Hello, Flattmate!｜セキュリティエンジニア 宮口直也

新しくFlatt Securityにジョインしたメンバーを紹介する"Hello, Flattmate!"。
Flattmateは、"flatmate"（同居人）をもじって、Flatt Securityのメンバーを表す愛称です。

今回ご紹介するFlattmateは、2024年5月に入社したセキュリティエンジニアの宮口直也さんです。「入社を決めたきっかけ」や「入社後のギャップ」について、執行役員の豊田（@toyojuni）がインタビューしました。

2024年5月にFlatt Securityに入社。
バイク好きで、Honda CBR1000RRに乗っています！
これはSSTRというツーリングイベントに参加した時の写真です。

自己紹介

2024年5月にFlatt Securityにセキュリティエンジニアとして入社しました。最近はCTFをよくやっています。趣味はバイクとゲームです。ゲームはFPSが好きです！

大連電子城の少年時代から始まり、セキュリティエンジニアへ

—— 宮口さんと言えば前職がFintech企業のセキュリティエンジニアで、事業会社でのセキュリティキャリアを持つメンバーという印象が強いですね。まずはFlatt Security入社までの簡単な経歴を教えてください！コンピューターに触れ始めた時期から聞いてみたいですね。

コンピューターに触れ始めたのは小学生の頃です。小学校6年生から中学2年生までの3年間は、中国の大連に住んでいました。その時、大連電子城というPCの基盤やパーツが買える場所が身近にあり、そこに出入りしていた自作PC好きの先輩の影響も受けていました。

大連電子城の様子。下の階は百貨店のような雰囲気だが、上の階に行くほどマニアックなパーツが売っているらしい（画像出典: https://www.dllocal.com/enjoy/495.html）

そんな背景もあり、大学に入ってすぐに開発のアルバイトを始めました。Rubyを書く仕事でしたが、セキュリティにも挑戦したいという自分の希望を社長が汲み取って、セキュリティの仕事もとってきてくれました。その結果、CTFの作問をすることもあり、我流ですが、社内セキュリティ診断もしましたね。

大学2〜3年生の頃には、別の会社でETLツールの開発に携わり、Scalaを書いていました。その後、新卒で別の会社に就職したのですが、半年で退職して、その会社に出戻りすることになりました（笑） 
しかし、出戻り後はETLではなく、セキュリティの別事業に関わることになりました。スキルフルな上司の手解きを受け、本格的にセキュリティ診断に携わる経験を積むことができました。この時はFlatt Securityでの業務と同様に、お客様のシステムを診断していました。

その次が前職のFintech企業です。自社サービスを支えるセキュリティエンジニアとして、CTO直下で様々なプロジェクトに取り組んでいました。特に大きめのタスクといえば、PCI DSSの監査対応がありました。

開発・セキュリティ／事業会社・診断ベンダーと多様なキャリアを積みFlatt Securityへ

—— 事業会社のセキュリティキャリアだけでなく開発経験もかなり豊富にあるんですね！イレギュラー案件にも幅広く対応できる宮口さんの柔軟さはそこから来ているんだなと納得しちゃいました。次に、Flatt Securityとの出会い、そして転職に至るまでを教えてください。

出戻り入社した会社でセキュリティ診断業務を本格的に始めたころから、Flatt Securityという会社は認知していました。本格的に関わりを持つようになったのは前職の頃ですね。実は、前職でセキュリティ診断をFlatt Securityに依頼しており、顧客の立場でした。当然診断の報告書を読むことになるので、どのように専門的な診断サービスを提供しているかを深く知ることができました。

その後、ある方から「若い頃は技術力を高めることにフォーカスすると良い」とアドバイスをもらい、セキュリティ診断を専門的にやっていきたいという気持ちが強くなりました。そこで転職活動を始めるわけですが、Flatt Security以外に検討していた会社はありませんでした。
自分の知る範囲ではFlatt Securityだけがホワイトボックス診断を中心とした診断を行っているので、自分の開発経験もしっかりと活かせると考えたからです。

セキュリティ一辺倒にならないキャリアの安心感とメンバー・組織の雰囲気が入社の決め手に

—— エンジニアが成長できる職場環境を作る努力は日々重ねていますが、実際にそう言ってもらえると嬉しいです... ！実際、入社前の時点でどういった点が入社の決め手になったんでしょうか？

まず、日々の診断でソースコードが読めるという点ですね。過去にブラックボックス診断をしている時に、大量のリクエストを投げ続けることで裏側のロジックをなんとか把握しようとしたことがありました。時にはそのような能力が必要になることもありますが、セキュリティ診断を業務としてやっていくにあたっては辛い思いをする点だと過去の経験からわかっていました。

Flatt Securityではブラックボックスだけの診断は原則実施しておらず、お客様からソースコードを受領しホワイトボックス診断を適宜織り交ぜて実施する診断スタイルを採用しています。

詳細は以下のブログをご覧ください。
https://blog.flatt.tech/entry/2023_assessment_new_policy

また、ちょっと打算的ですが、将来開発のキャリアに戻ることがあった時にも、Flatt Securityでの経験は評価されそうだなと考えていました。ソースコードを読む経験はもちろん、診断業務のプラットフォーム「ORCAs」や、例えばgRPC対応ができるようなBurp Suiteのextensionを内製で開発しているということも知っていたので、セキュリティ一辺倒ではなく、開発にも力を入れている会社だという認識を持っていました。

業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - Flatt Security Blog

セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog

加えて、エンジニア陣の実力の高さも決め手ですね。
Ga_ryo_さん（@Ga_ryo_）やRyotaKさん（@ryotkak）のようなメンバーの存在は脆弱性報告実績の発信を通じて知っていました。メンバーという観点で言うと、選考の最終ステップの「1day体験入社」で社内の雰囲気を把握できたのもよかったです。「セキュリティの強い人が集まっているけど、みんなでワイワイしながら仕事している」という印象を受けました。Ga_ryo_さん（@Ga_ryo_）とも面接だけではできない量の会話ができました。

—— 技術的な強みはもちろん、チームの雰囲気の良さは僕も非常に大きな魅力だと思っています。採用においてカルチャーマッチはかなり重視していますね。逆に、入社にあたっての不安などはありましたか？

強いメンバーが多いイメージだったので、ついていけるか不安な気持ちはありましたね。お客さんときちんと話せるかみたいな点も...。

コードリーディングのノウハウをはじめ、入社後は技術者としての成長を実感

—— このインタビュー時点で入社から3ヶ月経ちましたが、その不安感はどうなりましたか？

ついていけないという感じではなくてよかったです。しかし、みなさん実力があるのは事実なので、良い刺激を日々もらっています。
具体例として、ソースコードの深掘り力を学びました。自分は開発経験もあるのでコードリーディングに抵抗感はありませんが、その経験が逆に「効率が良い、しかしバグを見逃す」読み方に繋がってしまうことがあるようです。

Ga_ryo_（@Ga_ryo_）さんが社内勉強会向けに作成した、コードリーディングに関する資料

——「不安は杞憂だったが学びはある」って一番いい状態ですね。他にも入社後に印象に残っていることはありますか？

プロジェクトマネージャー陣の気配り力の高さを感じています。プロジェクトマネージャーが診断プロジェクトへのアサインを決定してくれるのですが、「GraphQLやったことないなら次この案件でやってみようか、次はgRPCだね」といった形で技術的学びの場を作ってくれたり、業務負荷の調整をうまくしてくれたりします。

また、顧客の皆さんが技術的に感度の高い人ばかりで話しやすいなと感じます。前職の社内に近い雰囲気を感じますね。

頻繁に開催されている勉強会もありがたいです。単純に知らないものを知れる機会として面白いですし、時にはハンズオン系のコンテンツもあり楽しいです。Flatt Securityが主催するCTFの問題をみんなで試験的に解いてみようの会とか。
こういった社内勉強会って定期的に開催されているだけで素晴らしいと思うんですが、参加者もみんな発言してて盛り上がっているのがさらに良いところですね。

Slackで勉強会の実況スレッドが盛り上がるのがFlatt Security流

—— 様々ないい話をありがとうございます！最後に、出社頻度など今の働き方についても教えてください。

入社直後（5月）は毎日出社してコミュニケーションを多めにしていました。業務に慣れてきたのと、最近は暑すぎるのでリモートが多めです（笑）
次に参加する診断案件は関わるメンバーが多いので、また出社頻度を増やしていこうかなと思います。
働く時間帯は10時〜19時（内1時間休憩）というスタンダードな感じですが、たまに異常に早起きしちゃって5時から仕事を開始することがあります（笑）
ほとんどのケースで診断実施の時間帯に縛りがないのと、コアタイム制で働く時間を柔軟に選べるのは助かっています。

Flatt Securityは12時〜17時がコアタイムのマンスリーフレックス制度を採用しています。

詳細は以下の採用サイトをご覧ください。
https://recruit.flatt.tech/workstyle

Flatt Securityは積極採用中です！

—— 最後に、記事を読んでくださった方に一言お願いします！

色々な魅力をここまで語りましたが、個人的にはセキュリティ診断を通して様々な技術スタックに触れることができることが楽しいと感じています。また、そのサイクルが数週間単位で回転が速いのも嬉しいですね。そのような技術的好奇心を満たしたい方はぜひ一緒に働きましょう！

募集職種｜Flatt Security 採用情報 - 株式会社Flatt Security