Interview/

Ichihara Naohisa

ーー自己紹介を簡単にお願いします。
サイバーセキュリティ室 室長の市原です。キャリアとしては、ICカードOSなどの開発経験のあと、Webやモバイル系のシステムや携帯キャリアのコンシューマーIDのセキュリティコンサルティングを経て2015年にLINEに入社しました。以降、LINEが提供する様々なサービスのセキュリティコンサルティング、LINEアカウントのセキュリティ強化、LINEのセキュリティブランディングの強化、セキュリティ系イベントの企画や運営、チームマネージメントなどを担当してきました。
ーーセキュリティエンジニアの組織や担う役割について教えて下さい。
LINEのサイバーセキュリティ室は、以下の6種類のチームで構成されています。
まず、アプリケーションセキュリティチーム。このチームは、LINEが提供する全てのサービスに対するセキュリティコンサル、ソースコード検査、リリース前のセキュリティ診断などを担当します。LINEは提供しているサービスも多いので、一人あたり月に6件くらいを担当しています。また、外部からの脆弱性報告を受けて報奨金を提供する「LINE Bug Bounty Program」についても、報告された脆弱性の検証やプログラム運営を担当しています。

次にゲームセキュリティチーム。基本的には、アプリケーションセキュリティチームがゲーム領域に特化したものと思っていただければ良いと思います。ゲームには特有のセキュリティ要素もあって、チート対策や不正モニタリングなどを重点的に行っています。

3つ目が、Trust & Safetyチームで、Spamやアカウント乗っ取りなどのサービス不正利用対策の為のデータ分析やモニタリングシステムの開発を担当しています。もちろん、運営や人的に不正を防ぐ組織や対応もあるのですが、不正行為をいかに技術的な仕組みで防いでいくかという分野を担当してます。

続いて、インフラプロテクションチーム。PC、ネットワーク、サーバー、セキュリティ製品を含む社員が利用するインフラ環境のセキュリティ設計や構築、運用を担当しています。この部門は、担当領域によって3つのチームに分かれています。

あと2つですね。次にCSIRTチームが、ネットワーク侵入やDoS攻撃など、外部からの攻撃や不正アクセスの監視・検知、インシデント対応を担当しています。外部からの脅威に対しての評価や各種フォレンジック、Exploitの情報収集・分析を日々行っています。

最後にセキュリティ開発チーム。このチームは、各種サービス向けのセキュリティモジュールの開発や、FIDOなどのセキュリティ関連の標準化活動を担当していて、LINEの中で使われるセキュリティのコア技術を開発する部門です。例えばend-to-end暗号の鍵を守るための技術とか認証周りとかですね。
ーー今そして今後の課題はなんでしょう?
サイバー攻撃や不正行為が高度化している事は一般によく知られていますが、これらに対応していくための自動化やAIの導入は欠かせません。これらのデータサイエンスに関わる正しい知識や開発、技術の評価ができるエンジニアが必要になってくると思っていて、それは社会的にもそうですし、LINEの中でもニーズが高い部分です。

また、LINEは金融分野にも進出を始めているため、これまで以上にサイバー攻撃系組織からの格好の標的になることを想定しなければなりません。将来起こるかもしれない標的型攻撃やゼロデイ攻撃などに対応するためにも、脅威情報の調査や活用、社内レッドチームによる擬似攻撃訓練などが出来るスキルやメンバーが今よりももっと必要になると思っています。
ーーセキュリティエンジニアに必要な素養やスキル、志向性などはありますか?
セキュリティエンジニアとして必要な基本的な素質としては、物事を先回りして考えられる思考プロセスや想像力だと思います。もちろん、役割によって求められることはそれぞれですが、例えば、新しいサービスの企画に対して、設計中のアーキテクチャにおけるセキュリティ上の問題、作りこみがちな脆弱性、サービス上の不正行為のリスク、などを想像したり、最適なネットワーク設計やサーバ構成を提案できたり、という事になります。そして、情報が足りなければ、必要な情報を聞き出したり、他の部門の意見を取り入れたり、といった事が自主的に動ける人はこの職域に向いていると思います。
ーーLINEでセキュリティエンジニアとして働くやりがいは何でしょうか。
1つは、LINE以外でほとんど見たことのないような新しい種類のサービスが次々と登場してきます。例えば、ClovaのようなAIスピーカーとか、スコアリングサービス、ブロックチェーンベースのアプリケーションプラットフォームなど。そうすると、これらのサービスのセキュリティコンサルや診断をする際、ネットを検索すれば出てくるような一般的なセキュリティのノウハウでは通用しない事があります。
それでも前に進めるために、セキュリティエンジニアとして考え、何らかのアウトプットが必要があります。人によっては怖くなるような環境かもしれませんが、こういう環境で新しい経験を詰んでチャレンジしたい人にとっては、LINEは日本でも稀有な面白い企業だと思いますね。

もう1つは、チームのセキュリティエンジニアはすごく優秀なメンバーばかりなので、仕事の中で学べることが多いと思います。2/3は日本以外の国籍のメンバーなので、色々な言語も飛び交いますし、海外サービスや海外拠点の案件も対応しているので、人によっては海外出張も頻繁にあります。会社の中でもトップクラスにグローバルな仕事環境だと思います。
ーー活躍している若手、伸びる人の特徴はありますか?
プロフェッショナルな知識や技術力はもちろん必要ですが、良い意味の強い好奇心や向上心によって、外部のセキュリティのコミュニティと関わっていたり、セキュリティの競技に参加したり、といった形で、オープンに自分磨きをしている人は、色々な意味で、会社以外でもセキュリティに関わる事柄に触れているので、仕事の中でも柔軟性や適応力が高い傾向があります。

あとは、仕事に対する問題や課題に対して一人称で考えて、行動に移せる人ですね。これはセキュリティエンジニアに限った話ではないですが、いかに主体性を持てるかどうかでできる仕事の範囲も身に付く経験も違ってくると思います。
ーー最後に学生の皆さんにメッセージを。
繰り返しになりますが、LINEはセキュリティを学びたい人、スキルを育てたい人にとっては、素晴らしい環境があると思っています。取り組む課題も求められるレベルも非常に高いところにあります。私たちはユーザーや会社に対してセキュリティの面から貢献する最高のチームを目指していますし、そのための優れたメンバーを常に探しています。セキュリティの領域に興味があり、自分の力を刺激ある環境で試したい方はぜひご応募いただき、これからのLINEを一緒に支えていけると嬉しいです。