転職者目線で語る、前職セキュリティベンダーと GMO Flatt Security の違い

こんにちは、GMO Flatt Security セキュリティエンジニアの森田です。
私は昨年11月に中途で入社しました。

将棋・囲碁・ゴルフなどが趣味で、懇親会ではよく将棋を指しています！
（囲碁とゴルフもやりたい！）

さて、前職では大手セキュリティベンダーの子会社に所属しており、その会社および親会社の脆弱性診断に約3年半携わりました。

この記事では、前職のセキュリティベンダーで提供していたサービスと比較しながら、GMO Flatt Security で働くメリットについて、3つ紹介したいと思います。

1. 選択的ホワイトボックス診断

１つ目の違いはほぼ全ての診断プロジェクトで選択的ホワイトボックス診断が行える点です。

前職で提供していた脆弱性診断サービスと大きく異なり、ソースコード診断の無料付帯サービス（選択的ホワイトボックス診断）が存在し、その恩恵を受けられています。

Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - GMO Flatt Security Blog

選択的ホワイトボックス診断は、お客様へ提供するサービスの質を向上させる目的もありますが、診断員側にもメリットが存在します。具体的には、コードリーディングを通して、様々な技術や設計に触れることが可能な点で、診断員自身のスキルアップに繋がります。

私自身、実際に入社後２つの診断プロジェクトを実施してきた中で、ソースコード上から使用されている技術を学ぶことができており、成長に繋がっていると実感しています。

前職ではホワイトボックス診断を提供しておらず、親会社の大手セキュリティベンダーにおいてもホワイトボックス診断の案件は少なかったものと記憶しています。また他のセキュリティベンダーも同様に、費用面などからホワイトボックス診断をご依頼いただく機会は、そう多くはないものと想像しています。

その点、弊社ではホワイトボックス診断実施による追加費用はいただいていないこともあり、通常のWEBアプリケーション脆弱性診断において、ほとんどの場合ソースコードをご提供いただけます。そのため、診断員は基本的にソースコードを参照しながらの選択的ホワイトボックス診断を行うことができます。

他のセキュリティベンダーではなかなか得られない、とても魅力的な環境ではないでしょうか。弊社で働くことで受けられるメリットの一つであると個人的に強く感じています。

オンボーディングを通したホワイトボックス診断の基礎習得

ホワイトボックス診断の経験がないことで、弊社への応募をためらっている方もいらっしゃるのではないかと思いますので、診断業務のオンボーディングに関して少し紹介します。

上記で言及している通り、私はホワイトボックス診断の経験がありませんでしたが、入社後の診断業務オンボーディング期間を通して、コードリーディングを含むホワイトボックス診断の基礎的な技術を身につけてきました。

診断業務オンボーディングでは、社内用教材や脆弱性が作り込まれた内製のWEBアプリケーションなどを使用して、ホワイトボックス診断を行うために必要な知識や肌感を習得します。

社内用教材で診断に必要な下地を整えつつ、自作WEBアプリケーションでホワイトボックス診断を擬似的に実施するという様な流れで、段階的にレベルアップできるようにカリキュラムが作成されています。
（オンボーディングの具体的な内容は、後日公開される記事で紹介される予定です！）

上記の通り、ホワイトボックス診断未経験の方でもオンボーディングを通してキャッチアップが可能な環境が用意されています。

個人的には、慣れないコードリーディングに苦戦を強いられたものの、着実にレベルアップすることができました。ブラックボックスによる診断経験が十分な方であれば、あまり気負いする必要はないのではないかと感じています。

2. 報告書の具体性

２つ目の違いはお客様に納品する報告書をより具体的に記載できる点です。

前職で経験したセキュリティベンダー2社では、XSSなど各脆弱性ごとに一般的な説明・対策を固定の文章で記載しており、診断したアプリケーションに沿った内容で脆弱性の説明や対策を記載することはできませんでした。

そのため、お客様に対して内容が伝わりづらいだろうと感じることも多々あり、実際にお客様から報告書の不明点について、お問い合わせをいただくことも度々ありました。

弊社では、診断対象アプリケーションにおいて見つかった脆弱性毎にリスクを評価し記載しているため、対象アプリケーションに応じて、「どの様な条件で悪用される可能性があるのか」、「その脆弱性が悪用された場合にどの様なリスクが発生するのか」を評価した上で報告書に記載することができます。

対策に関してもソースコードを受領した上で診断を行うため、ブラックボックス診断の場合に比べて、より具体的な修正案を提示できる可能性が高くなります。

前職では提供できなかった一歩踏み込んだリスク評価や対策を検討できる点は、お客様のセキュリティ対策に貢献できるのみならず、診断員自身の成長にも繋がると考えています。

前職以外の他のセキュリティベンダーに関してもサービス運用上、脆弱性の説明・リスク・対策の内容などは固定の文言が使用されているケースがままあると想像しているため、報告書の記載方針は、弊社で働くことのメリットの一つであると個人的に感じています。

3. 倫理的な価値観

３つ目のメリットは倫理的な価値観が根付いている点です。
こちらに関しては前職との比較ではなく、私個人が想像する一般社会と比較した上でのメリットになります。

弊社では、バリューの一つとして「倫理的であれ」を掲げています。

Vision / Mission / Value - 株式会社Flatt Security

「倫理的であれ」には、いろいろな意味合いが含まれているとは思いますが、純粋に「人として倫理的な行動をとりましょう」という意味合いが根本的な部分にあると考えています。

倫理観に関しては、Slack上でのやり取りや日常の会話などで言及されることも多く、日頃から意識され、組織のバリューとして根付いていると感じています。

倫理観が根付いていることによるメリットとして、例えば、ビジネス上の短期的な売り上げ目標のために、倫理観に背いた選択肢を迫られる場合などにおいて、倫理観に背いた意思決定を行う必要がなくなるといったものが挙げられます。

組織に縛られ強制的に倫理観に背く行動を行うことは、負い目などから不必要にストレスがかかり、他の業務のパフォーマンスにも影響が出るものと個人的には考えています。

この様な不要なストレスを感じることなく仕事を行える環境は、当たり前に存在するものではないと考えており、倫理観を大切にしている弊社で働く際に享受できるメリットの一つであると感じています。

おわりに

上記のように技術的な研鑽が積めるだけではなく、一緒に働く方々の人間性がとても魅了的な職場です。技術的な成長と合わせて、人格的な成長も目指したい方にはとても学びの多い魅力的な環境であると感じています。

弊社ではセキュリティエンジニアを積極募集しています。
興味を持ってくださったセキュリティエンジニアの方は以下の採用情報ページをぜひご覧ください！

採用情報｜Flatt Security - GMO Flatt Security株式会社

カジュアル面談フォーム
https://docs.google.com/forms/d/e/1FAIpQLSer6NxiQSAxmMpPYnHjzcxWYCxaV41c_j-HtKW_YKmK5cZYiQ/viewform

また、中途採用だけではなく26卒セキュリティエンジニアも積極募集中です。業務内容や求める人物像など気になる方はぜひ新卒採用情報ページ・カジュアル面談をご活用ください！

新卒採用｜Flatt Security - GMO Flatt Security株式会社