- ペンテスター
- 経理課長
- Webペネトレーションテスト
- Other occupations (5)
- Development
- Business
こんにちは!
イエラエセキュリティ人事の小高です。
今回は、イエラエセキュリティでWebアプリケーション診断士として働く上で必要となる3つのスキルについて、アセスメントサービス部の部長である嶋田さんにインタビューしました!
嶋田 光臣 (イエラエセキュリティ アセスメントサービス部 部長)
システム開発を経てからセキュリティへ。数百人のエンジニアの人材育成、キャリア構築にも関わり2016年よりイエラエセキュリティに入社。
イエラエセキュリティに入社するまで
--- 今から5年半ほど前にイエラエセキュリティに中途入社された嶋田さんですが、どのようなきっかけでセキュリティに関わることになったのか、これまでのご経歴を教えてください!
セキュリティに興味を持ったのは社会人になってからです。1社目で開発に携わり、それから、育成・研修や技術者向けの社員教育を行っている人材派遣会社に転職をしました。そこでは、採用から評価制度の構築、エンジニアの育成まで広く担当していたのですが、あるときにセキュリティー会社と組んで脆弱性診断エンジニア育成スキームの立ち上げを行った事がその後、セキュリティに関わることになったきっかけです。
--- そのときにセキュリティに魅力を感じて、イエラエセキュリティで現在の事業に携わることになったのでしょうか?
はい。セキュリティ関係の会社の中でもイエラエを選んだのは、当時はまだ数人程だった小さな会社でしたが、これから自分たちの手で作り会社と共に成長していけるというところに面白さを感じたからです。
イエラエセキュリティのWebアプリケーション診断士に求める3つのスキルとは?
--- イエラエでセキュリティ事業に携わる中で、Webアプリケーション診断士に必要だと思うスキルはどのようなものですか?
他のチームメンバーにも話を聞いてまとめたのですが、主に「技術の追求」「主体性」「コミュニケーション」の3つです。
技術力を追求する理由とは?
--- 1つ目の「技術の追求」ですが、イエラエは会社の魅力として技術力を打ち出していますが、技術力にこだわる理由はなんでしょうか?
シンプルに言えば競争力です。競合他社に負けない技術力を持つことで、他社との差別化もできますし、お客様にとってより良いサービスを提供することができます。技術を追求することがエンジニアのスキルアップにもなり、またスキルを高めたい人たちも集まってきます。結果として個人や会社、お客様にもプラスになります。私個人の考えではありますが、イエラエはお客様にもエンジニアにも技術が期待されていて、それが今の成長に繋がっています。やはり技術力が一番重要だとつくづく思います。技術がある会社が強いです。
--- 技術力を高めるために具体的にどのようなことをされていますか?
技術というのは非常に幅が広いため、ある一定のレベルまでは研修などの教育で身につけられますが、それ以上は自分自身で高めていかなければなりません。今、高い技術を持っているエンジニアも、自分自身でスキルを高めていけるよう努力を続けています。
スキルアップの方法は人それぞれですが、エンジニアのコミュニティに参加するなど、仕事以外のところで勉強するという人が多いと思います。ある一定のレベルになると、誰かに習うのではなく、同じレベルの人たちとコミュニケーションをとることで刺激を受け、お互いに切磋琢磨してスキルアップしていくようになるので、会社の中に閉じこもらずに積極的に外に出ていく人が多いです。
--- 会社として提供しているものについて改めてご説明ください!
会社として用意できるのは、「時間」と「お金」が一番大きいかと思います。弊社では、業務をこなすだけではなく、自身のスキルアップのために勉強する時間が欲しいという人もいるので、業務が終わっていれば自由に使えるフリータイムを1日1時間設けています。
それから、これは一般的かもしれませんが、社員一人ひとりに対して年間の研修予算もついていますし、書籍や技術書、機材などの購入に関する自由度も高いです。可能な限り希望に沿った環境を用意できるようにしています。
イエラエセキュリティが考える「主体性」とは?
--- 続いて、WEBアプリケーション診断士に必要なスキル2つ目の「主体性」についてお伺いします。イエラエが考える「主体性」とはどのようなものでしょうか?
「自分の頭で考えて行動すること」ですが、これは何でも勝手に判断して行動してよいという意味ではありません。良い結果を出すためにどうしたらよいかを自分でも考えながら進めていくということです。どうしたら良いかはルールで決まっていても、場合によってはそれが最適解ではないケースもたくさんあるので、常にどうすべきかを考えながら行動してほしいです。
--- 自分で考えて行動するというのは、個々人の経験や特性によるところもあると思うのですが、入社する時点ではどの程度の主体性を求めていますか?
やはり人それぞれ特性も異なるので、すべてのことを主体的にできる人はいないと思っています。また、会社によっては、主体性よりも指示に従って動ける受動性を重視することもあるので、入社時点で高い主体性を求めているわけではなく、これまでの経験や本人の特性を考慮した上で、イエラエで求められる主体性を身に付けられるよう、入社後にサポートを行っています。
--- 主体性を持って仕事を進めやすい環境が整っているのですね。
はい。「裁量の大きい環境をつくる」というのは、代表の牧田が掲げてきたことです。主体性を持って「どのようにしたら会社にとって、お客様にとって良いだろうか」と考えることで、自然とやりたいことが出てくるのではないかと思っていますが、やりたいことが出てきたときに「それはどれくらい勝率があるのか」という質問はしません。反対意見が出てくることもありますが、とりあえずやってみよう!と言える会社です。
一度やってみて、もし上手くいかなかったら、改善するのか撤退するのかはそのときに決めます。やる前から「それはダメ」と止めることはしないので、自分がやりたいことが見えてきたら、それに取り組むチャンスは十分にあります。
--- チャレンジにはリスクが伴うこともありますし、コストや利益の問題も出てくるかと思いますが、まずやってみよう!という文化になったのにはどのような経緯があるのでしょうか?
代表の牧田がチャレンジに対して寛容な性格というのがあります。やりたいことはまずやってみればいいという考えで、はじめのうちはルールもありませんでした。まずは自由にやってみて、何か問題が起きたらルールや規定を作るという文化です。
社内の細かい制度なども、社員の提案で変更することがあります。例えば、イエラエはもともと夏季休暇制度がなかったのですが、転職してきた社員から提案を受けて、その年から夏季休暇ができました。また、給与の支給方法も、社員の意見を受けてその年から変更したことがあります。意見があがってから取り入れるまでが早すぎて運用は大変ですが、良い意見であれば積極的に採用されるので制度化されるのは早いと思います。
--- 意見を言っても変わらないというケースも多くありますが、イエラエは非常に意見が言いやすい環境ということがわかりますね。
意見や提案によっては、管轄の部署が対応しますが、自分の提案を自身で進めていくことも可能です。実際、昨年スタートした「クラウド診断」という新しい事業は、新卒3年目の社員が提案し、開発に必要な技術を調べて資格を取得するところから、ほぼ一人で進めて立ち上げたものです。所属している部署とは畑違いの提案だったのにも関わらず、本人のやってみたい!という興味と意欲で企画がスタートし、事業化していきました。
「コミュニケーション力」の定義とは?
--- スキル3つ目の「コミュニケーション能力」についてお伺いします。嶋田さんが思うコミュニケーション能力はどのようなものでしょうか?
相手と意思疎通が図れるかどうかですね。よく言われるような「上手く話せるかどうか」ということではないと考えています。IT業界では、間違った単語の使い方で意図が変わってしまうこともあれば、同じ単語でもお互いに違うものをイメージしていることもあります。特にセキュリティはその認識のズレや勘違いが後々影響してくる可能性があるため、口頭でも文面でも、「正しい言葉で正しく相手に伝える」ことを意識しています。
また、使う単語だけではなく、相手のニーズを汲み取ったコミュニケーションをとることや、わかりやすい文章を作ることも大切です。私達が普段コミュニケーションをとる相手には、ITや技術の専門ではない方もいらっしゃいますし、その方が私達とのやり取りの内容を、社内の別の方に伝えなければいけないという場合もあります。
お客様からの質問に答える場合でも、「誰が」「何のために」「どんな意図で」「どのように伝えたら認識のズレや勘違いが起こらないか」を考えてコミュニケーションをとらなければなりません。コミュニケーションエラーが起きて必要な情報が相手に伝わらないと、判断を間違って問題が起きてしまうので、「正しくコミュニケーションをとる」というスキルはこの仕事では必須だと思います。
--- コミュニケーションスキルも、はじめからできる人ばかりではないと思うのですが、入社後でも身に付けられるようなサポートはありますか?
はい。これに関しては泥臭い方法ですが、事象に対して一つずつ指導を繰り返すことが、時間と手間がかかりますが一番確実と考えています。後輩や部下からの質問に対しても、業務の許す範囲で答えだけではなく判断に至るまでの考えかたや利害関係者などの条件ついても確認、指導を行います。業務にあたっていると、時間に追われて指導が疎かになってしまいがちですが、可能な限り「なぜそのような判断になるのか」というプロセスの部分も共有するようにしています。
強い組織にするための課題とは?
--- 最後に、スキル以外の部分も少しお話しいただきたいのですが、これからメンバーを増やしてチームが大きくなるにあたって、課題となることや、より強いチームにしていくために取り組んでいくことを教えてください。
今ちょうど私のチームが30人を超えてきたところですが、今後さらに人数が増えていったときに課題になるのは、「イエラエの想い」が薄まってしまうことだと思います。代表の牧田の意思をはじめとして、今のメンバーみんなで共有しているイエラエの考えが、人数が増えるごとに伝わりにくくなっていく懸念があり、そのイエラエの考えを新しい人にも受け継いでいく仕組みづくりが必要です。
人数が少ないうちはみんな距離が近いので、会社のことについて話をする機会もありますが、徐々にそういった機会が減っていくことを考えると、今以上にイエラエの想いを一人ひとりがきちんと理解し、新しいメンバーにも浸透させていけるようにならなければと思います。また、入社したメンバーだけでなく、弊社に応募してくださった方にも一貫したメッセージを伝えられれば、採用にも良い影響があるかなと思います。
--- 組織の考えを浸透させるというのは「イエラエという会社の良さ」を守っていくためにも大事ですよね。
はい。ただ、イエラエには「私達はこうである」という一つのイメージがある訳ではないので、型にはまる必要はなく、一人ひとりの特性を生かしてお互いに苦手な部分を補い合いながら協力していければよいと思っています。それをするために、上司と部下という縦の繋がりだけでなく、同期や同僚など横の繋がりを持てるようなコミュニケーションの仕組みや機会も作っています。
--- 他にも取り組んでいることがあれば教えてください。
どれだけ人が増えても技術力を維持・向上していくことは必須です。求められる技術以外にも必要なスキル要素が多く、一人ですべてをやるのは難しい面もあるので、自身の強みを伸ばしながら、苦手なところは他のメンバーと互いに協力してやっていけばよいと思います。
それから、最近は経験が浅いメンバーも入ってきていて、来年は新卒も入社予定なので、中途入社の方へのオンボーディングとは少し意識を変えて、きちんと育てていくための教育体制を整えていきます。自分の仕事も100%こなして後輩のサポートもするというのは難しいので、教育に時間を割けるような仕組み作りに取り組んでいます。
--- チームとしても組織としても、色々な取り組みをされているのですね。今後、どのような組織・チームにしていきたいですか?
お客様に「この会社に頼んでよかった」と思ってもらえること、そしてエンジニアが幸せであることも大事なので、社員が「この会社で働けてよかった」と思ってもらえたらいいかなと思っています。
「お客様のために」というのはこの会社の存在意義でもあります。牧田も同じことを言っていますが、選ばれる会社でなければ意味がありません。それにはお客様に満足していただかなければならないので、利益主義になってお客様に嘘をついたり騙したりすることは決してしません。正しいことをして正しい評価を得て、その結果として選ばれる会社であり続ける事が大切だと考えています。
お客様が満足する結果をだししていればリピーターになってくれるお客様も増えますし、良い仕事も集まってきます。当然、高い成果を出すためには相当の技術力とサービスを提供する必要があるので、社員には色々なことが経験できる環境と高い報酬を還元し、お客様だけでなく社員も幸せになるというのが理想です。
--- 嶋田さん、ありがとうございました!
今回は、Webアプリケーション診断士に必要な3つのスキルについてお話ししましたが、当社のカルチャーや大切にしていることについてもよく知ることができるインタビューになったのではないかと思います。
お客様から選ばれ続ける会社になるために、イエラエセキュリティで「技術の追求」「主体性」「コミュニケーション」のスキルを身に付け、高い技術を持ったエンジニアとして活躍していきたい方、まずはカジュアル面談からでもOKです。ぜひご連絡ください!
みなさまと一緒に働ける日を楽しみにしています!