※掲載内容は2025年4月時点の情報です。

タクシーアプリ『GO』をはじめ、移動にまつわるさまざまなプロダクトをリリースする当社では、この度セキュリティエンジニアリンググループを新設することになりました。

今回は開発本部 技術戦略部 部長で、SREグループとセキュリティエンジニアリンググループのグループマネージャーを兼任する水戸に話を聞きました。
 
新設の背景、このタイミングでジョインすることで見える景色、そしてGOのセキュリティエンジニアとして働くやりがいなどについて語ってもらいました。

セキュリティエンジニアとして、新たなチャレンジを考えている方はぜひ最後までご覧ください。信頼できる仲間と共に、世の中をより良くしていく喜びを感じられる環境が待っています。

水戸 祐介
開発本部 技術戦略部 部長 兼
セキュリティエンジニアリンググループ グループマネージャー 兼
SREグループ グループマネージャー
2010年にクックパッド株式会社に入社し、主にRailsエンジニアとしてサービス開発に従事。後半3年弱はスペインに出向して世界中に散らばったメンバーと共に海外向けサービスを開発。2018年にJapanTaxiに入社し、GOの前身となるMobility Technologiesへの統合後も継続してSREとしてインフラ基盤開発や運用に携わる。主要サービスの共通基盤への移行などを通してサービスの安定運用に貢献してきている。

目次

1. GOのあらゆるプロダクトのセキュリティを万全にしていく
2. 立ち上げのタイミングでジョインする魅力
3. エンジニアと共通のゴールを見失わないこと
4. 自分たちの仕事が世の中につながっている実感を

GOのあらゆるプロダクトのセキュリティを万全にしていく

─── 今回セキュリティエンジニアリンググループを立ち上げる経緯から教えてください。

水戸：これまでGOのプロダクトがセキュリティ対策を怠っていたわけではありません。SREグループがアーキテクチャ設計やインフラ構築などの通常業務を通して必要なセキュリティ対策を施してきました。

ただ、GOという会社の注目度や社会的責任の高まりと比例するように、求められるセキュリティレベルも上がってきていることを感じています。リソースが限られているなかで、高いレベルのセキュリティを実現することに難しさを感じるようにもなってきました。よりアグレッシブにセキュアな環境を実現するために、グループを立ち上げることにしました。

─── 具体的にどういった業務を行う予定ですか？

水戸：GOが開発するプロダクトのセキュリティ全般に責任を持つチームにする予定です。タクシーアプリ『GO』はもちろん、次世代AIドラレコサービス『DRIVE CHART』や脱炭素サービス『GX』、ドライバー向け求人サイト『GOジョブ』、乗務員向けポータルサイト、事業者様向けの管理画面なども含まれます。私たちが開発するあらゆるプロダクトのセキュリティを万全にしていくことが大きな役割です。

重きを置いているのは、単にポリシーを展開して、誰かに改善してもらうのではなく、自分たちで手を動かしてプラットフォームをよりセキュアにしていくことです。組織名を「セキュリティグループ」ではなく、「セキュリティエンジニアリンググループ」にしたのも、直接システムを改善していく役割を期待しているからです。

─── 社内のどういったメンバーと関わっていくのでしょうか。

水戸：基本的にはエンジニアチームと関わりますが、場合によってはプロダクトの要件やプロセスにアプローチするためにプロダクトマネージャーなどとも関わることがあります。

幅広いメンバーと関わることになりますが、安心材料としては、エンジニアもプロダクトマネージャーもレベルが高いことです。きちんと建設的なコミュニケーションをとって、合理的な判断をすれば納得してくれる方ばかりなので、セキュリティエンジニアとしてはやりやすいのではないでしょうか。

立ち上げのタイミングでジョインする魅力

─── セキュリティエンジニアリンググループならではの魅力はどんなところにあるでしょうか？

水戸：関わる範囲が広いので、すべてに責任を持てる点はやりがいです。「システム全体の中でここはセキュアにしたけど、こっちは穴だらけです」ではなくて、頑張れば頑張るほどGOという会社すべてをセキュアにしていけるポジションです。

実際に下地も整ってきています。今までSREはGOのサービス実行環境を標準化する活動を続けてきました。セキュリティエンジニアリンググループはその標準化した基盤のセキュリティを強化していく形になります。つまり基盤をセキュアにすることがGOのすべてのサービスをセキュアにすることとイコールなので、少ない人数でも改善の施策が全体に波及していきます。

一般的にポリシーづくりなどは全体に適用しやすいのですが、実際の施策となると個別対応になり、サービスやチームごとに「こういうポリシーでやってください」とお願いしていくことになりがちです。しかし、GOであれば自分たちで手を動かして全体をセキュアにしていけるので、大きいインパクトを残していけるのではないでしょうか。

─── やりがいの一方で、難易度も高そうですね。

水戸：正直、難易度は高いです。セキュリティというもの自体が非常に広範な知識を求められますし、それに加えて実際に自分の手で基盤を改善していく技術力も求められます。しかも、GOに限らずですが、セキュリティ強化はエンジニアに対して今まで気にしなくてよかったことに気を遣うことを求めたり、工数増加を引き起こすことにつながったりもします。会社によってはセキュリティチームと軋轢が生まれることもあります。構造的にそういった状況が起こりやすい中で、いかにコトに向かって事業やプロダクトとしてやりたいことと、安全にサービス提供することとの両立を実現するか、技術だけでなくコミュニケーション能力も求められます。

─── 立ち上げ期のタイミングでジョインする意味とは？

水戸：このタイミングでつくった仕組みが、今後のベースになっていく可能性は非常に高い。

少なくともSREは6年前につくった仕組みが少しずつ形を変えながら、今も残っています。もちろん、最初に変化に耐えうるものを目指してつくることが大事ですが、自分がGOのセキュリティを支えるベースをつくっていく責任感や醍醐味は今しか得られないものです。

徐々に時代が変わりつつあるとは思いますが、一般的にセキュリティ対策は事業立ち上げ期においてはどうしても後回しになりがちなポジションで、あとからジョインしてもすでに色々なものができあがってしまっていて変えるのが難しくなっている場合も少なくありません。

一方、GOであればそれなりに規模が拡大した今の時点においてもすべてのサービスに対して改善を仕掛けていくことができる。今回のように、セキュリティエンジニアにとってある程度コントローラブルな状況があることは世の中に多くないのではないでしょうか。

エンジニアと共通のゴールを見失わないこと

─── どういった方をお迎えしたいと考えていますか？

水戸：プラットフォームとして社内インフラなどの基盤をつくって、そのうえでサービスをつくっていく考え方を持っていることが大事です。個別対応的に「ここだけ解決できればいいや」ではなく、幅広く抽象的に考えていかないとスケールしないので、プロダクト開発の根本部分への理解や共感がないとうまく噛み合わない気がしますね。

─── スキル面はいかがでしょう？

水戸：Kubernetesを使ったコンテナ環境下でのセキュリティやAWSやGCPなどのパブリッククラウド上でのセキュリティ確保の知識やノウハウがあることを期待しています。
また、何らかのプログラミング言語による開発経験、特に実際のWebサービス開発に関わった経験もあると好ましいです。

─── マインド面ではいかがでしょうか？

水戸：GOに限った話ではありませんが、セキュリティの責任を持つチームはルールを決める側になることが多いです。ある種の権力を持つような状況を勘違いして、高圧的になってしまったり、上から目線になってしまっては、社内からの理解は得られません。いくらセキュアな環境をつくっても、プロダクトの価値を世の中に届けられなければ意味がないので、目的と手段を履き違えずに、適切でフラットなコミュニケーションを取れることが大切です。

─── 水戸さんがエンジニアとのコミュニケーションで意識していることはありますか？

水戸：2つほど意識しています。1つは、なるべく強い言葉を使わないこと。立場上どうしても相手の意向に反対せざるを得ないことがありますが、強い言葉で否定するのではなく論理的にお互いが納得できる形で合意できるようなコミュニケーションを心がけています。

もう1つは、行き止まりをつくらないことです。「どうですか？」と聞かれて「このやり方は良くないです」と伝えなければいけないときはあります。でも、「こうすればできますよ」がなければ、ただの門番係になりかねません。

より深く話を聞いて「ここはどうしても問題があるから、ここを避けたようなやり方を考えてください」とか、なるべく相手が次のステップに進めるような寄り添うコミュニケーションを意識しています。

GOのバリューにある「コトに向かう。」にも通じる話で、僕らの役割は「セキュリティインシデントを起こさないコト」ではなく、「プロダクトの価値を提供していくコト」です。スケジュールやリソースなどの制限があるなかで最適解を導いていくわけですが、エンジニアと共通のゴールを目指していることを忘れないようにしています。

自分たちの仕事が世の中につながっている実感を

─── 今回入社した方が所属するチームについても教えてください。

水戸：開発本部 技術戦略部に新設されるセキュリティエンジニアリンググループですね。ちなみに、 技術戦略部は自分も含め子持ちも多く、フルリモートで働いています。

─── セキュリティエンジニアがGOで働く魅力は？

水戸：シンプルですが、毎日街で見かける『GO』ラッピングのタクシーが安全に走っていることに直接関われることですね。社会のインフラを担っている感覚というか。

ある意味裏方的な仕事ではありますが、セキュリティエンジニアとして頑張れば頑張るほど日々目にするGOのサービスが安全になり世の中を良くしていっているという実感が得られるのではないかと思います。

それは会社が大きくなって人数が増えていっても変わらない魅力だと思います。

─── 最後にセキュリティエンジニアリンググループのこれからを教えてください。

水戸：少数精鋭のチームにします。一方で、やりたいことはたくさんあるので、チームとしても仕組み化や標準化を進めて、少ない人数でも効率的にやるべきことをやれる体制をつくっていきたいです。

また、セキュリティは一番弱いところから狙われるため、一貫性を持ってモレなく強化していく必要があります。標準化は業務効率の向上だけでなく、安全なシステムを作る上でも非常に重要なことだと考えています。

プロダクト開発において、セキュリティについて考えなくていいタイミングはほとんどありません。あらゆるところで考えないとすぐに穴が開いてしまうので、エンジニアたちは常に不安を抱えながら開発を進めていると思います。

だから、僕らは彼らの不安をできる限り取り除いてあげたい。エンジニアが「セキュリティエンジニアがつくる仕組みを使えば、安全だし、万が一モレがあってもすぐに気づいて対処できる」と安心して開発できる状態をつくっていきたいです。