LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」
巨大メッセージングアプリ「LINE」のセキュリティ室にも、新卒エンジニアは配属されます。若手をカンファレンスに送り出すLINEの「師弟関係」に迫りました。
若手エンジニアのための情報メディア「エンジニアHub」。連載「若手エンジニア、どんな活躍してますか?」第3回はLINE編です。巨大メッセージングアプリのセキュリティを担当する部署で、若手エンジニアはどんな活躍をしているのでしょうか?
── 第3回はご存じ「LINE」などのアプリを運営するLINEさんのオフィスにやってきました。開発側だったメルカリ編、GMOペパボ編とは目線を変えて、今回はセキュリティを担当している若手エンジニアとメンターにお話を伺います。
万 セキュリティ室でセキュリティエンジニアとして働いている、万萌遠です。2016年春に日本の大学院を卒業して、LINEには4月に新卒入社しました。
中村 同じくセキュリティ室でセキュリティエンジニアとして働いている中村智史です。アプリケーションセキュリティチームで、脆弱性診断の管理や、バグバウンティの取り組み「LINE Security Bug Bounty Program」、若手の教育・育成などを担当しています。LINEには、NHN Japanという社名の時代、2011年12月に入社して、それからずっとセキュリティエンジニアとして働いています。
── ありがとうございます。LINEさんは、社内にセキュリティ専門の部署を持っているんですね。万さんはなぜLINEという会社に入ろうと思われたのですか?
万 理由はいろいろあります。2-3社くらい内定をいただきましたが、面接のプロセスや、新卒内定者イベントなどの内容を通じて、最終的に決めました。大きな理由は3つあります。1つ目は、まだスマートフォンが普及して数年しか経っておらず、モバイルアプリを作る会社として将来性があるということ。2つ目は、LINEの億レベルのユーザー数を考えると、相当の技術力を持ったエンジニアと一緒に働けるだろう、ということでした。最後の理由は、私の希望をすごく聞いてくれたことなんです。
── 希望、というと。
万 私は入社するまで、セキュリティの経験が全然なかったんです。
── えっ!?
万 セキュリティはほぼ素人でしたが、セキュリティエンジニアに憧れがあったので、希望を出したところ、セキュリティ室に配属すると言ってくれた。それで決心をつけました。
セキュリティエンジニアに憧れて
── もともとセキュリティ関係のお仕事がしたかったのですか?
万 はい。小さいころからセキュリティエンジニアやハッカーが登場する映画やドラマをよく見ていて、憧れがありました。中国では、すごくかっこいい職業というイメージがあるんですね。私もかっこいいなあとずっと思っていて。
── なるほど、日本とは状況が違いますね。
万 大学ではコンピュータサイエンスの研究をしていたのですが、みんな機械学習とか、理論的なことを中心にした研究室が多かったんですね。私も本当はセキュリティがやりたかったけど、なかなかできなくて。就職活動を通じて、やっぱり小さなころからの憧れに集中したい、セキュリティの実務に携わりたいと考えました。
── 業務でどんなことに取り組まれているのかも教えてください。
万 私は、まだまだ簡単な業務が中心です。担当しているのは「脆弱性診断」と言って、LINEのすべての製品について、リリース前や大きなバージョンアップ前に、セキュリティ診断を実施するという仕事です。
── セキュリティ室全体では、どのような構成で、どんな業務にあたっているのでしょう?
中村 セキュリティ室はだいたい40-50人程度で構成されていて、大きく3つにカテゴリが分かれています。まず、技術者と非技術者で分かれます。
── なるほど、エンジニアだけではないんですね。
中村 はい。非技術者のチームは情報セキュリティポリシーなどを担当しています。エンジニアの方は、さらにインフラとアプリケーションのレイヤーに分かれます。インフラ側は、会社のサーバやネットワークへの直接攻撃に対する防御、検知、見回りを担当。アプリケーション側は、万が話した通り、製品の脆弱性診断が大きな仕事です。その他、仕様や企画の段階から社内でセキュリティの相談を受けるコンサルティング業務や、実際のリリース後の問題解決のお手伝いをしています。ゲームの場合は、チートへの対策などもありますね。最後に、先ほども少し触れましたが、バグバウンティの取り組みです。
── かなり多岐にわたりますね。それにしても、新卒でLINEという大きな領域でのセキュリティを担当するのは、かなり大きなプレッシャーがかかる仕事のように感じます。日々のやりがいや大変なことなどを教えてください。
万 もちろん、最初はプレッシャーがありました。ですが、入社する前に一度、LINEでアルバイトをさせてもらったんですね。そこで勉強して、入社してからはOJTもあって、シニアエンジニアと一緒にひとつの案件を担当して……。それから2-3ヶ月が経って、だいたいひとりでセキュリティ診断できるようになりました。自分で希望を出したからからには、ちゃんとできるようにならなければ恥ずかしいと考え、一時期すごく頑張って勉強しました。今では自信を持って脆弱性診断ができるようになっています。
── すごい。万さん以外にも、セキュリティ室では新卒をとっているのですか?
中村 はい、万以外にも新卒は受け入れています。教育もほとんど私に任せてもらっていて、全員同じような形でやっています。基本的に、モチベーションが高くないとセキュリティ業務はできないので、採用の段階では、その点も見ています。おっしゃる通り、セキュリティはとても重要で大きな仕事ですが、その質を担保するシニアエンジニアは十分に在籍しているので、新卒も彼らと一緒に仕事をしてもらって、早く一人前に育てよう、というスタンスです。
業務だけではセキュリティの広範な技術は習得できない
── セキュリティ専門部署のエンジニアは日々どのように働いているのでしょうか。普段の仕事のサイクルについて教えてください。
万 LINEの重要なサービス、ユーザーの個人情報をたくさん扱うサービスでは、必ずコードセキュリティチームのコンサルティングを受け付けています。それから、私も担当している、サービスの全体設計が終わったあとの、β版が完成した段階でのセキュリティ診断を受け付けています。
中村 もともとセキュリティ室ができたころは、最後の脆弱性診断が業務のほぼすべてだったんですよね。そこから少しずつ組織が大きくなって、やれることも増えていったんです。
── なるほど。基本的には、社内の各チームから仕事を受けて実施する、ということなのですね。自発的にセキュリティへの取り組みを実施するなどはあるのでしょうか?
中村 会社が大きくなったこともあって、やって来る仕事を受け付けるだけで、取りこぼさないようにしなければと気をつけるレベルですね。ですので、まだまだ積極的に仕事をしていく部分は少ないです。とはいえ、会社全体でのセキュリティ品質にはまだ課題もあるので、その品質を上げるために何ができるかを考えながら取り組んでいます。
── 新しいサービスやアプリもどんどん増えていますものね……。
中村 基本は相談ベースなので、こなすのも大変ですが、できる限り時間を作って、できる限り課題にも取り組んでいく、ということで、バグバウンティはそのひとつです。その他、社内でも、セキュリティ的に良いサービスと良くないサービスというのが出てくるんです。良くないサービスは、担当チームがセキュリティ知識をそこまで持っていないようだ、というのが見えてくる。ということで、セキュリティ部分をフォローするようなことできませんか、と社内での教育にも力を入れています。
── やるべきことはたくさんありますね! 万さんは、現在は脆弱性診断が中心とのことですが、今後この業務にも携わりたい、などありますか?
万 まだまだ、そこまで考えられていないですね。今は勉強の時期と考えています。というのも、仕事で使うセキュリティの技術は、セキュリティ全体の中でも一部の分野に限られているので、業務だけではいろいろな技術を習得できないと考えています。
── なんと!
万 なので、自分で勉強したい技術については、カンファレンスやトレーニングに参加させてもらっています。希望を出すと、会社やチームが良いよ、行ってらっしゃい、と承認してくれるんです。
── 具体的には、どのようなものに参加されていますか?
万 2016年10月に開催された「CODE BLUE」や、上海で開催された「MOSEC(Mobile Security Conference)」に参加しました。また、韓国の「POC2016」の「Pangu9 Kernel Exploits Development」というトレーニングにも参加しました。「AVTOKYO2016」という日本のセキュリティカンファレンスでは、登壇もしました。
万 人生で初めての登壇で、トーク自体は順調だったんですけど、最後のジョークで滑ってしまって……(笑)
中村 AVTOKYO、聴衆の皆さんが、アルコールを嗜む方々で……。万の発表が最後から2番目だったので、会場にはもう酩酊している人も(笑)
── えらいことに。
中村 ルーキーはもっと早い時間がよかったよね(笑)。セキュリティを始めて半年でAVTOKYOに登壇は、頑張ったなあ、という感じです。万も言った通り、会社で求められるセキュリティはルーチン化しがちですが、セキュリティは本来、想定してないことに対処する必要があります。なので、できることを増やしていく、というのは重要な視点だと思うんです。海外のカンファレンスやトレーニングは、面白そうなものがあったら、ジュニアもシニアも、行きたいときは行きなさいと言うようにしています。万はチームの中でも積極的に希望を出してくるのですが、だいたい承認しています。
万 ありがたいです。
中村 最近はモバイルのセキュリティ周りは中国が強い。どんどん行ってきて、学んできてほしいなと思います。
万 たくさんのカンファレンスやトレーニングに参加できているのですが、宿泊代や交通費も含めて会社に出してもらっていて、良い環境だなと思うし、ありがたいです。新卒にお金をかけてくれているのは嬉しい。
中村 私の経験でも、海外に行きたいというと、経験のあるベテランから順に、ということが多いので、新卒になかなかそういう経験をしてもらうのは難しいですよね。
万 私も最初は、行きたいけどなかなか口にできなくて……。
中村 遠慮しちゃって。日本式の遠慮を習得してしまった(笑)。でも、ジュニアもシニアも関係なく、どんどん新しいことをしないと世界と戦えない、という考えがマネージャ側にもある。私は万に仕事をアサインする立場ですが、それよりも、新しい知識を持ってかえってきてくれるほうが嬉しいので、カンファレンスやトレーニングへの参加はどんどん手をあげろと伝えています。
万 中村さんに「これ参加したいです」と言うと、すぐ承認してくれますよね。
中村 断ったことないですね。そのかわり、ちゃんとあとで学んだことを持ってかえってきてね、と言っています。万は英語もできるし、中国語もネイティブだから、世界中の新しい技術知識を持ってかえってきてくれる。私は英語が苦手なので助かります(笑)。結局は、チームにとっても会社にとっても大きなプラスになるという認識が共通してありますね。
新卒もシニアも、個々人をよく観察
── 中村さんに質問です。これまでのメンター経験や、普段のメンタリングで心がけていることなどを教えてください。
中村 過去の所属企業を含めて、新卒採用しちゃった子のメンター経験は多いですね。私自身が希望したわけではないことが多くて、なぜなんでしょう(笑)
── 人事の方にお聞きしましょう(笑)
中村 LINEでは、2014年からセキュリティ室で新卒を受け入れています。そこからずっと、教育はほぼ私がやっています。心がけているのは、セキュリティエンジニアに限りませんが、まずは個人個人の特徴や趣味嗜好をよく観察するようにしている、ということです。メンターという立場だと、画一的にいろいろな試練を与えて「クリアしてこい!」というやり方もありますが、私自身、メンタリングを受ける側だったら、それは好ましくないなと思っています。まずは個人を見る。万の場合であれば、趣味とか、なぜ東京に来たのかとか、セキュリティ分野でも特に何に興味があるのか、何ができるのか、など。結構調べて……いたんだよ? 実は!
万 (笑)
中村 私自身が万能なわけではないので、周りのシニアもメンターの代わりをやってくれるようにする、というのも大事ですね。そのシニアたちに対しても、どういう人か、得意分野やそのレベルは、というのをよく見るようにしています。ジュニアとシニアの両方が分かると、適切な組み合わせが分かってくるんです。「君がやりたいことは、誰々がすごく得意だよ」とアドバイスできる。
── 交通整理っぽいですね。
中村 あとは、課題を与えると、時にはできないものが出てくる。そういうときに、ハードルを少し下げて、できなければまた下げて……というバランスに気をつけています。心がけているのは、このくらいですね。
── だそうです。万さん、気付いてましたか?
万 前に中村さんがお酒を飲んでいるときに、教えてくれました。
── 手の内はすでに明かされていた。
同じ課題を同期に出して、あえて競争させることも
── 社内の同年代のエンジニアは何人くらいいますか?
万 エンジニアは私を入れて、秋入社も含めて全部で10人です。セキュリティ室に来たのは、4月入社で2人、秋にもう2人、あわせて4人。
中村 私が頑張って採用しました!
── おつかれさまです。同期のことを意識されたりしますか?
万 同期はすごく意識していますね。他の人はCTF(セキュリティ競技)の手伝いをしていたような人もいて、自分は入社した時点では、技術的にも一番弱いんじゃないかと思っていました。それに、LINEのセキュリティ室は、文化として「必要な知識や技術は自分でどんどん盗め」という感じなので、社内Wikiのドキュメントを読んだり、シニアに聞いたり、レベルの高い同期からどんなふうに勉強してきたか聞いたり。
中村 教えないよというわけではないんですが、例えば脆弱性診断であれば、脆弱性を見つければいいわけで、方法は問わないわけです。だから、課題を与えたときに、やり方を手取り足取り教えるわけではないんですね。私はこうやってるよ、というのを普段は見せて、まずはマネをしてもらい、なぜそうしているのかを考えてもらうようにしています。もっと良い方法があれば、そちらを選んでもいい。
── 師弟って感じで良いですね!
中村 同じ課題を同期に出して、あえて競争させたりすることもありますよ!
── 師匠っぽい!
万 競争させてるな……って自分も意識しました。今回は負けたなー、とかよくあります。
中村 報告を受けた際に、今回はこの人が一番でしたね、ってあえて言うとか。これはいつもそうしているわけではなくて、個々人を見て、戦略的にやっているんです。万を含めて、今年の新卒は、こういう風に言うと燃えるタイプだな、というのが分かっているときにやります。
── 先ほどおっしゃられた「個人を見る」ということですね。
新人のころを思い出して
── エンジニアとして成長するための環境として、LINEの良いと思う面などを教えてください。
万 技術力の高いシニアエンジニアがたくさんいる、というところは大きいですね。業務でも、自分の興味で勉強したいときも、こういうことに困っていますと聞くと、だいたい誰かが詳しくて答えが返ってくる、というところがすごく嬉しいです。それから、繰り返しになりますが、カンファレンスやトレーニングへの参加がどんどんできる点も良いですね。
── ありがとうございます。そんな環境下で、例えば5年後、どんなエンジニアになっていたいというイメージはありますか?
万 誰からの依頼や相談に対しても受け付けられるような力を持ったセキュリティエンジニアになりたいなと思います。
── 中村さんみたいになりたい、じゃなくて大丈夫ですか?
万 あっ!
中村 技術面では、私自身は限界を感じているので(笑)。優秀な方々の能力を発揮してもらうのが楽しいんです。
万 中村さんはソーシャルエンジニアリングが得意ですよね。
中村 私、機械より人間の方が好きなんです。
── そんな中村さんにお聞きしますが、これからメンターになるような「先輩エンジニア」に向けてアドバイスがあれば教えてください。
中村 だれしも新人のころはあったはず。その時代を思い出せば、おのずとやるべきことが分かると思います。それを忘れて上意下達にやる人もいる。自信がついたからだとは思いますが、できなかったときの自分を思い出して、そのときにどう指導されたかったかも思い出してみてほしいですね。
── ありがとうございました!
取材:エンジニアHub編集部/写真:赤司聡
