だが、そんな充実した社外活動でセキュリティへの熱意と実力が高まるとともに、仕事の面では徐々に悩みが生じ始める。特に大きかったのは、自身の異動によってメンターと所属が分かれてしまったことだ。
「CTFなどの経験を通してもっともっとセキュリティをやりたいという気持ちが強くなってきたのと、お世話になったメンターの方と離れてしまったことで、あらためて今後について考えるようになりました。セキュリティ・キャンプの仲間たちが最前線でセキュリティの仕事や研究をバリバリとやっている姿にも影響を受けて、『大学に入り直してセキュリティを勉強するか』『セキュリティベンダーに行くか』の2択で、体調を壊すくらい悩みました。でも『サービスを作りたい』という気持ちもやっぱりあって……」(長友氏)
そんな葛藤に苦しんでいた長友氏に声を掛けたのが、現在所属しているサイボウズだ。「日本で最初期から脆弱(ぜいじゃく)性の報奨金制度をやっているサイボウズなら、自社サービスの開発とセキュリティに思い切り取り組みたいという自分の気持ちをかなえてくれるかもしれない」と感じた同氏は、2017年1月、サイボウズに移ることを決めた。
こうして入社したサイボウズでは、品質保証部下のPSIRTチームに配属となった。主な業務は「自社製品に関する脆弱性の検証」。まさに、入社前に思い描いていたサービス開発とセキュリティの両面に携わる仕事だ。「開発部門と連携しながら脆弱性を“つぶしていく”作業はとても楽しい」(長友氏)という。
さらに、社風にも満足しているそうだ。「サイボウズには、“公明正大”というポリシーがあって、うそがないんです。例えば、開発者に脆弱性を指摘すると、『それは仕様です』といってかわされてしまうといった話を時々耳にしますが、そういうことがない。こちらが指摘をすると、みんな正面から受け止めて、それが脆弱性なのかどうか、真剣に検討してくれます。この文化は本当に隅々まで行きわたっていて、例えば遅刻をしてしまったとき、よくある『電車遅延で……』といううそを付くよりも、正直に『寝坊です』と言う方がまだよいとされている(笑)。もちろん、遅刻は絶対にだめなことですが!」(長友氏)。
転職によって思い描いた通りの環境を手に入れた長友氏だが、逆に、現在悩んでいることや、課題視していることはないのだろうか? これについて率直に聞いてみると、「前職では開発業務が主だったので、まだ『セキュリティエンジニアになり切れていない』という思いはあります。技術もそうですし、法的な知識や第三者認証に関する知識など、不足している部分がたくさんあると感じます」(同氏)とのことだった。
とはいえ、そこは持ち前の行動力でカバーしていくのが同氏だ。2017年には、京都で開催された「セキュリティ・ミニキャンプ in 近畿 2017」で講師を務め、自ら構築した検証用環境を用いてWebセキュリティについての講義を行った。また、セキュリティ・キャンプ時代の卒業生とは今も交流を続けており、日頃から情報交換を欠かさず行っているという。
WordPressへの攻撃という事件をきっかけに、サイバーセキュリティの世界へとのめり込んでいった長友氏。インタビューの最後に、「日本の(世界の)セキュリティ業界にどう貢献していきたいか」と、やや大仰な質問を投げ掛けてみた。
「よくセキュリティ人材が不足していると言われますが、私はセキュリティ業界の未来は明るいと思っています。自分と同じセキュリティ・キャンプの卒業生たちもそうですし、最近では、10代の子たちがセキュリティ関連のイベントに参加しているのをよく見掛けます。個人的には、長谷川陽介さんのように、自分自身の技術力を磨きつつ、対外的な活動や後進育成にも積極的に取り組んでいくのが理想です。そしてどんどん、私なんかは追い抜いていってほしい。そういう動きが生まれれば、人材不足の問題は何とかなると思います。皆さん、セキュリティ楽しいですよ!(笑)」(長友氏)
人材不足をはじめ何かとネガティブな話題も多いサイバーセキュリティ界隈(かいわい)だが、常に前向きな彼女の話を聞いていると、そんなニュースも全てウソなのではないかという気にさせられる。こんな若手がどんどん出てくれば、セキュリティ業界の未来も明るいのかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.