はじめに

みなさま、明けましておめでとうございます！アセスメントサービス部診断五課の小橋と申します。

「面白い人材が集まっていそう」・「ブランディングができている」・「セキュリティに全力投球」、そして「なんかわくわくする」という思いから2024年にGMOサイバーセキュリティ byイエラエ株式会社(以下、GMOサイバーセキュリティ byイエラエ)に入社しました。現在はWebアプリケーションの脆弱性診断員としての業務はもちろんのこと、こうしてブログを執筆したり、イベント参加/運営、部活動等々、幅広く楽しみながら日々を過ごしています。

さて早速ですが、新しい年の始まり、気持ちをリフレッシュして、環境や働き方をゆるっと見直してみるのはいかがでしょうか。

そこで今日は、同じく脆弱性診断業界からやってきた3名に、業界経験者の目線で当社について存分に語ってもらいました。前後編の座談会形式で余すところなくお届けします。

・同じ会社でずっと脆弱性診断をやってきたけどこのままでいいのかな…？

・脆弱性診断を続けていきたいけど時間的・地理的にきつい、人間関係に疲れた…

・セキュリティ人材として成長できる環境に身を置きたいな…

・GMOサイバーセキュリティ byイエラエって興味あるけど実際どうなんだろう…？

このような思いを抱えて転職を検討している皆様にとって、

この記事が判断材料のひとつになれば幸いです。

もし「ちょっといいかも」と感じていただけた方は、ぜひ採用情報もチェックしてみてください。弊社ではホワイトハッカーとして一緒に働く仲間を募集中です。

座談会参加者紹介

デルタさん

「沖縄からフルリモートで、Web・ネットワーク・SIEMなどの10年超キャリアを武器に」

沖縄県在住。前職では、Webアプリケーション診断を約2年、ネットワーク診断(プラットフォーム診断)を約4年半。

さらに前々職では、SIEM製品の導入支援なども行い、セキュリティ関連業務は通算10年以上。

2024年11月入社。アセスメントサービス部診断五課にてWebアプリケーション診断を担当。

山崎 大観さん

「診断歴10年、他社のやり方を知るために飛び込んだベテラン診断員」

神奈川県在住。組み込みなどの開発を約10年、

その後、一つのセキュリティベンダーでWebアプリケーション診断を約10年。

2024年8月入社。アセスメントサービス部診断二課にて主にゲーム系のWebアプリケーション診断を担当。

山村 祐樹さん

「脆弱性診断員として、より成長できる環境を求めて」

長崎県在住。IT専門学校卒業後に上京し、SESとしてWeb開発を2年間経験。

その後、セキュリティベンダーでWebアプリケーション診断を約3年半、スマホアプリ診断を1年担当。

2024年10月入社。アセスメントサービス部診断三課にてWebアプリケーション診断を担当。

どうしてGMOサイバーセキュリティ byイエラエに？――転職理由と入社前の準備

小橋：――まずは山崎さん。なぜGMOサイバーセキュリティ byイエラエに転職を？

山崎：私の場合は、「他社の診断のやり方を知りたかったから」です。前職は10年程度同じ会社で脆弱性診断をやっていまして、どうしてもそこで経験したことが自分の中で常識になってしまう。もちろん良い面もあるのですが、惰性も少なからず混ざるんですよね。外に出て、その当たり前を壊してみたかった。そう一度思ってしまったら無性に気になってしまって…ただそれだけで転職を決意しました(笑)

小橋：転職準備は何を？

山崎：GMOサイバーセキュリティ byイエラエでは診断時のツールとしてBurpをメインに使用するのですが、前職ではOWASP ZAPというツールを使用していたため、入社前にBurpの使い方、主にスキャンの実施方法や拡張機能を一通りさらいました。あとは前職とは異なる報告書の型を受け入れる心構えを整えていました（笑）。

小橋：僕も前職は診断ツールとしてVexを主に使用していたので、Burpの使い方は事前に少し学習しました。

山崎：けっきょく入社後もあれこれどうやるんだろうとか色々とわからないこともありましたが、皆さんが優しく教えてくれますし、すぐに慣れましたね。

小橋：デルタさんはなぜ当社に転職を？

デルタ：僕は働き方（フルリモート）と技術レベルの両立が絶対条件でした。家庭の事情で実家に帰らなきゃいけなくなったのですが、前職ではフルリモート禁止になってしまって…。とはいえ、案件の技術的な手応えは落としたくない。正直、Webアプリケーション診断だけでは探していなくて候補はいくつかあったのですが、両方が揃っていると感じたのがGMOサイバーセキュリティ byイエラエでした。

小橋：GMOサイバーセキュリティ byイエラエはフルリモート・フルフレックスですからね。入社前は何か仕込みましたか？

デルタ：ネットワーク診断は経験長いけどWebアプリケーション診断は４年半くらいブランクがあったので、徳丸基礎試験を受験しました。WEBの診断技術の基礎知識が網羅されているので、忘れていた知識を思い出したり、現状で理解が足りないところを把握できて、診断業務の準備にとても有効でした。

※1　徳丸基礎試験とは、 ウェブ・セキュリティの名著として知られる徳丸浩氏による「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」を出題範囲として基礎的な知見と実務知識を問う試験です。

小橋：山村さんはいかがですか？

山村：私は元々上京した理由が、地方より東京の方が成長できる機会が多いかなと考えていたからなのですが、自分が教える立場になってきて技術力の成長に陰りが見えてきてしまって。前職も悪くなかったのですが、もう少し技術力の高い会社に行ってスキルを改めて磨きなおしたいなと思ったんです。

あとはやっぱり地元に帰りたくて(笑)。フルリモートのGMOサイバーセキュリティ byイエラエに決めました。

入社準備は逆に何もしないで休むことに専念しました(笑)。有給5週間で体力と集中力を満充電、英気を養いました。前職が激務だったのもありますが、入社後は全力で業務に取り組みたかったので。

小橋：なるほど、ありがとうございました。転職理由と準備は十人十色。人の数だけ色々ありますね。

正直どこが不安だった？――入社前の不安とフォロー

小橋：――経験者でも不安はありますよね。一番大きかった不安は？

山村：転職スパンの短さですね。5年で2回目の転職だったので採用側にどう映るのか。ただ、実際に感じたのは「いま何ができるか／どれだけ意欲があるか」を見ているようで、杞憂でした。

小橋：僕の感覚でもIT業界は人材の流動性が高いので、ある程度であれば大丈夫そうだなと思いますね。

デルタ：僕は同僚や上司との人間関係。こればっかりは入ってみないとわからないので、転職の度に毎回不安になります。加えてフルリモートとなると関係構築も大変そうだなあと。あとは「GMOサイバーセキュリティ byイエラエ＝技術者の一匹オオカミ」というイメージが強かったので、チームの中で孤立しないかなとか。

小橋：大事なポイントですよね。その後、実際に入ってみてどうでした？

デルタ：天国でした(笑)。フルリモートでもツールを使ってコミュニケーションは自由にとれるので、よく巷で言われる「リモートワークは孤立しやすい」みたいなことも無く、仲良くなりたい・お話したいと思った時はいつでも連絡が取れる。そんな環境です。

それから、課によって多少の違いがあって、朝のおはよう投稿がある課もあれば、普段は静かでも質問すればすぐ返ってくる課もあります。もし自分には合わないなと思った場合は、他課への異動などの相談も可能です。

山崎：私の場合は長くいた環境を離れる怖さがあって、環境・使い慣れたツールや方法も変わるし、年齢的にも新しいこと始めて大丈夫かなとか、ネガティブな要素がぶわっと頭を駆け巡ってましたね。不安過ぎて逆に考えるのをやめました(笑)。

小橋：どこぞの少年漫画に出てくるラスボスみたいですね(笑)。考えることは大事ですが、考えるのを潔くやめるのも同じくらい大事なことですよね。その後、不安は解消しましたか？

山崎：はい。GMOサイバーセキュリティ byイエラエには優秀な若者もたくさんいて、年齢ではなく「できるかどうか」で見てくれるし、知らないことは「わからない」と言っていい空気があるので、最初に思ってた不安は徐々に解消されていきました。

小橋：入社後のフォロー面はどうでした？

山村：中途入社される方はおそらくみんな感じるとは思うのですが、最初に詰まるのはやはりレギュレーションです。社内Wiki等のツールに情報はまとまっていますが、先輩の書き方の痕跡を見て真似るのが一番早かったですね。疑問をスレッドに投げると、誰かが噛み砕いて返してくれる。助けてもらいやすい空気があります。

デルタ：制度や社内ルールのキャッチアップは、メンターや有識者にSlackで相談するのが速かったです。質問の仕方も、例えば短く背景→質問→ほしい結論の流れで聞いたりするなど、レスしやすいように工夫を心掛けました。 

いまやってる仕事は？――現在の業務

小橋：――みなさん無事に入社前の不安を乗り越えて、現在はどのような業務をしていますか。

山崎：継続顧客のWebアプリケーション診断を主に担当しています。診断二課は特定のお客様向けの案件が多い課でして。やってること自体は10年間やってきたWebアプリケーション診断なので、経験者としてはまず「期待に応える」を最優先に考えています。前職で培った知見と管理能力をGMOサイバーセキュリティ byイエラエ流にチューニングしながら貢献できることがないかを模索しています。

デルタ：僕も基本はWebアプリケーション診断を担当しています。フルリモート×フルフレックスは最高ですが、自己管理が重要です。オン／オフの切り替えを忘れると、気付けば日付が変わる頃までやってしまうので…。メリハリを付けるためのタイムマネジメントは改善中です(笑)。

山村：私もWebアプリケーション診断が中心で、入社前にイメージしていた業務内容とギャップは全く感じていないですね。それから、クローリングは専門の部隊がいるので、診断に集中できる環境も気に入っています。

まずはGMOサイバーセキュリティ byイエラエのレギュレーションに早く慣れて、一人前として働けるように多くのことを吸収することを念頭に日々精進しています。

一番大変だったところは？――苦労・つまづき

小橋：――経験者でもハマった沼はありましたか？

山村：レポートの表現と粒度の違いです。前職の言い回しだとトーンがズレることがある。また、診断判断基準まわりのドキュメントやレギュレーションが一部整っていない部分があり、そのギャップや暗黙知をキャッチアップするのに苦労しました

デルタ：レギュレーション／判断基準の整備はいい意味で伸びしろで、会社としても優先度の高いタスクとしてPDCAを積極的に回していっています。診断員同士の議論からルールを作っていく仕組みなので、実際に現場の診断で得た知見の共有や、お客様への説明を前提に分かりやすさを工夫する等、一診断員としてもとても勉強になります。

小橋：そうですね。この世界に脆弱性がある限り、改善し続けていく必要がある部分だと思います。大変ではありますが。

山崎：私も社内ルールというか流儀というかお作法を掴むのが大変でした。例えばフルフレックスなのですがみんなだいたい10時くらいに出社するんだな〜、とか。言葉にするのは難しいのですが、前職で沁みついている日常の何気ないことを、GMOサイバーセキュリティ byイエラエの日常へすり合わせていくのに最初はとまどいました。ただ、一年もすれば慣れましたね。「習うより慣れろ！」です。

良かった福利厚生やイベントは？――いい仕事をするために、会社が用意しているもの

小橋：――環境面の話も聞かせてください。アツい・刺さった制度やイベントは？

山村：私は確定拠出型年金(401k)です！401kは在籍が長くなるほど効いてきます。5年でほぼほぼ満額出るんで、長期雇用を支援する設計だと感じました。

デルタ：すぐには使えないですが、年収にプラスで課税されない資産形成は嬉しいですよね。

それから、僕は機材購入補助（10万円）が気に入ってます。自宅環境を整えやすい。後は「GMO AIブースト支援金」で有料AIツールを業務・学習に使えるのも良いですね。日々の生産性に直結してます。

山崎：「天秤AI Biz byGMO」という複数AIの同時比較ができるサービスを利用できるのも地味に良いですね。色々なAIの使用感だったり強味とかも体感できるので。

小橋：長期的な視点での会社からのサポートは安心しますよね。AI活用の投資もしてくれるのも、これからの時代で必須の技術だと思うのでありがたいです。

小橋：良いところがたくさんあるので僕からもいいですか。まず、僕はオフィスのランチが気に入っています。毎日違う食材でおかずが6種類程もあって、栄養バランスもしっかりしているので、何も考えないでも健康に投資できる。ジムもあるので、最近は週3くらい出社しています。

また、金曜の夜はバータイムというものがあり、軽食＆お酒も飲めますし、毎週異なるイベントが実施されるのでとても楽しいです！ 対面でのコミュニケーションも楽しみたい人にはオススメです。

それから、セキュリティイベントにも積極的に参加していまして、「DEF CON」、「CODE BLUE」、「Hardening Project」等々、外向きの技術活動にも参加できるチャンスがあるのも魅力です。

あとは部活動ですね。ゲーム部・けいおん部・マージャン部・競馬部・アウトドア部・英語学習部などなど…多様な部活動がありまして、これがまた面白いです。適当にゆるくやっている部もあれば、年に一回のライブに向けてがんばっている部もあります。仕事以外でも好きなことをやれるステージが整っています。

小橋：すみません、たくさん語ってしまいました…最後はパートナー全員の共通見解で締めたいと思います（笑）。

※2　GMOインターネットグループでは社員のことを「パートナー」と呼んでいます

一同：「フルリモート・フルフレックス」が最高！！！

（後編では、将来のキャリアパス・GMOサイバーセキュリティby イエラエとは？、そして経験者から未来の仲間へのメッセージをお届けします。）