LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」

巨大メッセージングアプリ「LINE」のセキュリティ室にも、新卒エンジニアは配属されます。若手をカンファレンスに送り出すLINEの「師弟関係」に迫りました。

LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」

若手エンジニアのための情報メディア「エンジニアHub」。連載「若手エンジニア、どんな活躍してますか?」第3回はLINE編です。巨大メッセージングアプリのセキュリティを担当する部署で、若手エンジニアはどんな活躍をしているのでしょうか?

── 第3回はご存じ「LINE」などのアプリを運営するLINEさんのオフィスにやってきました。開発側だったメルカリ編GMOペパボ編とは目線を変えて、今回はセキュリティを担当している若手エンジニアとメンターにお話を伺います。

 セキュリティ室でセキュリティエンジニアとして働いている、万萌遠です。2016年春に日本の大学院を卒業して、LINEには4月に新卒入社しました。

1万さん。中国出身で、3年前に日本にやってきた。日本読みでは「ばんほうえん」。

中村 同じくセキュリティ室でセキュリティエンジニアとして働いている中村智史です。アプリケーションセキュリティチームで、脆弱性診断の管理や、バグバウンティの取り組み「LINE Security Bug Bounty Program」、若手の教育・育成などを担当しています。LINEには、NHN Japanという社名の時代、2011年12月に入社して、それからずっとセキュリティエンジニアとして働いています。

2中村さん。LINEのコーポレートサイトのインタビューの写真を見て「もしかして怖い人なのかな……」とちょっと怯えていた取材班でしたが、ご本人はとても柔和で優しい方でした。よかった。

── ありがとうございます。LINEさんは、社内にセキュリティ専門の部署を持っているんですね。万さんはなぜLINEという会社に入ろうと思われたのですか?

 理由はいろいろあります。2-3社くらい内定をいただきましたが、面接のプロセスや、新卒内定者イベントなどの内容を通じて、最終的に決めました。大きな理由は3つあります。1つ目は、まだスマートフォンが普及して数年しか経っておらず、モバイルアプリを作る会社として将来性があるということ。2つ目は、LINEの億レベルのユーザー数を考えると、相当の技術力を持ったエンジニアと一緒に働けるだろう、ということでした。最後の理由は、私の希望をすごく聞いてくれたことなんです。

── 希望、というと。

 私は入社するまで、セキュリティの経験が全然なかったんです。

── えっ!?

 セキュリティはほぼ素人でしたが、セキュリティエンジニアに憧れがあったので、希望を出したところ、セキュリティ室に配属すると言ってくれた。それで決心をつけました。

セキュリティエンジニアに憧れて

── もともとセキュリティ関係のお仕事がしたかったのですか?

 はい。小さいころからセキュリティエンジニアやハッカーが登場する映画やドラマをよく見ていて、憧れがありました。中国では、すごくかっこいい職業というイメージがあるんですね。私もかっこいいなあとずっと思っていて。

── なるほど、日本とは状況が違いますね。

 大学ではコンピュータサイエンスの研究をしていたのですが、みんな機械学習とか、理論的なことを中心にした研究室が多かったんですね。私も本当はセキュリティがやりたかったけど、なかなかできなくて。就職活動を通じて、やっぱり小さなころからの憧れに集中したい、セキュリティの実務に携わりたいと考えました。

── 業務でどんなことに取り組まれているのかも教えてください。

 私は、まだまだ簡単な業務が中心です。担当しているのは「脆弱性診断」と言って、LINEのすべての製品について、リリース前や大きなバージョンアップ前に、セキュリティ診断を実施するという仕事です。

3初めてのインタビューに緊張しつつも、笑顔が爽やかな万さん。

── セキュリティ室全体では、どのような構成で、どんな業務にあたっているのでしょう?

中村 セキュリティ室はだいたい40-50人程度で構成されていて、大きく3つにカテゴリが分かれています。まず、技術者と非技術者で分かれます。

── なるほど、エンジニアだけではないんですね。

中村 はい。非技術者のチームは情報セキュリティポリシーなどを担当しています。エンジニアの方は、さらにインフラとアプリケーションのレイヤーに分かれます。インフラ側は、会社のサーバやネットワークへの直接攻撃に対する防御、検知、見回りを担当。アプリケーション側は、万が話した通り、製品の脆弱性診断が大きな仕事です。その他、仕様や企画の段階から社内でセキュリティの相談を受けるコンサルティング業務や、実際のリリース後の問題解決のお手伝いをしています。ゲームの場合は、チートへの対策などもありますね。最後に、先ほども少し触れましたが、バグバウンティの取り組みです。

── かなり多岐にわたりますね。それにしても、新卒でLINEという大きな領域でのセキュリティを担当するのは、かなり大きなプレッシャーがかかる仕事のように感じます。日々のやりがいや大変なことなどを教えてください。

 もちろん、最初はプレッシャーがありました。ですが、入社する前に一度、LINEでアルバイトをさせてもらったんですね。そこで勉強して、入社してからはOJTもあって、シニアエンジニアと一緒にひとつの案件を担当して……。それから2-3ヶ月が経って、だいたいひとりでセキュリティ診断できるようになりました。自分で希望を出したからからには、ちゃんとできるようにならなければ恥ずかしいと考え、一時期すごく頑張って勉強しました。今では自信を持って脆弱性診断ができるようになっています。

── すごい。万さん以外にも、セキュリティ室では新卒をとっているのですか?

中村 はい、万以外にも新卒は受け入れています。教育もほとんど私に任せてもらっていて、全員同じような形でやっています。基本的に、モチベーションが高くないとセキュリティ業務はできないので、採用の段階では、その点も見ています。おっしゃる通り、セキュリティはとても重要で大きな仕事ですが、その質を担保するシニアエンジニアは十分に在籍しているので、新卒も彼らと一緒に仕事をしてもらって、早く一人前に育てよう、というスタンスです。

業務だけではセキュリティの広範な技術は習得できない

── セキュリティ専門部署のエンジニアは日々どのように働いているのでしょうか。普段の仕事のサイクルについて教えてください。

 LINEの重要なサービス、ユーザーの個人情報をたくさん扱うサービスでは、必ずコードセキュリティチームのコンサルティングを受け付けています。それから、私も担当している、サービスの全体設計が終わったあとの、β版が完成した段階でのセキュリティ診断を受け付けています。

中村 もともとセキュリティ室ができたころは、最後の脆弱性診断が業務のほぼすべてだったんですよね。そこから少しずつ組織が大きくなって、やれることも増えていったんです。

── なるほど。基本的には、社内の各チームから仕事を受けて実施する、ということなのですね。自発的にセキュリティへの取り組みを実施するなどはあるのでしょうか?

中村 会社が大きくなったこともあって、やって来る仕事を受け付けるだけで、取りこぼさないようにしなければと気をつけるレベルですね。ですので、まだまだ積極的に仕事をしていく部分は少ないです。とはいえ、会社全体でのセキュリティ品質にはまだ課題もあるので、その品質を上げるために何ができるかを考えながら取り組んでいます。

4

── 新しいサービスやアプリもどんどん増えていますものね……。

中村 基本は相談ベースなので、こなすのも大変ですが、できる限り時間を作って、できる限り課題にも取り組んでいく、ということで、バグバウンティはそのひとつです。その他、社内でも、セキュリティ的に良いサービスと良くないサービスというのが出てくるんです。良くないサービスは、担当チームがセキュリティ知識をそこまで持っていないようだ、というのが見えてくる。ということで、セキュリティ部分をフォローするようなことできませんか、と社内での教育にも力を入れています。

── やるべきことはたくさんありますね! 万さんは、現在は脆弱性診断が中心とのことですが、今後この業務にも携わりたい、などありますか?

 まだまだ、そこまで考えられていないですね。今は勉強の時期と考えています。というのも、仕事で使うセキュリティの技術は、セキュリティ全体の中でも一部の分野に限られているので、業務だけではいろいろな技術を習得できないと考えています。

── なんと!

 なので、自分で勉強したい技術については、カンファレンスやトレーニングに参加させてもらっています。希望を出すと、会社やチームが良いよ、行ってらっしゃい、と承認してくれるんです。

── 具体的には、どのようなものに参加されていますか?

 2016年10月に開催された「CODE BLUE」や、上海で開催された「MOSEC(Mobile Security Conference)」に参加しました。また、韓国の「POC2016」の「Pangu9 Kernel Exploits Development」というトレーニングにも参加しました。「AVTOKYO2016」という日本のセキュリティカンファレンスでは、登壇もしました。

5

スピーカー - AVTOKYO JP7

 人生で初めての登壇で、トーク自体は順調だったんですけど、最後のジョークで滑ってしまって……(笑)

中村 AVTOKYO、聴衆の皆さんが、アルコールを嗜む方々で……。万の発表が最後から2番目だったので、会場にはもう酩酊している人も(笑)

── えらいことに。

中村 ルーキーはもっと早い時間がよかったよね(笑)。セキュリティを始めて半年でAVTOKYOに登壇は、頑張ったなあ、という感じです。万も言った通り、会社で求められるセキュリティはルーチン化しがちですが、セキュリティは本来、想定してないことに対処する必要があります。なので、できることを増やしていく、というのは重要な視点だと思うんです。海外のカンファレンスやトレーニングは、面白そうなものがあったら、ジュニアもシニアも、行きたいときは行きなさいと言うようにしています。万はチームの中でも積極的に希望を出してくるのですが、だいたい承認しています。

 ありがたいです。

中村 最近はモバイルのセキュリティ周りは中国が強い。どんどん行ってきて、学んできてほしいなと思います。

 たくさんのカンファレンスやトレーニングに参加できているのですが、宿泊代や交通費も含めて会社に出してもらっていて、良い環境だなと思うし、ありがたいです。新卒にお金をかけてくれているのは嬉しい。

中村 私の経験でも、海外に行きたいというと、経験のあるベテランから順に、ということが多いので、新卒になかなかそういう経験をしてもらうのは難しいですよね。

8

 私も最初は、行きたいけどなかなか口にできなくて……。

中村 遠慮しちゃって。日本式の遠慮を習得してしまった(笑)。でも、ジュニアもシニアも関係なく、どんどん新しいことをしないと世界と戦えない、という考えがマネージャ側にもある。私は万に仕事をアサインする立場ですが、それよりも、新しい知識を持ってかえってきてくれるほうが嬉しいので、カンファレンスやトレーニングへの参加はどんどん手をあげろと伝えています。

 中村さんに「これ参加したいです」と言うと、すぐ承認してくれますよね。

中村 断ったことないですね。そのかわり、ちゃんとあとで学んだことを持ってかえってきてね、と言っています。万は英語もできるし、中国語もネイティブだから、世界中の新しい技術知識を持ってかえってきてくれる。私は英語が苦手なので助かります(笑)。結局は、チームにとっても会社にとっても大きなプラスになるという認識が共通してありますね。

新卒もシニアも、個々人をよく観察

── 中村さんに質問です。これまでのメンター経験や、普段のメンタリングで心がけていることなどを教えてください。

エンジニアHubに会員登録すると
続きをお読みいただけます(無料)。
登録のメリット
  • すべての過去記事を読める
  • 過去のウェビナー動画を
    視聴できる
  • 企業やエージェントから
    スカウトが届く