こんにちは、Software Engineerの@sota1235です。最近の趣味はギター練習です。
今回は私が所属するセキュリティチームで新たにソフトウェアエンジニアを募集し始めた話をします。
採用目的が全開みたいなタイトルになっていますが、伝えたいことは「セキュリティエンジニアだけでなくソフトウェアエンジニアをセキュリティチームで募集するに至った」背景です。
10Xのセキュリティチームが組成されてから1年半でどのような変化があり、どんな課題を解決するためにこの意思決定に至ったのか。なぜソフトウェアエンジニアが必要なのか。
スタートアップにおいてプロダクトのセキュリティ品質を担保するための体制をどう組み立てていくかの一例として参考になれば幸いです。
目次
ソフトウェアエンジニア(Product Security Ops)とは
セキュリティチームで新たに募集を開始した職種がソフトウェアエンジニア(Product Security Ops)です。
ソフトウェアエンジニア(Product Security Ops) / 株式会社10X
詳しくはJob Descriptionを読んでいただきたいんですが要約すると「プロダクトセキュリティ領域で課題解決に取り組むソフトウェアエンジニア」であり、既に募集されているセキュリティエンジニア(Product Security)という職種とは明確に違うポジションとなります。
セキュリティエンジニアとの差分を敢えて書き出すとすれば以下のような点が挙げられます。
- セキュリティ領域でのスキルセット(脅威分析、脆弱性診断、etc...)は必須ではない
- ソフトウェアエンジニアとして求められるスキルが必須である
- 基礎的なInfrastructure、Network等の知識を持っている、コーディングを行いアプリケーションを構築することができる、etc...
- プロダクトにおけるセキュリティ領域への関心は必須だが、セキュリティエンジニアとしての経験やセキュリティチームで働いた経験は必須ではない
セキュリティエンジニアと比べて、セキュリティ領域でのハードスキルを持たずとも要件を満たすような職種になっています。
なぜソフトウェアエンジニアの募集をするのか
上記の職種説明を見て「セキュリティチームで働くのにセキュリティスキルは必要じゃないの?」と感じる方もいると思いますが、10Xのセキュリティチームがこの職種の採用に踏み切ったのには2つの理由があります。
1. 現在のセキュリティチームを構成するメンバーがソフトウェアエンジニアであること
10X内部の話をすると、セキュリティチームの構成メンバーはチーム結成当初と変わっておらずソフトウェアエンジニア2名体制*1です。
結成当初はソフトウェアエンジニアとしての知識で分かる領域から手探りで課題を解決していく、という感じでしたが課題解決を進めながら様々な情報をキャッチアップしチーム内で共有することで少しずつセキュリティ領域における知見が溜まってきました。
セキュリティに特化した人材がいた方がBetterというのは今も変わりませんが、一方でソフトウェアエンジニアの立場でもセキュリティ領域で一定の成果を出せることが分かってきました。
2. 直近で見えているセキュリティ領域の課題の大半はソフトウェアエンジニアの力で解決できること
セキュリティチームが中長期間で取り組みたいことを洗い出した際、リストにある大半の課題や取り組みはソフトウェアエンジニアのスキルを使うことで推進できるものが多いことがわかりました。
いずれ全貌をプロダクトブログ等で共有できればと思いますが、いくつか具体例を挙げます。
- npm, pub等の3rd party packagesの更新体制の構築
- 不正アクセス / 不正利用の対策や検知
- システムを外部連携する際のセキュリティ面設計
- 認証/認可基盤の構築
これらは一定、セキュリティ面でのキャッチアップが必要な一方で実際の開発現場の肌感を知っていることや高いコーディング能力、課題解決能力を持っていることで強く推進できる側面も大きいです。
これら2つの理由から現在の10Xセキュリティチームではソフトウェアエンジニアを採用することでセキュリティの施策を大きく推進できるだろうと判断し、新しい職種の採用に踏み切りました。
どんな機会があるのか
最後に、今の10Xセキュリティチームではどんな機会が待ってるのかを説明します。
プロダクトセキュリティ面での品質強化の初期フェーズに携われる
10Xは組織、事業ともに大きく成長してきました。またこれからも10xしていくよう会社一丸で粘り強く仕事に取り組んでいます。一方でプロダクトセキュリティの領域は事業、プロダクト規模から見るとまだまだ踏み込む余白が大きい領域です。
フェーズとしては今だからこそプロダクトセキュリティ領域に本気で取り組むことで5年後、10年後の組織の姿を大きく変えられるフェーズです。
セキュリティはセキュリティチームがだけが頑張ればいいものでは決してありません。セキュリティの桶の理論は有名ですが、エンジニアに限らず会社のメンバー一人一人がセキュリティに関して共通認識を持つことが重要です。
この共通認識を作るのは文化を作るのとほぼ同義であり、組織が大きくなればなるほど後からインストールするのは困難です。
10Xは幸いなことに経営メンバーから会社全体まで「セキュリティって必要なことだよね」という同意は取れている状況です。この同意が自然消滅する前にいかに文化として根付かせるか。10Xなりに目指すべき情報セキュリティの在り方は何なのかを描いていくフェーズがまさに今です。
未経験でもプロダクトセキュリティの領域にチャレンジができる
ここまで述べてきた背景から、セキュリティ領域の尖ったスキルや経験が無くてもソフトウェアエンジニアを今の10Xチームは必要としています。
セキュリティ領域に興味はあるが機会がない、と考えてるソフトウェアエンジニアの方がもしいれば今の10Xはチャンスと捉えることもできると思います。
もちろん、プロダクトセキュリティへの強い関心やプロダクトへの共感は前提としつつではありますが少しでも興味があればカジュアル面談でお話ししましょう。
最後に
セキュリティ領域に限らず、特定の領域に特化したスペシャリストは間違いなく必要な存在です。
一方でフェーズや課題によってはソフトウェアエンジニアとしてのスキルを存分に活かすことで価値を出せることもわかったのがこの1年半でした。
そんな10Xのセキュリティチームの話を実はオンラインで!無料で!明日!聞くことができます。興味があればご参加ください!
今回参加できずとも、今後も継続的にイベントを行う予定なのでチェックをお願いします。
また、もちろんですがセキュリティチームの採用も絶賛行なっています。まずはカジュアル面談から、という方もご相談ください。
ソフトウェアエンジニア(Product Security Ops) / 株式会社10X
セキュリティエンジニア(Product Security) / 株式会社10X
*1:合わせてSREチームを同時に担当するEngineering Manager1名の体制ですが、主に稼働するのはソフトウェアエンジニア2名となります
