マネーフォワードの中の人を知ってもらうため、当社でフルタイムのRubyコミッターを務める卜部昌平が、マネーフォワードのエンジニアにインタビューをするこの企画。 第五回目となる今回は、セキュリティエンジニアである鈴木研吾さんへのインタビューです。
社員ですら初めて聞くような、マネーフォワードに関わる人のストーリーをお届けします。
▼過去のエンジニアインタビューはこちら マネーフォワードエンジニアインタビュー 谷口徹「BtoBはユーザーとの距離が近い」 マネーフォワードエンジニアインタビュー 鈴木信太郎「モノポリーから始まったエンジニアへの道」
日時
2016年 9月 21日 (水曜日)
語り手
鈴木研吾(セキュリティエンジニア)@ken5scal
2010年 カリフォルニア大学バークレー校 学士過程修了。 2011年 カリフォルニア大学バークレー校 修士過程修了。 2011年 野村総合研究所に入社後、NRIセキュアテクノロジーズに出向。証券向けのネットワーク・Webサーバにおけるセキュリティ面の構築・運用・保守担当を務めるかたわら、インシデントレスポンスも対応。 2014年11月 マネーフォワードに転職。iOS, Android開発とCISO下でセキュリティ全般を担当。
聞き手
- 卜部昌平(Ruby開発者)@shyouhei
ガヤ
- 越川直人(エンジニア・編集担当) @ppworks
- 土江有里奈(人事・書き起こし担当)
- 小川昌之(人事・写真担当)
鈴木研吾インタビュー
アメリカ生まれ日本で育ち、アメリカで学んだ
卜部 簡単なプロフィールを教えてください。
KENGO 大学卒業からですか?
卜部 生まれた時からでもいいですよ。
KENGO 父親の転勤でアメリカで生まれて、弟もそこで生まれました。
4歳で日本に戻ってきて、4~15歳まで日本で、15~22歳までアメリカで高校、大学、大学院まで行ってました。その後日本に戻り、野村総合研究所に新卒で入社して3年居ました。2年ほど前の2014年11月にマネーフォワードにジョインしたっていうのが今までの経歴です。
小川 いまだにバークレーの時の友人とは連絡取り合ったりしますか?
KENGO もちろんです。最近はアメリカ行った時も会いました。日本は日本人のバークレーの卒業生がいるので、たまに飲みにいったりしています。ただ、残念なのが、それ以降の世代をあんまり知る機会がないということですかね。その時の世代は仲いいんですけども、それ以外とはそもそも接点がないので、それはちょっと残念ですかね。
卜部 大学でどんなことをやっていたとか言ってもいいですよ。
KENGO メカトロニックスです。機械制御ですね。ボタン制御だとか、数式だとか。ラプラス変換とかしたりだとか。
卜部 実際に物を作ったりしてました?
KENGO どっちかっていうと、シミュレーションのほうですね。
卜部 エンジニアに関わり始めたのはいつぐらいですか?
KENGO エンジニアという意味では、機械工学が専門だったので、コンピューターサイエンスではないんですけれども、大学ですかね。 一応、高校から、理系に進もうと思っていたので、理系中心のコースを取っていたと言えばそうなんですが、明確にエンジニア専門というと大学ですね。
卜部 それは、どういった興味からですか?
KENGO 自分自身が結構オタク気質なところがあって、ロボットとか大好きだったんですよね。 で、そのロボット作るのが楽しそうだなと思っていて。そこからラジオを作ったりだとか、手を動かしたりするのが好きになったていうのがキッカケです。 それで、機械工学を選んだんですが、機械を作るなら機械工学だろって感じで思っていて、当時はその中のOSだとか中の電気回路とかはまったく頭に入ってなかったです。
小川 KENGOさんはガンダム好きですよね。
KENGO そうです。ガンダムが好きだから、機械工学をやっていた感じです。
ガンダムってシリーズ的に壊れる運命にあるんですね。その中の壊れた時に内部フレームが見れるのが好きで興味を持ったんです。そこからロボット好きになったんですよ。
普通の健全な状態の時はどうでもいいんですよ。壊れた時が非常に興味深くて、好きだなっていう。
世の中を事前に守る脆弱性診断士に憧れて
卜部 プログラミングを始めたのは?
KENGO プログラミングを始めたという意味だと、大学の講義で学んだ事はありましたが、 業務として初めてお金を稼ぐという行為でプログラミングをしたのは、野村総研のインターンですね。インターンでは、脆弱性を診断するチームに配属されました。
そのチームに配属されて、脆弱性を診断した結果をレポートにまとめるためのシステムを作ったというのが一番最初です。Visual Cだったと思います。
卜部 新卒採用の前にインターンを経験されたんですね。
KENGO そうですね。
卜部 その時に楽しそうだなって思った?
KENGO プログラミングと言うよりは、脆弱性診断がやりたかったんですよね。 当時、PlayStation Networkの個人情報流出事件があったんですよ。
卜部 ありましたね。
KENGO 個人的にも当時そういった被害にあったんです。学生向けの医療保険みたいなのがあるんですけども、そこのデータが抜かれたという事件がアメリカでありまして、ある日僕のもとに手紙がきました。「君の個人データが抜かれたかも、ソーシャルセキュリティ番号が抜かれたかも、ごめんなさい。」という内容のものです。
そして、「今後のために、こういうことをやってね!」という項目が10個くらい書いてあったんですよね。「何もしてないのに、何故こんな目にあわなきゃいけないの?」という気持ちになって、誰が責任持って見てるんだろうって思ったんです。
そこで例のインターンで、脆弱性診断は世の中にあるサービスの脆弱性を事前に見つける役ということを知って、あーこの人たちが世の中を事前に守るべき役割なのかと、非常に感銘を受けたのが、キッカケですかね。
最初やりたかったことはそういう流れになります。まあ、新卒入社したらその仕事ではなかったですけどね。
卜部 まあ、日本で新卒で入社した人にそんなスペシャリストをやらせるかどうかだと、やらせないよね。
KENGO 他の同期は、そっちにいっていたこともあたので、その時はショックでしたね。なんでやねん!みたいな。
卜部 じゃあ今の会社に入ったのは、脆弱性診断のスペシャリストになりたかったの?
KENGO いや、実は、そういうわけではないんですよね。
前職に居た3年間、脆弱性診断士をやらせてくれって言ってたんです。3年経って色んな人に話を聞いて回っていたんですが、脆弱性診断といっても、開発をやっていない人もいるし、逆に開発やった人も居るということを知りました。
そう考えると、一度は開発の経験を積んだ方が、脆弱性診断士として大成するには良いんじゃないかと思い始めました。いつ始めるかと考えると、さすがに、3年以降に脆弱性診断士チームに入れる目がなければ、外でやろうと。そしてその後に戻ってこようと思っていました。
結局3年のうちにいけなかったので、開発をする会社に転職活動を始めたんですよね。そしたら、マネーフォワードに居る友人が紹介してくれて、転職期間は1ヶ月も無かったですね。
風通しの良い環境で自分の役割を見つけた
卜部 どうでしたか、実際に転職してみて。マネーフォワードで仕事をしていて、それが思っているキャリアパスに対して、プラスに左右しているのかしていないのか。
KENGO 最初の1年半くらいは、Androidアプリの開発をしてました。その後、CI周りのサーバーを作ったりして、またセキュリティに戻ってきたという感じです。
卜部 最初のころは、今よりも社員の数も技術者の数も少なくて、色んな事をやる機会があった?
KENGO そうですね。今も色々なことをやっています。ネットワークだとか、脆弱性を見たりだとか。
卜部 マネーフォワードの性質的に、この人はこの担当という壁がある感じはなく、色んなことに携わっている人が多いですね。
KENGO そうですね。マネーフォワードではそういった壁があまりないところが僕のキャリアにとっては、一番プラスじゃないかなと思っています。 自分からアクティブに情報を取りにいくこともできますし、ほかの事業部の情報も入ってきやすいってところもプラスかと。 それによって、「なるほど!Webではこういうやり方なんだな」って分かったり、僕がアクションを起こしたりだとか。逆にみんなが僕に聞きに来たりもしてくれるので、開発者がセキュリティに対してどう思っているのかという部分が分りやすくなり、視野も広がった気がしますね。
卜部 Androidアプリの開発から仕事をスタートして、色々と役割が変わってきたっていうのはどういう経緯なんですか?興味の領域が変わって来たんですかね。
KENGO 興味というよりは、自分なりにマネーフォワードでの役割が見えてきた感じですね
Androidアプリ開発を1年半やって、まだまだヒヨッコではあると思いますし、飽きたという訳ではないので、今後も手を動かしたい気持ちはあります。
一方で、開発を進める中で脆弱な部分も見えて来まして、それに対して適切なアクションとコミュニケーションがとれるの人って、そんなに居ないんじゃないかと思ったんです。そういったキャパシティーやケイパビリティーを持っているのは自分かなと。
そこに自分の居場所を見つけたというのが現状です。
卜部 例えば、セキュリティを頭に入れながら、開発するみたいなことが出来る人もいれば、出来ない人もいますよね。それは、慣れだったりもするので。
KENGO それは慣れもありますし、そもそもそういうものがあるかどうかも知らない方もいらっしゃるので。僕がセキュリティやっていて、開発のことを何も知らなかったのと同じかな。
卜部 実際にどんな感じで仕事が進んでいるんですか。
KENGO ロングタームの仕事が6割で、ショートタームの仕事4割という感じです。
ロングタームに関しては、よく当社CISOが言ってますけど、今まではスピードを重視をして走って来たがゆえに、置き去りにして来た部分があると。そういった置いてきたものを、今の成熟度に合わせて直しているのが、ロングタームの仕事です。
Proxyの整備による出口対策だとか、インシデントが発生した際の対応方法のシナリオを作ったりだとか、広報チームとの連携の仕方とかを考えたりだとか、包括的な仕事などを行っています。
ショートタームに関しては、脆弱性の診断を各サービスで定期的にやったりだとか、何か障害があったらそれを見たりだとか、若干インフラ的な部分もありりますね。
卜部 セキュリティの部署と、インフラの部署ってそんなにはっきり分かれていないというか、担当はそれぞれ居るけど部署的には、そこまで垣根はかっちりしていない印象があります。
KENGO 新卒で入った部署はMSSというマネージドセキュリティサービスを扱う部署でしたが、同じくそんな感じでした。 何をやっていたかといえば、今やっているようなことですよね。ファイアーウォールを置いたりだとか、ネットワーク切ったりだとか、あとは、新しいセキュリティ機器を導入して保守運用するような、インフラネットワーク的なことをやってきましたね。 今の仕事もそれの延長プラス他のセキュリティの分野もやっているといった感じですね。
セキュリティエンジニアになるためには
卜部 セキュリティエンジニアって昔からある職業ではないですよね。なので、何かあんまり実態が知られていないこともあると思うんですね。 一方で、高校生が将来セキュリティエンジニアになりたがっているという記事が盛り上がったことがあるので、セキュリティエンジニアになりたい人もいるのかなと。
KENGO 徳丸さんとか回答してましたね。
卜部 セキュリティエンジニアになりたい人のためにも、普段の仕事内容をこのインタビューを読んでいる人は知りたいんじゃないかなと思うんですが。
KENGO なるほど。そういう意味だと、どう答えればいいんだろう。セキュリティエンジニアって非常に広範囲に渡っていると思うんですよね。
僕の最初の肩書きは、セキュリティエンジニアではなくて、セキュリティアナリストでして、そのインフラを監視していて、そこで発生したものを分析するという意味でアナリストだったんですよね。 僕が元々なりたかった脆弱性を分析する人は脆弱性アナリストだし、あとはセキュリティ向けのプロダクトを作るプロダクトの人は、これまた別の肩書きなんですよね。 セキュリティエンジニアという言葉ができたのがここ最近で、どこからどこまで包括しているのか難しいですね。
卜部 そうですね。
KENGO そういう意味だと、僕にはセキュリティエンジニアという肩書きはついていますが、ハッカー的なことはしないですし、どっちかとういうと、マネージメントだとか分析だとかセキュリティの設計を考えるようなアーキテクト的なところをカバーしているのかもしれませんね。
卜部 なるほど、そういうセキュリティアーキテクトをやりたいって人は、どういう勉強をしていれば良いんですかね。 今後、KENGOの後輩を採用するにあたってどういう人が来て欲しいかってって話なんですけど。
KENGO それに即答は出来ないのですが、どういう人が欲しいかっていう人物像から入ると。うーん。 そうですね。僕みたいなキャリアパスを歩んでいうる人が実は結構いるんんじゃないかと思っています。 つまり、どういうことかというと、セキュリティに携わる今のエンジニアっていわゆるSIer業界に住んでいると思っています。あんまりこういったWeb業界に居ない気がします。
卜部 そういう需要があるかどうかも問題だとは思いますが。
KENGO そうですね。新卒で1個のことを専門的にやってきて3年ぐらい経つと、自分の立場を俯瞰してみはじめると思うんですけど、その時点で将来もセキュリティのことをやっていきたいけど、開発のことやサービス提供のこと何も知らないかもって感じた人に来てほしいですね。
プラス、出来れば、マネーフォワードのやっていることに意義を感じてくれて、それを死なさないためのマインドを持っている人。 突き進む個のパワーも大事なんですけど、それを崖から落とさないためのディフェンス役に徹せれる人が向いていると思います。
卜部 確かにセキュリティって色々なことをやらなきゃいけないので、ある程度包括的な話になりがちだから、見渡して見れるというのは重要な技能かも知れないですね。
今後は神の視点を養いたい
卜部 今後の話を聞きたいと思います。今後どういう風になっていきたいですか?
KENGO 今後どういうポジションかっていうと、あるんですが、それはおいておいて、今後どういった感じで働きたいかっていうと、マネーフォワードっていう括りにとらわれなければ、出来れば小さい会社でセキュリティをバーンってやって、ある程度からセキュリティの専門家になって、包括的な立場になるっていう働き方をしたいですね。
個人情報の取り扱いとかが一番厳しいのがヨーロッパなので、ヨーロッパ系の会社の方がおもしろいかなって思っています。アメリカはアメリカで最先端を進んでいるとは思うんですが、一番セキュリティの制約が厳しいヨーロッパとかで働ければ、セキュリティとしての神の視点が養えるのではないかと思っています。
卜部 神の視点。
KENGO 神の視点を養ってから、それを日本に輸入したいとは思っています。
卜部 法律によって左右される部分とかもありますよね。 それもそうなんだけど、今、お話を聞いていると、既存の○○っていう職種、肩書きがついた仕事をやりたいっていうよりも新しいビジネスソリューション、新しい種類の仕事をやりたいのかなと感じました。
KENGO 仮に今ある職種がダダーってホワイトボードに書いてあって、○つけろって言われたら、たぶん、最終的に選びたいのは、CSOだとかCISOだとかなのかもしれないですけど、卜部さんが仰った通りならば、確かにそうやって既存の職種から選べないなぁとも思います。
卜部 なるほどね。今後どんな人と働きたいとかありますか。
KENGO チャレンジ精神がある人は、いいですね。
あと、学ぼうという意欲がある人ですかね。なんというか、やっぱり新しいことを学び続ける姿勢がないと、すぐ楽をしちゃうので。 ひとつのところに安定を求めるというよりは、まだ見ぬ何かをやっていこうという前向きな姿勢の人がいいと思いますね。
卜部 そういう意味でいうとマネーフォワードはどうですか?新しいことをやりやすい環境ですか?
KENGO やりやすいと思いますね。 インフラ担当者がInfrastructure as CodeでItamaeをばりばり書いているので、僕はDockerをちょくちょく書いてみたりとかはやっています。 Androidアプリ開発でテストをちょびちょび書いてみたりとかは結構やれてると思います。
卜部 人が増えてきて変わったことはありますか?
KENGO そうですね。最近入ってきた方も前向きな人が多いなって印象もっていますね。他の役割だとカスタマーサポートの方々とも飲みに行ったり、仲良くなれているのもいいですね。
人が増えて悪いほうには進んでなくて、むしろ非常に良い人たちが入ってきていて、セキュリティ的にもやりやすいですし、一社員としても非常に良い雰囲気があると思います。
卜部 カスタマーサポートの人は、飲みに行くだけですか?仕事の絡みはないんですか?
KENGO 仕事の絡みもありますよ。 脆弱性のことだとか、カスタマーサポートにセキュリティの問い合わせが来た際に、これはどうやって答えたらいいとかはありますね。
卜部 セキュリティの問い合わせがあるんですね。
KENGO あります。その時は、質問の内容をみて、ディープに答えるか軽めに答えるかを決めますね。あと、広報の人もすごく協力的なのがいいですね。 たぶん、前職みたいな大きな会社ではセクションを分けた方が効率がよかったんだと思うんですが、それによって広報の人と絡まなかったり、あいつ何をやっているんだろうという疑問もあったんですが、今はいい意味でMIXしてますね。
当社の広報は、セキュリティの対策ってどうすべきかアドバイスを求めてくれたりするので、嬉しいですね。出来れば今後もそういう空気を維持して他の役割の人との間に壁のない、気軽に話せるような組織になっていくと良いなと思います。
卜部 いい話ですね。
プライベートでは2つの目標に向かっている
卜部 そろそろ仕事じゃない話をしましょうか。 普段、どんなことやっていますか?
KENGO 2, 3ヶ月ごとに変わっているんですが、今は、Go言語の勉強をしていますね。 一つ目は、プログラミングです。MFクラウド会計のAndroidアプリは僕が作ったので、0→1をやったことはあるんですが、自分のサービスを作って一通りできるようになりたいというのがあるので、Web側の言語をやっています。なんでGoかとういと、なんとなくとしか言いようがないんですが、Goです。
二つ目は、資格の勉強をしていてCISSPという勉強をしています。包括的なセキュリティに関する国際的なセキュリティの資格です。
卜部 Certified Information Systems Security Professional?
KENGO それです。それを、取りたいなと思っています。結構面白くて、物理側のセキュリティの話もあるんですよね。
例えばですね、火災って実は、物質が燃えるだけじゃなくて、燃える燃料も違うじゃないですか。液体だったり、固形物だったり、それにあわせて、消火器って選ばなければならないんですよ。レベル1~4まであって、レベル4の消化剤は何かっていう問題になってたりするんですよ。知らんよ、そんなことみたいな。
卜部 電気火災を水でやっちゃだめっていうのは僕らも多少は知っているんですが、レベルがあるんですね。最近も銀行のやつとかねえ。
KENGO デシベル130とかですかね。
卜部 ですです。他にもなにか。
KENGO 大学の経験は非常に個人的にはよかったですが、後悔があって、何かっていうと、マスターに行ったことなんですよね。
卜部 行ったことが?
KENGO そのマスターっていうのは、1年で終わるやつで、実験っていいうよりは、理論よりで講義がメインだったんですよね。 その時は、若さゆえに「1年でマスターとれるぜ、やったー」みたいな感じだったんですが、もっと手を動かす方がよかったなと思いました。 なので、その一年に行ったからっていうのが僕があるっていうのもあるんですが、あの時に戻るなら、そのままどこかに就職するか、もしくは、2年のどこか受かっていた院にいってたらよかったかなとは思っています。
卜部 今から大学に戻るとかはないんですか?
KENGO それはまじめに考えたりもしますね。
卜部 Master's degree取っちゃったからDoctorとか。
KENGO Doctorか…難しいですね。 それより、情報工学の基礎がまったくないので、そこを積み上げていきたいとかは思ってますね。 Googleが出しているHow to become a Googlerでソフトエンジニアになるためには、こういうのを受けろとかあるので、それをちょくちょくやったりはしてますけどね。
卜部 時間があればできるんだろうけど、仕事の合間に勉強するのが大変ですよね。
KENGO CISPPが終わったらそっちをやろうとは思っていますね。
卜部 いいじゃないですか。
KENGO やっぱり今の有名なセキュリティの方って、徳丸さんだとか、XSSの長谷川さんだとか、基本的にセキュリティの組み込み系からスタートしてるんですよね。そういうところをできてから、レイアーを積みあげてって、そこらへんもカバーしないとなって思っています。
卜部 メカトロニクスが専門だったんだったら、割りと組み込みとかはソフトウェアの中では近い領域かもしれないですけどね。
KENGO そうかもですね。そうかも、確かに。
卜部 エンジニアのためのフィードバック制御入門みたいな本がある。
KENGO そんなんあるんですか。機械学習とどっちやろうかな。
卜部 ただのフィードバック。
KENGO 第一世代って意味ですよね。PIDとかですよね。
卜部 何をやるかていうと、キャッシュをどのくらいもてばいいんですかっていう話とかをフィードバックでやればいいじゃんとか。
KENGO おもしろそうですね。エンジニアのためのフィードバック制御。
卜部 オライリーから出てます。
エンジニアこそ筋トレをすべき
卜部 普段家に帰ってからは、休日とかは、そういう勉強をされているんですか?
KENGO そうですね。遊びにいったりとかスポーツというより、筋トレですかね。 近くにキックボクシングジムがあるので、そこで朝か昼にいってますね。
卜部 朝か昼なんですね。
KENGO 朝起きれなかったら、昼のランチ時間に行きますね。
卜部 結構早起き?
KENGO 7時からやっているので、7時か6時半くらいから起きています。うちの会社的には、早起きな方ですね。
卜部 夜は、早めに帰る感じですか?
KENGO いや、帰宅は22時くらいですかね。
卜部 自分の時間が作りづらいかも知れないですね。
KENGO まだ独身なんで。
卜部 せっかくインタビューなんで、募集とかして。。。
KENGO いや、ぜんぜん大丈夫です (笑)
卜部 さぁ筋トレに対して熱く語って頂いて。
KENGO エンジニアの人って何で行かないのかなと思っていて。さすがに魚拓の人みたいになるとガチ感が半端ないですが。
エンジニアの人って普段筋肉使わないじゃないですか。使わないと筋肉って衰えるもんだから、よくないと思うんですよね。エンジニアこそ筋トレをすべきだと思うんです、特に足腰を。腕とかはどうでもよくて。
卜部 筋肉の維持のためね。
KENGO 僕も腕とかはあんまり鍛えてなくて、全身の筋肉を鍛える感じで、週に1回は脚を鍛える日を設けてますね。
体幹と デッドリフトとスクワットをやってますね。スクワットは、最大負荷ではなくて持久を目当てにして、タバタトレーニングというものがって、それが結構しんどいんですよ。どういうものかっていうと、30秒間スクワットして、10秒休んで、30秒やってそれを7回やって、それをやったあとに、デッドリフトをやって、キックボクシングのミットをやってもらうって感じですね。
卜部 筋肉よりも心肺機能とかもつらそうですね。
KENGO やっぱり、あんまり僕は、脳筋な訳ではないんですが。
卜部 そんなことはないですね。
KENGO 最終的には、体力がものをいう時があるので、今後もエンジニアでやっていきたいというのであれば、筋トレはすべきかなって。決して見た目のためではなくて、ロングタームの人生のためにやっているって感じですね。
卜部 セキュリティの究極は筋肉。
KENGO 最終的には、物理ですね。 ちょうど小川さんがいるので言うんですが、ジム手当てを出してもらえないかなと。
小川 なるほどですね。
KENGO 健康促進という名のもとに、出してほしい。
小川 ありかもしれないですね。確かに。
卜部 どこまでをジムにするかも難しいですけどね。ボルタリングもありじゃないですか?
KENGO 全身運動なんでそれはそれでありじゃないですかね。ちょっとお高いので、僕は行かないですけど、なんであんなに高いんでしょうね。
卜部 そういえば前に、Googleの動画で皇居を走ってたじゃないですか?走るのも好きなんですか?
KENGO いや、あんまり走りませんね。
マラソン部がある会社でこういうのは、なんですけど、走っていても楽しくないんですよね。なんか、風景が変わるだけだなって思っていて、あーでも昔、大手町勤務だったので、田町に走って帰ったりもしてましたね。
卜部 昔からこのへんに住んでいるんですね。
KENGO たまたま転職活動を始めて、誘われたところが田町だったって感じだったので。もう4年は住んでますね。
卜部 で、走って帰ってきてた?
KENGO 走って帰ってました。そうすると、すごいよかったですね。走って帰ると仕事のストレスがふっとぶ感じでした。いいですね。
卜部 季節はいつごろですか?
KENGO 9月から冬までですね。
卜部 走りやすい時期ですね。あんまり暑いとね。 さて普段の話まで聞けたので、そろそろ。ありがとうございました。
KENGO ありがとうございました。
最後に
今回のインタビューを読んで、マネーフォワードに興味を持たれた方は是非、以下のボタンをクリックして頂ければと思います。