顧客課題に寄り添いセキュリティ課題解決を支援！脆弱性診断エンジニア

EGセキュアソリューションズ株式会社

Mid-career

浩徳丸

Engineer/programmer

Read story

早和子岡本

ソリューション推進部

徳丸本の中の人 OWASP Japanアドバイザリーボード IPA非常勤研究員オフィシャルページ：https://www.eg-secure.co.jp/tokumaru/ Twitter：@ockeghem YouTube：https://www.youtube.com/c/hiroshitokumaru

What we do

当社は単純なツール販売だけを実施している会社ではありません。企業のサイバーセキュリティの本質的な課題を解決するために専門家による上流からの業務支援、アプリケーションの脆弱性診断、教育、セキュリティアドバイザリなど人的対応からプロダクト開発・販売まで一環してトータルで実施しています。

Why we do

取締役CTO徳丸浩のコメントより「私は京セラコミュニケーションシステム(KCCS)にて、プログラマ、SE、自社パッケージ企画･事業化、アーキテクトなど多様な経験を積むことができました。個人としても、PascalコンパイラCabezonの開発、公開を通じて、オープンソース運動の先駆的活動をする機会に恵まれ、そのご縁で多くの貴重な仲間と知り合うことが出来ました。 2000年以降は、企業向けや携帯電話向けのWebアプリケーションを企画・開発する立場から、アプリケーションの安全性についてお客様に責任を持たざるを得ない立場におかれました。このため、Webアプリケーションのセキュリティについて独自の取り組みをしてきました。2005年以降、Webアプリケーションに対する脅威は増加する一方です。私が2000年以降に置かれた立場は、現在世界中のWebサイトの構築責任者が置かれた状況と同じです。私は今までの経験を世の中にもっと役立てたいと考えました。 KCCS時代は、居心地のよい職場でしたが、立場はあくまでも管理職でありました。もっと現場に出てセキュリティの仕事をしたい、もっと自分で手を動かして調査・研究をしたい、ブログや寄稿などを通じて自分の考え方を世の中に広めたい・・・そう思った私は、大企業の管理職という立場では限界があると考え、独立することを決意いたしました。絵空事ではない、実績に裏打ちされた経験こそが弊社のバリューであると確信いたしております。弊社の使命は、これでの経験を活かし、インターネットを安全に活用できる社会づくりに少しでも貢献することであります。どうぞ、よろしくお願いいたします。」

How we do

脆弱性診断、コンサルティング・教育、プロダクト開発（SiteGuard）の3つが事業の中核となりますが、一人一人がプロフェッショナルとしてどうすればクライアントに価値が提供できるのかを大事にしながら、主体的に、裁量をもって業務を遂行しています。エンジニアであっても技術と＜だけ＞向き合っていては、クライアントに価値を提供することはできません。技術力の向上に努めることは当然として、その技術力をクライアントの価値につなげるためにクライアントの声を直接聞き、課題を解決するためのよりよい方法を考え、実行していきます。チームとしてクライアントに価値を提供していくため、脆弱性診断の報告レポートは、診断エンジニアやコンサルタント全員参加のレビュー会を実施し、CTOの徳丸自らがレビューするとともに検出した脆弱性の検証方法の妥当性や危険度判定、対策方法等メンバー間でディスカッションを行っています。また、当社ではプライム案件が多く、直接クライアントの課題をヒアリングしたり、診断結果や改善方法を直接クライアントに報告するなど、診断エンジニアも直接クライアントの課題解決に携わります。診断エンジニアは、決まったレギュレーションで決まったことを決まった期間に実施するだけの単なる診断オペレータではなく、クライアントの課題を解決するための手段として最適な「脆弱性診断サービス」を提案し、提供する脆弱性診断のプロフェッショナルです。

As a new team member

■募集内容■ 脆弱性（ぜいじゃくせい）診断員を募集します。・Webアプリケーション脆弱性診断・プラットフォーム脆弱性診断・スマートフォンアプリケーション脆弱性診断 Webサイトなどに混入するセキュリティバグを見つける検査の仕事ですが、高い技術力で脆弱性を発見するだけでなく、発見された脆弱性が、顧客のWebサイトさらには顧客のサービスや事業にどのような影響を与えるのかを想定し、現実的な危険度を判定し修正方針をアドバイスしたり、診断を通して見えてきた開発・運用プロセスにおける改善点にまで踏み込んでレポートを作成します。弊社では、脆弱性診断員を、単なる診断オペレータではなく、脆弱性診断という手段により顧客課題を解決するプロフェッショナルと考えています。・脆弱性診断は行っているものの、レポート作成は別の担当が行っていて物足りない・決まったレギュレーション以外の診断が出来ず、テンプレートを外れたレポートも書けなくて物足りない・年間契約の同じサイトを毎年診断することを繰り返すだけで物足りない・顧客の顔が見えず、診断結果が顧客にどのような価値をもたらしているのかわからなくて物足りない・対象サイトにとっては実際はそこまで危険度が高くない脆弱性でも、教科書的に一律に危険度を判定するので疑問に思っているこんな思いをお持ちの方、顧客課題に寄り添う脆弱性診断のプロフェッショナルとして弊社で活躍してみませんか。あなたのスキルや経験、今後のやりたいこと等を踏まえ、将来的には、脆弱性診断員として技術を極めイベントへの登壇やメディアへの記事執筆などの他、新しい診断サービスの立ち上げや技術開発、徳丸本講座の講師、大規模案件のプロジェクトマネージャ等、お願いしたいことは山ほどあります。 ■求める人物像■ ・向上心を持って自分から積極的に行動できる方・トライ＆エラーを繰り返して結果を出せる方・自分の強みを生かせるフィールドを自らつかみとれる方・顧客目線で仕事に取り組める方・脆弱性診断経験（Webアプリケーション、プラットフォーム、スマートフォン等）がある方 ■歓迎する経験・スキル■ ・「ウェブ・セキュリティ基礎試験」合格者・Webアプリケーション開発の業務経験がある方・インフラ構築の業務経験がある方・スマートフォンアプリの開発経験のある方・組み込みソフトウェアの開発経験のある方・プロジェクトマネジメント、要件定義・設計などの上流経験のある方・ソフトウェアテストの経験がある方・セキュリティ監査の知見のある方まずはあなたがやりたい脆弱性診断とは、弊社が考える価値ある脆弱性診断とは、などお話してみませんか。是非お気軽に「話を聞きにいきたい」ボタンよりエントリーしてください！

3 recommendations