1人目プロダクトセキュリティエンジニアの募集を始めました
こんにちは。ニーリーのプラットフォーム開発グループでマネージャーをしている菊地です。
先月「プロダクトセキュリティエンジニア」という求人をオープンしました。なるべく求人票に思いを込めたつもりなのですが、なかなか求人票のフォーマットで全てを伝えるのは難しかったので、今回 #ニーリー開発組織の野望 の第6弾として改めて詳細をお話しさせていただきます。
詳しくは後述するのですが、今年に入りPark Direct(パークダイレクト)というサービスが「社会インフラ」として認知していただくようになりつつあり、ニーリーとしても1段階目線を上げる必要があると実感しています。7月に行われた全社キックオフではCOOの根目沢から「会社の基準をあげる」という強いメッセージが発されました。
このメッセージを聞いて社員はみんな「自分があげられる基準はなんだろう?」と頭の中で考えたと思いますが、僕の頭に最初に浮かんだのがプロダクトセキュリティでした。ユーザー数が急速に伸び続け、エンタープライズのクライアント様も増えてきた今、安心してご利用いただくためにプロダクトセキュリティは超重要領域で、明確な投資ポイントです。
Park DirectもPark Direct for Businessもただのマッチングサービスではなくて、本質は「契約と決済」。金融やインフラと同様にお客様にとってミッションクリティカルなシステムです。この観点で僕が個人的に心強いと思っているのは、CEO・CTO・CISOが金融業界出身であること。ミッションクリティカルなシステムに対する高い感度と解像度で、適切な意思決定ができると思っています。
そのようなミッションクリティカルなシステムを作っていくために、プロダクトセキュリティの専任ポジションを設けて、基準を大きくあげていきます。本格的なマルチプロダクト化の波が押し寄せ、会員基盤・決済基盤・ポイントのような複数の共通基盤アプリケーションが生まれていくこのタイミングで、プロダクトセキュリティに専念できるポジション、めっちゃ面白そうじゃないですか!?
これまでセキュリティの取り組みについてはあまり発信したことがないので、以下ではニーリーのセキュリティの歴史を振り返り、なぜ今プロダクトセキュリティに注力したい/するべきなのかをお話しします。長いのですが、歴史を追体験するつもりでお読みいただければ。
- 1人目プロダクトセキュリティエンジニアの募集を始めました
- ニーリーのセキュリティの歴史: コーポレート編
- ニーリーのセキュリティの歴史: プロダクト編
- 課題は「戦略性」と「実行力」
- ターニングポイントは100万台突破、テレビCM。そして生成AI
- 「すべての車ユーザーが使うプロダクト」のセキュリティをやりませんか!
ニーリーのセキュリティの歴史: コーポレート編
Park Directローンチから2年半ほどでCISO設置
ニーリーの創業は2013年で現在13期目ですが、イメージを簡単にするため、現在の主力プロダクトであるPark Directがローンチされた2019年を話の起点とします。Park DirectのPMFを経て社員数が増え始めたのが2020〜2021年です。僕も2021年に入社しています。当時は今のオフィスに移転する前の小さめのオフィスだったのですが、人数が増えて席が足りなくなり、CTOが廊下のベンチに追いやられていたのがいい思い出です。
そして、最初の大きい資金調達を行った直後の2022年のQ2には経営層が専任するCISOを設置します。Park Directのローンチから約3年、社員は50人程度の時期だったので、非常に早いタイミングだと思います。1,000人未満の企業で経営層がCISOを専任でやっているのは2%未満と言われている中で、かなり思い切った経営判断だと言えます。
これにはPark Directのサービス特性が大きく影響しています。Park Directは月極駐車場のオンライン契約SaaSであり、当然契約には個人情報が必要です。事業が成長すれば契約数が指数関数的に増加するため扱う個人情報が急激に増えますし、その個人情報に触れる社員数も増えていきます。そこで、セキュリティが戦略上非常に重要なポイントになると予想し、セキュリティを「後回しにしない」という意思決定をしたのです。
コーポレートエンジニアを中心に戦略的なセキュリティ施策を推進
その後コーポレートエンジニアリング組織を中心に、コーポレートセキュリティ領域は戦略的に施策が打ち続けられてきました。非常に多くの取り組みが行われましたが、大きく3つのフェーズに分けられます。
- Ph.1 セキュリティルールの整備・啓蒙
- 各部署から兼任でセキュリティチームを立ち上げ
- 情報の外部送信の仕組み見直し、情報区分の設定
- セキュリティインシデントフローの策定
- 毎月行われる全社会議で必ずセキュリティパートを盛り込む
- etc…
- Ph.2 セキュリティ基盤の強化
- 各種ツールをEnterpriseプランへアップグレード
- セキュアトランスファーの導入と仕組みづくり
- エンドポイント強化、EDR導入
- セキュリティーチームを正式な組織格へ変更
- etc…
- Ph.3 セキュリティ対策の高度化
- SoC、xSIRTの立上げ
- 脅威インテリジェンスの活用
- セキュリティオペレーションの自動化
- 生成AIの全社導入(Gemini、NotebookLM)
- etc…
着実に進化していてすごいなと思うのですが、僕が個人的に特に良い取り組みだと思っているのはPh.1の「毎月行われる全社会議で必ずセキュリティパートを盛り込む」です。2022年から本当に毎月継続されています。実際の啓蒙の効果はもちろん「ニーリーはセキュリティを大切にしている会社である」ことを意識づけられているのが何よりの功績だと思います。
ニーリーのセキュリティの歴史: プロダクト編
〜2021年 Webフレームワークの活用と脆弱性診断でスモールに
コーポレート側での初期の事情は「扱う個人情報が多く、触れる社員数も急増していた」というものですが、プロダクト側の特筆すべき点は「初期開発がオフショアで行われた」ということです。Park DirectはMVP時点から必要な機能数が多いため、人的リソースとコストを最適化するためにすでに協働実績のあったベトナムの会社によるオフショア開発を選択しました。
この頃僕はまだいなかったのですが、当時のアプリケーションのセキュリティの状況を勝手にまとめさせてもらうと、Webフレームワークの恩恵が非常に大きかったという感じかなと。機能は確かにかなり多いのですが、あくまで一般的なWebサービスで尖った構成や実装はなかったため、フレームワークに則って開発する限り大きな脆弱性は生まれにくかったと思われます。実際、初めて行った脆弱性診断の結果は客観的に見て決して悪くないものでした。
外部のセキュリティベンダーによる脆弱性診断は初期から毎年実施しており、毎回必ずトリアージを行って修正対応をしています。対応を継続できているものの、まだまだ課題はあるので現在アップデートを考えています。これもプロダクトセキュリティエンジニアと一緒にやりたいことの1つです。
2022〜2023年 クラウドセキュリティと内部統制に注力
プロダクトセキュリティ領域では、2022年のSREチームの立ち上げが大きな変化でした。自分が立ち上げメンバーなので手前味噌な話なのですが(笑)、SREチームによってクラウドセキュリティが大きく前進しました。
IAMやセキュリティグループ、CloudTrailなど、初期開発では後回しになりがちなものを整備し、そろそろプロダクション利用に限界が来ていたバックエンドインフラの刷新と合わせて言語ランタイムのアップグレードやコンテナ導入、CI/CD導入などなど、色んな課題を一気に解消しました。
この頃はセキュリティというより、どちらかというと開発や運用全体に対する内部統制の方を重点的に行なっていました。IT全般統制ってやつですね。もちろんセキュリティにも良い効果はあって、IT全般統制を機にDBの認証方式や開発組織内のパスワードポリシーを見直したりしました。
2024年 バグバウンティやってみた&セキュリティは兼任チームが誕生
2024年には「バグバウンティやってみるのどう?」という話題がふわっと上がり、IssueHuntさんが主催するP3NFESTという学生向けイベントにバグバウンティプログラムを提供しました。実際に複数の有効な報告があり、当たり前ですがバグバウンティという仕組みの有用性を実感しました。タイミングが合わず最近提供できていませんが、必ずまた参加させていただこうと思っています。
また、この年にはプラットフォーム開発チームという共通基盤メインのチームが発足しました。前回の連載を担当した松村くんのチームです。 実はこのタイミングから今に至るまで、プロダクトセキュリティの領域はこのチームが兼任しています。共通基盤を開発する傍ら、脆弱性のトリアージルールを策定したり脆弱性診断の主導を行っています。
課題は「戦略性」と「実行力」
つらつらと書いてきましたが、なんとなくコーポレート側との比較でプロダクトセキュリティの課題感が予想できたと思います。クラウドセキュリティの強化はインフラ刷新の副産物的な面もありますし、IT全般統制も同様。バグバウンティに至っては僕の思いつきスタートです(笑)
このフェーズにしてはかなりやれている方だとは思いつつ、組織としてあるべき姿からの逆算で考えたり、事業戦略から導き出される計画に落とし込んだり、という戦略性が欲しくなってきたということです。
あとはやはり実行力。これは僕個人の反省なのですが、脆弱性診断やバグバウンティの結果をもとに実際に修正対応をする際に開発チームに伴走しきれず、宙に浮いてしまうことがしばしばありました。前述のプラットフォーム開発チームが兼任でやるのではなく、専任でプロダクトセキュリティに集中するポジションがそろそろ必要だな〜と考えはじめたのが去年末ぐらいです。
ターニングポイントは100万台突破、テレビCM。そして生成AI
歴史の話が長くなってしまいましたが、やっと今年の話に入ります(笑)
今年のニーリーとPark Directにはかなりメモリアルな出来事が立て続けにありました。4月にPark Direct上に掲載している駐車場の台数が100万台を超え、翌5月には東北から九州までかなり広いエリアでテレビCMが開始されました。
100万台突破のプレスリリースが出た直後、複数の投資家の方がまるで示し合わせたかのように「Park Directは社会のインフラになりつつある」といった内容のポストをしており、人生のバイブルがグラップラー刃牙である僕は「シンクロニシティだ、、!」とアホなことを考えていました。冗談はさておき、実際100万台の駐車場を契約することが出来て、全国でテレビCMをやっているサービスが「インフラ」という認知になっていくのは自然なことです。明らかにサービス/会社としての見られ方が変わったタイミングでした。toB/toC双方のユーザーに求められるセキュリティ基準も変わっていくだろうと、このとき思いました。
もう1つ、セキュリティに対する優先度の考え方を変えた大きな出来事が生成AIです。Vibe Codingで攻撃コードが生成できるとまずいな、というのは多くのエンジニアが考えたことだと思います。昨年までは「AIもそれっぽいコード書けるようになってきたけど、まぁまだまだだな〜」ぐらいだったのが今年に入って状況が一変し、ついに今年の頭にはAIを使ったクラッキングを行った未成年が逮捕される事件が起きてしまいました。明らかに「攻撃者優位」の構図が進んでいます。
これらの出来事を経て今年の上半期にはプロダクトセキュリティの優先度がグッと上がったわけですが、「1人目のセキュリティエンジニアを採用するには、まだ自分の当事者意識が足らん」という男気が発動して、少し前にプロダクトセキュリティ戦略と1.5ヶ年計画を立ててみました。知り合いのセキュリティエンジニアに副業でアドバイスをもらいつつ、OWASP SAMMで自分たちの現在地を知り、できる限り事業計画とトレンドを押さえたものになるように意識しました。
それらを自分たちでやってみて感じたのは専門家の必要性です。社会インフラになりつつあり、ユーザー数もここからさらに急速に増えるプロダクトをつくる会社として、多くのお客様に安心してサービスを使っていただくためには、広く深い知識と推進力を持った専任のプロダクトセキュリティエンジニアが必要です。
先程、課題は戦略性と実行力だと言いましたが、ここに専門性が加わります。この3つが揃って完全に腹が決まったので、先日冒頭に載せた求人票を書いた次第です。やりたいことはすでに山積みですが、僕達も専門家にジョインしてもらうことにreadyになっていて、ベストなタイミングだと思います。
「すべての車ユーザーが使うプロダクト」のセキュリティをやりませんか!
本連載の第1弾でCTOの三宅が「マルチプロダクトの波がきている」、第4弾でプラットフォーム開発リードの松村が「ニーリーは日本で最も多くの自動車ユーザーにアクセスできる企業になっていく」と言いましたが、まさにニーリーは今、唯一無二のモビリティインフラになる挑戦をしています。
近い将来ニーリーは「すべての車ユーザーが使うプロダクト」を持つ会社になります。というかそうします。そんな会社でプロダクトセキュリティやるの、めっちゃワクワクしませんか!キャリアをBetしたくなりませんか!
マルチプロダクト化が急速に進む環境はプロダクトセキュリティエンジニアにとってまさに腕の見せ所なんじゃないかと思っています。プロダクトが増えると、単純にアタックサーフェスが増えるだけでなく、管理の複雑化・設定ミスの増加、インシデント発見・対応の難化という課題も生まれてきます。 0→1、1→10、10→100という複数フェーズのプロダクトが混在するため、手薄になりがちな若いプロダクトがラテラルムーブメントの入口にならないように気を配りつつ、しかし労力をかけすぎないようにバランスを取って・・・。コーポレートエンジニアとも協業して、どこでどんなリスクを抑え込むのか、そのためにはどんなツールに投資するのが最適なのか議論して・・・。
考えることがめちゃくちゃあってカオス。でも絶対楽しいです。
「面白そうだけど、実際入ったら何をやるの?」と思った貴方!いい質問です!カジュアル面談でお待ちしています!
↓こちらから他のメンバーともカジュ面できます! nealle.notion.site
