【Meetup開催報告】イエラエがつくる新規プロダクトとは？

こんにちは！人事の小高です。

WEBアプリケーション診断をはじめ、セキュリティ脆弱性診断サービスなどのサイバーセキュリティ事業を展開してきた当社ですが、これからはプロダクト開発にも力を入れていきます。

今後、開発エンジニアの採用強化を考えていることもあり、2月末に開発エンジニア向けにMeetupを開催いたしました！今回はその様子をお伝えしたいと思います。

働きやすさ日本一を目指す！開発エンジニア向け新規プロダクト紹介＆座談会！

初の開発エンジニア向けのMeetupの開催。
代表の牧田から会社紹介と座談会（質問会）を行いました。

〜当日のコンテンツ〜
●会社紹介
・どんな思いで会社を立ち上げ、どんな経営をしているのか？
・10年間でどう成長したのか？
・どんなプロダクト開発を行っているのか？
・なぜ優秀なエンジニアが集まり、退職が少ないのか？（＝福利厚生全て説明）
・どんな人に入社してもらいたいか？

●『座談会（個別質問会）』

会社紹介に関しては採用ピッチ資料を用いて、ミッションに込めた想いや働きやすさと技術力を追求する理由をお伝えしました。本記事では今までのイエラエの歴史というより今後についてをお伝えしたく、今回は割愛いたします。詳細は、ぜひ採用ピッチ資料をご覧いただけたら幸いです。

＜採用ピッチ資料はこちら＞
https://www.slideshare.net/secret/EBOt2XQhfwRIcV

プロダクトを開発する理由とは

私たちのミッションは「脆弱性のない世界をつくる」こと。
ただ、今の日本は脆弱性が多く、脆弱性のない社会にはまだまだ遠いのが現実です。

この課題をいち早く解決するために、私たちはこの度GMOインターネット株式会社と資本業務提携を行いました。GMOインターネット株式会社グループの経営ノウハウ・技術力・ブランド力と当社が有するセキュリティ領域における技術力との間にシナジーが見込め、両社の中長期的な企業価値向上につながるものと判断しております。

GMOインターネット株式会社は日本の90％の中小企業へリーチしています。
今までのイエラエはホワイトハッカーがひとつひとつ脆弱性を見つけていくという労働集約型でした。このノウハウをプロダクトへ凝縮し、GMOインターネットが有する企業へ提供することで、多くの企業の脆弱性を見つけることができると考えています。

また、今まで高額だった脆弱性診断をプロダクト化することで、安く早く多くの企業様へ提供ができる。そうすれば日本が脆弱性のない世界に近づける。そう考えプロダクトの開発へ踏み切りました。

開発中のプロダクトとは？

今までホワイトハッカーが手動でやっていた脆弱性診断を自動化するSaaSプロダクトを開発しています。現在はWEBサイトに特化し、登録したドメインの脆弱性を洗い出し、脆弱性があると通知するサービスを開発中です。

GMOインターネットが提供するお名前.comでは、日本のドメインの9割のシェアを誇っております。その9割の企業が、私たちが開発中のSaaSプロダクトへドメイン登録してくれれば、多くの脆弱性を自動で診断できる、そのような未来を考えています。

現在は正直まだまだレベルが低く、手動で行ったほうが早いのが現状です。ですが、将来的にはペネトレーションテストをしている優秀なホワイトハッカーのAIをつくりたいと考えています。私たちの強みであるペネトレーション。ペンテスターの挙動を再現するアタックシミュレーションの観点で行っています。この強みをプロダクトへ反映させていたきたいと考えています。

座談会（個別質問会）

ここからは座談会にていただいたご質問をご紹介していきます！（一部抜粋しています）

ーこの新規事業部に新卒で入社することは可能ですか？

技術力があれば可能です。ただC言語を触っていたというだけでは厳しいです。育成は正直体力が必要です。既存事業であれば体力があるので問題ないのですが、新規事業はリソースがギリギリな中行っているので厳しいのが事実です。ただ、実績があって能力があったり、就活までにスキルをつけてくれれば状況はかわるかもしれません。

ー手動で脆弱性診断をしている方の仕事は今後どうなりますか？

より高度になっていくと考えています。人間がやらなくていいこと、自動化できることはAI化させていきます。ですが、その他にも考えないといけないことはたくさんあります。新しい脅威、新しい攻撃は日々増えています。ゼロデイ攻撃の課題はペンテスターでないと解決できません。

自動化することで生み出した時間で、ゼロデイや未知な攻撃にもっとペンテスターの時間を割いていきたいです。そう考えると、AIで自動化することと人間が行わなければならない高度な技術と対局化すると考えています。

ー内定をいただくのはコンテスト優勝者ばかりですか？

決してそんなことはありません。もちろん、コンテスト優勝者や優秀なメンバーが多いのは事実です。ですが、優勝していないと入社ができないわけではありません。優勝実績はなくとも言っていることとやってきたことがマッチしている人は選考を通過しています。イエラエの内定者の多くはセキュリティを学生時代から学んでいる人が多いです。大学外のセキュリティコミュニティに入り、そこで何かしら取り組んできた経験や実績がある人が多いです。「自分が言ってることを証明する何かがあるのか？」が大事だと考えています。CTF優勝でなくとも、そこに向けて何をしてきたのか、具体的に答えられれば内定の可能性はあります。

ー評価されるセキュリティの勉強分野はありますか？

「脆弱性をみつけてなんぼ」の世界なのでそこにつながることであれば評価されます。徳丸本を読んでいるのは当たり前、逆に読んでいないのはマイナスと考えています。何を勉強しているかも大事ですが、勉強してきたことの実績がわかるのがベストです。例えば「脆弱なウェブサイトを作り、そこに自ら攻撃して脆弱性があることを見つけてきました」など、実際にアクションを起こして具体的なお話が聞けると嬉しいです。

ー今後、未経験のWEB脆弱性診断士はあまり必要なくなりますか？

そんなことはありません。先程、AIと人間で二極化するというお話はしましたが、正直それがいつになるかはわかりません。10年後、20年後……どのくらい時間がかかるのか。というくらいテクノロジーのギャップがあります。それに日本全体をみても脆弱性診断士の数が足りません。ですので、ポテンシャル人材を強い脆弱性診断士に育てていくことも重要だと考えています。