ENTRY

ENGINEER

Tomofumi.N
技術職・セキュリティエンジニア / 2011年度中途入社

社内配置のセキュリティチームで、問題の本質により早く近づく

インターネット上では、どの企業も常にサイバー攻撃の危険に晒されています。 LINEでは自社内にセキュリティの専門部署を置き、サービスから会社のインフラまで、その安全性に鋭い目を光らせています。社内セキュリティの存在は、LINEにどのような効果をもたらしているのでしょうか。

Tomofumiさんの職種について教えてください。
私はLINEのセキュリティエンジニアをしています。LINEおよびグループ企業が提供する製品やサービスの、セキュリティの品質に責任を持つのが仕事です。グローバルにもチームはありますが、基本的には我々の組織が中心になって活動しています。チーム内には2つのレイヤーがあって、実際の製品自体にセキュリティの問題がないかどうかをチェックする、「アプリケーションセキュリティ」。もうひとつは会社のサーバーやネットワーク周りなどインフラのセキュリティを担当する「サービスセキュリティ」です。私が主に見ているのは前者です。
アプリケーションセキュリティ業務について、具体的に教えてください。
私が主に行っているのは「脆弱性診断」です。プログラム上の悪用できるバグを探す作業で、製品やサービスに対して疑似攻撃のようなことをして、問題がないかどうかを調べています。多くの会社でも実施していますが、LINEの大きな特徴は、“セキュリティエンジニアを自社内に持っている”ということですね。他社の場合、多くがセキュリティベンダーなどにお願いして保守をしてもらっていますから。
社内にセキュリティエンジニアがいることの強みはどんなところにありますか?
問題が発生したあとで外部のセキュリティに連絡をするというのでは初動が遅い。でも、社内にセキュリティチームがあれば、問題に対して当事者として取り組みますよね。サービスと運命をともにするっていう意識があると違うんですよ。スピードも柔軟性も出てくるだろうし、何よりユーザーのことを考えますから。その人たちに、どうやれば安心かつ安全な環境を提供できるんだろうか、ということをすごく考えるんですよね。さらに言うと、私たちはビジネスをしなければ生き残っていけない。そのバランスをうまくとりながらセキュリティを考える時に、やっぱり“社内にいる”というのは重要なことだと思います。
LINEの社風の特徴を教えてください。
すごく柔軟な考え方を持つ会社なので、個人の裁量で様々な経験ができるのは素晴らしいと思います。最近の出来事で言うと、もっと色々と外の意見を知りたくなったんですね。大学の研究室とか企業の研究所の人が集まる場所へ行って、セキュリティの最新の論文を読んだり、話を聞いてみたいと思ったんです。それで上司に出張の相談をしたら「行っていいよ」ってあっさり言われて(笑)。他社だと、稟議を通して実績を見せて……というような段階を踏む必要があるかもしれませんが、その選択に価値があれば、理解がすごく早いんです。出張のあとにそのフィードバックをしたら、「そのシンポジウムはLINEがスポンサードしたほうがいい?」という反応が返ってくる。常にポジティブな方向に広がっていくんですよね。
どんな方と一緒に働きたいですか?
できるなら「何が何でもセキュリティで飯を食っていってやるぞ!」という気概のある人がいいですね。とても厳しい状況に置かれることもあるんですよ。事業側の要望にも応えなければいけないし、解決が難しい問題も多い。正解がない場合でも、その都度フルスクラッチでものを考えていくスキルが求められます。なんとなく「最近流行ってきてるから」という理由じゃなくて、セキュリティに何かしらの興味をもっていて、それをモチベーションに変えられる人が向いていると思います。

他のインタビュー