【セキュリティエンジニア向け】会社紹介Meetupを開催しました！

5月26日にイエラエセキュリティでセキュリティエンジニア向け会社紹介ミートアップイベントを開催しました。イエラエセキュリティでは、これまで経験者の採用を中心に行ってきましたが、現在、若手のエンジニアの採用も始めています。
今回のイベントでは、代表の牧田より事業内容やビジョンついて、アセスメントサービス部の嶋田よりWebアプリケーション診断業務について紹介しました。その後は、牧田もしくは嶋田と個別で直接質問ができる座談会も開催しました。

本記事では、今回は参加できなかったけどイエラエセキュリティに少しでも興味がある方向けに、当日のミートアップの様子をご紹介します！

登壇者の紹介

牧田　誠（イエラエセキュリティ代表取締役社長）
ソフトバンク及びサイバーエージェントでセキュリティチームの立ち上げを行う。2011年にイエラエセキュリティを創業。脆弱性診断は学生時代から実施。

嶋田　光臣（イエラエセキュリティアセスメントサービス部部長）
システム開発を経てからセキュリティへ。数百人のエンジニアの人材育成、キャリア構築にも関わり2016年よりイエラエセキュリティに入社。

イエラエセキュリティについて

牧田：イエラエセキュリティは、脆弱性診断やペネトレーションを提供するセキュリティ企業です。診断対象は、Webサイト、スマホアプリ、IoT、ドローン、車、船、発電所、銀行などに対してセキュリティ診断をしています。今年、創業10年目で5月には100名規模になりました。オフィスは神田にあり、そのほか札幌、大阪、福岡、沖縄に拠点があります。拠点に属さない地方の方々もいて、それぞれリモートワークで業務をしています。

イエラエセキュリティの強みは、"ホワイトハッカー"が多く在籍していること。セキュリティエンジニア、セキュリティオタク、CTFプレイヤーなど様々な言われ方がありますが、セキュリティ技術が好きで突き詰めている人達をわかりやすく総称してホワイトハッカーと呼んでいます。そんな方々が複数所属しているところが強みです。
我々は、これまで様々なハッキングコンテストやCTFで高成績を残してきました。ハッキングコンテストやCTFには、他社や学生と一緒に参加することもありますし、趣味として個人で参加している方もいます。

イエラエセキュリティの提供するサービスは、大きく分けて”Offensive”と”Defensive”の二つに分かれています。

＜Offensive＞
・Webアプリケーション診断
・プラットフォーム診断
・クラウド（AWS, Azure, GCP, SalesForce）診断
・ペネトレーションテスト(侵入テスト)
・スマホアプリ、ゲームチート診断
・IoT、自動車診断

＜Defensive＞
・インシデントレスポンス
・フォレンジック調査
・CSIRT支援

サービスの大半は、”Offensive（攻撃・ハッキング）”です。
クラウド診断では、AWS, Azure, GCPを対象とした診断をしています。例えば、誤ってGitHubにAWSのアクセスキーを公開してしまうなど、クラウドのセキュリティインシデントが増えていますので、それらに対応したサービスになっています。
ペネトレーションテストは、銀行や企業などからご依頼をいただき、予めゴールを設定して実施します。例えば、銀行ならATMにまでアクセスできるか、企業なら個人情報が入っているデータベースにインターネットからアクセスできるか、などになります。
自動車の診断は、以前はラボに車を丸々一台輸送してもらってバラして診断していましたが、最近はパーツに対して診断して欲しいという形に変わってきています。

”Defensive”は、昨年から始めた新規事業です。診断で脆弱性を見つけ対策し、攻撃者から侵入されないようにすることが理想ですが、ゼロデイや対策が間に合わず侵入されてしまったという相談を受けることが増えてきたため、昨年からディフェンシブセキュリティ部を立ち上げました。

2つのビジョン

牧田：イエラエセキュリティがビジョンとして掲げていることは2つあり、1つ目は「世界一働きやすい環境（を作ること）」、2つ目は「最高品質のサービスを最低価格で提供すること」です。

世界一働きやすい環境の中身は、具体的に言うと①高給与、②短労働時間、③高裁量です。
常に競合他社よりも社員を優遇して、結果としての終身雇用を目指そうと考えています。これは“結果としての”ということが大事ですが、大企業ではもう終身雇用を前提とすることは難しいと言われていて、早期退職という名のリストラを慣行している現状があります。我々はあえて今、終身雇用を目指そうと考えています。

①高給与
売上貢献度と技術貢献度の2軸から成果主義で評価します。年齢・入社歴は関係ありません。成果さえ出せば、数百万円レベルで給与が上がっていくことを実現しています。大事なことは、会社が儲かって終わりではなく、まず最優先事項としてそれをしっかり社員に還元していくことだと考えています。会社の儲けは最後です。その他、確定拠出年金の会社100％負担としていまして、入社歴4年目で55,000円が会社全額負担で積み立てられます（勤め上げた結、老後に不安が残るのではなく、老後の資金を心配する必要がないように）、CVE取得報奨金などがあります。

②短労働時間
フルフレックス・フルリモート、入社初日から有給休暇15日支給、長期休暇を推奨しています。例えば、昨年の年末年始は17連休で、今年のGWは11連休、夏季休暇は9連休です（一部有給利用）。残業ゼロを理想とするなど、ワークライフバランスが取れた働き方を目指しています。エンジニアが成長するためには時間的な余裕が必要不可欠ですし、人生の中では、病気や怪我、出産、親の介護などありますので、その時々でプライベートを優先するタイミングがあっても構わないと考えています。

③高裁量
ベンチャーなので、やりたいことがあればノーを言わないカルチャーです。新しいチャンレンジも推奨していて、研修制度としてOffensive Security社のプログラム受け放題や、CTF参加、カンファレンス参加、トレーニングが受講可能です。「エンジニアが一番尊重される・技術力がある人がリスペクトされる」というのがイエラエセキュリティの社風です。課題としては、自由すぎる反面、レールは敷かれていないところです。

2つ目については、最高のサービスを最低の価格で提供できれば、結果としてお客様から選ばれるようになります。サービスは参入企業により価格競争が発生しますが、たとえ価格が低くてもサービス品質が悪い企業は淘汰されていきます。
世界一働きやすい会社を作ることができれば優秀なエンジニアが集まって、優秀なエンジニアが集まれば最高品質のサービスが提供できて、これを戦略的に低価格で提供することによって、お客様としては最高のものを低価格で買えるようになります。
そして得られた利益を社員に還元していくことによって、もっと優秀な人が来るというエコシステムをまわすことが我々のビジョンです。社員、お客様、そして最後に会社がwin-win-winとなることを目指しています。ここに賛同するエンジニアに入社してほしいと考えています。

業務紹介（Webアプリケーション脆弱性診断）

嶋田：今回は私の所属しているWebアプリケーション診断の業務を紹介します。Webアプリケーション脆弱性診断を担当するアセスメントサービス部は現在30名程度の部署です。主にWebアプリケーション、サーバサイドAPIの診断を行っています。

具体的な内容としては、一般的なリクエストレスポンスで、ブラウザ上で遷移ができるようなWebアプリケーション、サーバサイドAPIやSPA型のものになります。それから、ブラウザ上で遷移ができないようなRESTful API、スマートフォンやIoTアプリケーションで使用されているAPIです。これらはアプリケーションからサーバサイドのAPIを使用するためWeb側で対応することが多いです。
最近は、HTTP以外のプロトコルも増えており、WebSocket、WebRTC、HTTP2、gRPCなども診断の対象になっています。診断ツールはBurp Suiteを使用していますが、gRPCなど診断ツールが対応していないような物は新たに診断に必要なツールを開発して対応しています。最近、急激にクラウドが利用されるようになり、GraphQL、Firebase、Salesforce（SOQL）も固有な脆弱性が発生するので、項目を追加して対応しています。また、SSO機能やOpen ID Conectなど個別の機能を見て欲しいという場合は、ブラックボックス型でも掘り下げて集中的に診断します。内部仕様の確認依頼の場合は、ホワイトボックス型でソースコード診断にて対応することもあります。

対象のアプリケーションは、基本的には全業界・全業種です。ECサイトから金融系の仮想通貨取引所のシステムなど様々です。特にお客様に関しても特定の業界に偏っていることもありません。Webサイトやゲームなど様々な対象を診断しています。
サーバサイドAPIに関して、スマホ、IoT、ネイティブアプリのAPIを対象とすることもあります。ゲームの場合は、基本的にはチートも併せて行います。スマホアプリ診断の別のチームもいるので、スマホアプリの中でのメモリ改竄などはそちらのチームで対応しますが、サーバサイドに関連する部分はWeb側で対応します。IoTもアプリと機器が連携して、アプリ自体が通信を飛ばす場合は、機器と併せて診断することもあります。

業務は受注後、顧客の調整・準備、診断（ツール／手動）、報告書を作成するまでが一つのフローになっています。報告会や再診断はオプションで、基本的にはお客様からご要望があった時のみ対応します。
案件は一人が一案件を担当しますが、規模や期間、必要なスキルによっては複数人体制でも行います。複数サイトを数ヶ月～１年かけて実施するプロジェクトの案件についてはチーム体制にて実施します。案件へのアサインは、案件の要求レベルと担当者スキル、経験などを踏まえた上でアサインします。当然、案件で実施するレベルが足りない場合は、サポート・フォローに入って複数の体制にし、チェックを行います。
Webアプリケーションは、はじめにサイトのクローリング（見積）をしてお客様に対象を確認いただくのですが、それは診断とは別の専門のチームが実施しています。

作業PCは、WindowsかMacの好きな環境が選べます。診断では、Burp Suite Proを使用してツールスキャント、手動の診断を行います。gRPCなど特殊な物についてはツール開発して実施しています。ツールを丸々作らないにしても、通常の診断ツールだけで対応できないものに関しては、Burpのエクステンションを作り利用しています。
基本的にはリモート環境で業務を行っています。今はコロナの影響もあって出社は控えている状態にしていますが、コロナ前からリモート環境が可能でしたので、それぞれの働き方にあわせています。
社内のコミュニケーションツールは、Slackを使って案件ごとにチームを作り、リアルタイムでのやりとりをしています。診断をしていると、事前に分からなかった特別なものや特殊な技術が出てくることもありますが、Webのチームだけでなくペネトレーションやアプリの解析チームなどが集まっているチャネルで、「○○に関してどなたか知見ないですか？」と質問を投げかけると、何かしら解決に近づく返答をもらえるので、Webのチーム以外のノウハウも取り込んで業務を行っています

どんな人が活躍しているか

嶋田：ここでまとめた「イエラエセキュリティで活躍している人」とは、特定のひとりの人ではなく一つの要素として参考で書いています。「プロフェッショナルとして仕事をしている」については、当然サービスとしてやっていますので、最高品質を作っていくためには必要な要素になります。
イエラエセキュリティは技術力を売りにしており、お客様に期待されている部分にもなります。社内には日本トップレベルのハイスキル層のエンジニアがいますが、その人たちは技術だけではなくてビジネススキルやその他のことにも長けている方も居ます。プロフェッショナルとしてきちんとアウトプットを出すことができる方は活躍できると思います。

キャリアパス・教育制度について

嶋田：まだまだ創業10年の会社ですので、現在モデルになる人は実在しません。基本的には、個人の特性を伸ばし、進みたい方向でのキャリア構築支援を目指しています。実力をつければ制限はありません。現在、会社が取り組んでいない事業やサービスも立ち上げが可能です。例えば、こんなことがやりたくて、こんなニーズがあって会社にも十分利益があるし世の中にも役に立つということであれば、サービスを立ち上げて自分のキャリアを作ることもできます。実力十分なメンバーが多数所属しているので、同じ環境で働きながらハイスキル層の仕事に触れる機会もあります。

教育制度について、福利厚生として年間研修費を確保していて外部の研修を受けることが可能です（BlackHat、SANS、Offensive Security、他希望あれば）。それから、CTF参加、カンファレンス参加も推奨しています。ハイスキル層になればなるほど、誰かから教わってスキルアップすると言う方法から同じ層にいるハイスキルな人同士がお互いを刺激しあいながらスキルアップしていく形に変わっていきます。そういった人たちとの関わりができるようなカンファレンスやCTFに参加するのは非常に有効ですので、それに対して支援をしています。その他、書籍購入や月に一度の社内勉強会（全社）への参加、先進技術のレクチャー（新技術・仕組みが出てきた時にいち早く取り組むチームがいて、得られた情報を社内へレクチャーして全体のスキルアップを目指しています）などがあります。
また、業務時間での自己学習時間を推奨しています。基本的には、1日8時間労働が平均的ですが、Web診断の場合は、10時から18時でお客様の時間に合わせて診断をしていることが多く、実務は7時間になります。1時間余る分は業務が終わっていれば、自由に使って学習の時間に充てて良しとしています。Web診断ですと、お客様側の都合で突発的な待ちが発生することもあります。その場合は、他の案件のヘルプに入ったり、学習の時間に当てたりしています。

今回はオンラインでの開催となりましたが、15名の方にご参加頂きました。今回ご参加下さった皆さま、ありがとうございました！アンケートでは以下の感想もいただきました。