トップ > Security > セキュリティチームの専門性を高める業務委託との協働

セキュリティチームの専門性を高める業務委託との協働

Security

みなさんこんにちは、セキュリティチームの@sota1235です。

久々の会社ブログ投稿な気がしますが、今回は今までの記事とテイストを変えてセキュリティチームの成果にフォーカスしたいと思います。

背景から丁寧に書いていこうと思っているので前提パートが長いのですが、タイトルにある業務委託の方とどう協業するかという部分を真に理解してもらう上では大事な前提だと私は思ってるので、できればお付き合いください。

(でも忙しい人は読みたい部分だけ読むでもいいですよ、今ならLLMに要約させてもいいかもしれません)

チームの成果とは

この記事の中ではチームが良い成果を目指す前提のもと、成果の構成要素のうちずアウトプットの質アウトプットの早さに着目します。いわゆるQCDでいうところのQとDです。

どれくらいの質と早さが求められるかは解くべきIssueに対して取り組むタイミングで変わるので常に100点 + 最速を目指すのが正解ではないです(というか常に満点が取れるなら苦労しないですよね)。

とはいえチームの能力や体制を見た時に質、早さのキャップがあるとどちらかで高い水準が求められるIssueと向き合うときに目指す成果を得られないことになります。

たとえば

読者の皆様が想像しやすいよう、具体的な架空の例を挙げてみると「社内の個人情報がどこにあるのかを把握できていない」という課題に向き合う際、そもそも個人情報を正しく定義できなければ成果の質が大きく下がり、出せる成果の最大値をそこから上げるのが難しくなります。

そこで成果の最大値を押し上げるためにそのIssueで必要な知識をインプットする、という選択肢も当然ありますがこれには時間がかかるため今度は早さに影響が出ます。

この例であれば個人情報保護法に関する知識や参考となるセキュリティフレームワークをキャッチアップする等が考えられますが、それらは一朝一夕にいかない以上早さを大きく犠牲にするかどうかの選択を迫られます。

質と早さを上げるには

このトピックに深入りするとそれだけでこの記事が終わってしまうので、あえてわかりやすい手段をいくつか挙げてみます。

  • チームの人員を増やす
    • 人が増えれば捌けるIssueの量が増えるだろう、というロジック
    • もちろん現実は決してこんな単純じゃないんですが、この場では割愛
    • これをするには前提として増やすための人的リソースが必要となり、金銭的な原資も当然必要です
  • チームメンバーの能力を上げる
    • 成果の質のキャップを押し上げるイメージ
    • たとえば知識をキャッチアップしていくことはこれにあたる
    • 経験を得るには時間が必要なのでこちらは一朝一夕では行かない

そもそも論、アジャイル開発でいうところのトレードオフスライダーの考え方に則り取捨選択をするみたいな考え方もあると思うんですがチームを長期的に運営していく観点に立つとこの2つの手段は実は常に向き合い続ける必要があるのではと個人的には考えています。

10Xのセキュリティチームの成果を最大化する

チーム体制

10Xのセキュリティチームとしての発信を開始してから最近まで、社内のチーム体制は僕含めSWE 2名 + サポートとしてEM1名のみでした。

SWE 2名はもともとセキュリティ関連の業務に専任で取り組んだ経験がなく、いわば成果を最大化する上でアウトプットの質にキャップがある状態からスタートしました。

他のブログ等々で発信しているとおり、セキュリティチーム未経験であってもSWEの専門性を活かして成果を出せる領域は多くありました。一方で、その領域から外れた際にアウトプットの早さ、質の両面で得意領域ほどの水準が出せない悩みがありました。

早さと質を上げていくための取り組み

悩みはすなわちチームのIssueなのでその解決のためにいくつか取り組みを行いました。その中には現在も続いているものもあります。

具体的には次の取り組みをしてきました。

採用活動

体制に欠けていたセキュリティの専門性をチームにもたらすための採用活動を行いました。いわゆる1人目セキュリティエンジニアの採用活動です。

人員が増えるという点で早さ・質の両面に作用することを大きく期待していました。

チーム輪読会の実施

業務で臨むIssueに対してオンデマンドにインプットする機会とは別に、自分たちの知識の下地を整えていくために輪読会を開始しました。

これは現在も続いており先月、第50回を迎えました。これは別でブログ記事にする予定です。

他チームとの連携

未経験のSWE 2名、かつ課題も多い状態だったので他チームに依頼したり移譲できるものは積極的に移譲しました。

というか10Xの各メンバーが優秀で気づいたらがっつりセキュリティ方面の守備をしてくれていることが多々ありました(いつもありがとう)。

たとえばプロダクトで取り扱うプライバシーデータに対する統制はデータ基盤チームが行なったり、Google Cloudの権限管理の基盤となる仕組みはSREチームが組んでくれています。

事業観点での優先順位づけ

早さが一定以上出せない以上、Issueを解いていく順番がとても重要です。

その優先順位づけに強い専門性を発揮できないのですが、一方でSWEとして培ってきた事業観点で優先順位づけは可能でした。

セキュリティ活動の目的はセキュリティ活動を完遂することではなく、事業上のリスクを最小化することです。

幸い、チームを作ったタイミングからこの意識を持てていたので今振り返ってみてもそれなりに精度の高い優先順位づけができていたと思います。

いろいろな取り組みをしていたが…

これらの取り組みの多くは功を奏し、セキュリティチームは少しずつ立ち上がっていきました。

一方でなかなかうまくいかなかったのが採用活動でした。

私たちが求めていた1人目セキュリティエンジニアに求める能力はとても高い水準でした。それに加えて機会の少なさや小さいマーケット等の理由から採用活動は難航しました。

結果としては採用活動を行っていた期間に成果を出すことはできませんでした。

一方で採用ができない、もしくはコントロール不能な変数(たとえば1年で1名採用みたいな目標が実態として機能しない状態)なのであればチームのアウトプットの質を最大化させるための専門性をチームとしてどのように獲得するかが最大かつ緊急性の高いIssueとなりました。

やっとタイトル回収なんですが、このIssueを解決する手段として業務委託の検討を始めました。

業務委託の方との協業

セキュリティ業務を外注する難しさ

個人の感想ですがセキュリティ業務はSWEの開発業務と比べると相対的に外注するのが難しいと感じました。

理由は2つあります。1つ目の理由はチームのタスクを渡そうと思った時の難易度です。

セキュリティ業務のタスクは「こうすればいい」と定義できるものがあまり多くなく、さまざまなトレードオフを加味しながらその組織そのタイミングにおいてbetterな選択肢を模索する必要があります。

業務委託の立ち位置でそれをキャッチアップしてもらってタスクをこなすのはほぼ無理なので、結果としては業務委託の方のマネジメントコストが上がる可能性が高くなります。そうなると双方の体験に悪影響が出るでしょう。

2つ目の理由は内情や文脈を必要十分量、開示しきらないと一般論的なアウトプットにとどまってしまう可能性があることです。

たとえば「Google Cloudで開発者全員にroles/owner権限がついてるんですけどどうすればいいですか?」という一文だけをセキュリティの専門性が高い方に投げたら十中八九、「落とせるなら落としたほうがいいと思います」という回答になると思います。

ただ、実際にこういうIssueが存在するのは「それができないから困ってるわけで…」となってることがほとんどです。そしてその要因は組織の文化や開発しているプロダクトのフェーズ、開発チームの規模感や会社として下している意思決定などさまざまな要素が絡むことがあります。

これらをきちんと認識した上で業務委託の方と連携して業務をしないと受注目線は「こうとしかいえないです…」となり発注側は「できるならやってるよ…」みたいなことになりかねません。

実現したい成果・解きたいIssueを丁寧に定義する

これらを踏まえて、業務委託を発注する方との調整も行いながら社内で丁寧にIssueとそれをどう解決していきたいかの整理しました。

下記は社内向けに業務委託契約の妥当性を説明するドキュメントから実際に引用した内容です。

業務委託を通じて解決したいイシュー。質と速度の両面に寄与することを期待しています

求める/求めないことの言語化。明確に作業は求めないと整理した

ほぼ同時期に2つの業務委託契約を開始したのですが、これはその片方のドキュメントです。

もう一方はまた別の整理し、期待値をきちんと握ることでそれぞれの強みや特性を活かしてもらいながら10Xのセキュリティチームの成果が最大化することを目指しました。

業務委託と協業する具体的な方法

これらの整理を経て契約し、結果として片方は現在も継続。もう片方はぴったし2年間支援してもらいました

今回は後者の業務委託の支援をどのようにしてもらったのか。そのために10X側でどのような準備をしたのかをご紹介したいと思います。

業務委託契約の内容

ざっくり記すと次の形式で支援してもらいました。

  • 週1回、1時間の同期的なMTGを行う
  • MTGのアジェンダは10Xが用意し、業務委託の方の準備はなし
  • 10X側の参加者はセキュリティチーム全員 + トピックに応じて別のメンバーを召喚

背景・文脈のインプット

先述したとおり、セキュリティ領域において相談や解決策を求める際にその背景や文脈が抜け落ちると一般論的な解決策に落ちてしまいます。

なのでそれがなるべく発生しないよう、初回 + 半期ごとに会社や事業の状況。チームの状況をインプットするタイミングを設けました。

もちろん通常回でも背景や状況は共有していたのです。一方で10X目線は当たり前に認識している状況も、週1時間しか10Xの時間がない業務委託の方が同じレベルで認識するのは不可能なので定期的にインプットする時間を意識して設けました。

相談トピックのフォーマット

相談トピックは10Xが毎週持ち込みを行う形式でした。ただ、日々の業務で忙殺されてしまうと業務で思いついた相談トピックを忘れてしまったり直前になって思い出す作業が発生してしまうので、ふとしたときに気軽に追加できるようNotionのDatabaseでテンプレを作成して運用していました。

モザイクの中身見たい人はカジュアル面談しましょう

テンプレの内容はこんな感じでした

相談トピックテンプレート

このDatabaseで相談トピックを溜め込み、毎週1時間のMTGではこのDatabaseを上から順に相談していきました。

成果はどうだったか

結論からいうと最初に設定した期待値を満たすことができ、「10Xのセキュリティチームの専門性を上げる」というIssueに寄与できました。

個別の相談トピックを専門性や経験を持った業務委託の方に消化してもらうことで質・早さの両面が改善されたことはもちろんですが、その相談ごとや議論の過程で10Xのメンバーが学べることも多くあり結果としてチームメンバーのアウトプットの質の向上にも大きく寄与してもらいました。

振り返ってみると相談トピックの粒度は大小さまざまなものの、168件ほど消化していました。これだけの数の相談ごとがもし業務委託の方の支援無しだったらと思うと…頭が上がりません。

なぜうまく協業できたのか

当たり前なんですが、大前提としてご支援いただいている業務委託の方の能力が本当に高いというのがあります。

それを踏まえた上で、10Xとしてそのご支援をセキュリティチームの成果までいかにつなげ、還元するかをうまく設計できたのも良かったんじゃないかなと思っています。

自分も業務委託として働いた経験があるので思うんですが、社員と業務委託だと立場が違えばその会社の業務に使う時間も天と地ほどの差があるのでどうしても認識や文脈のギャップが生まれます。それを認識せずに「この方は優秀なんでよしなに支援してもらおう」だとその方のポテンシャルの半分も引き出せずに終わることが起きえます。

特にセキュリティ領域においては気をつけないとそれが起きるんじゃないかなと思っています。

もしも似たような状況で業務委託を検討している方、すでに業務委託と協業しているがもっと改善できるのではないかと思ってる方がいたらそういう方々にこの記事が届いてくれるといいなと願っています。

未解決(?)問題 - 業務委託の探し方

最後に、そもそも優秀な業務委託の方をどう探したのか。どう探せばいいのかについて触れておきます。

結論からいうと10Xの場合はリファラルでみつけることができました。なので実は少し生存バイアスがかかった記事になってしまってるかも、という不安はあります。

ただ正社員として採用するよりはずっとハードルが低いと思っていますし、サイバーセキュリティ関連のコミュニティも多くあるので似たようなアプローチを検討されてる方はそういったコミュニティ等に足を運んで繋がりを広げていくところから始めるといいかもしれません。

最後に

実はこの記事を書こうと思ったきっかけは、記事中で触れていた2年間支援してもらっていた業務委託のyagihashさんが2025年6月に入社してくれたというのがあります。

なので現在の10Xのセキュリティチームの体制はSWE 2名 + yagihashさん + 業務委託でのご支援1名、となります。

まだ入社してくれてから1か月弱ですが、すでにセキュリティチームの成果、それこそ早さと質が徐々に上がっているのを感じており色々な取り組みが前に進む予感がしています。

その辺りのお話の記事も徐々に出していけたらと思うので今後もお楽しみにしてください!それではまた。