹を担える「セキュリティエンジニア」の魅力に迫る

こんにちは! 図面 / 現場施工管理アプリ『SPIDERPLUS』を開発・販売するスパイダープラスの採用広報の樋口です。 お客様にとって価値のあるプロダクトを提供す ...

2022.06.01

S+がエンジニアの評価制度に「市場評価」を反映して気付いたこと、よかったこと

S+がエンジニアの評価制度に「市場評価」を反映して気付いたこと、よかったこと <登場人物> 山根:ベンチャー企業の採用ブランディング・人事 ...

Career採用情報

私たちは建設Techを推進し、
世界を変革するサービスを
「共に創造する仲間」を募集しています。

read more

SHARE