タイトルの通り、学部卒から新卒で 4年半ほど勤めました株式会社ビズリーチ(正確にはビジョナルグループのビジョナルインキュベーション株式会社)を退職します。
(ビズリーチへの入社 -> グループ経営化 -> visional incubationへの転籍 -> 退職 という流れです)
9/27 に最終出社で、11/15まで有給消化です。 45日近い休暇を満喫し、無事に「そろそろ働かせてくれ、助けてくれ」という心になりましたので、社会に戻りたいと思います。
長い休暇でしたので、積読していた本を消化しつつ、 ペネトレーションテストのトレーニング(HTB)で遊んだり、 億劫で手を出さなかったあたりの勉強や運動や、とにかく健全に過ごしておりました。
さて、読者が喜びそうな要素だけを先にまとめますと、以下となります。
前職
- 総合評価で、自分にとってはかなり良い会社でした
- 採用管理サービスの開発(Scala) -> セキュリティチーム(脆弱性診断・ログ監視設計とか) -> 脆弱性データベースの開発運用(Kotlin/Java) とかをやってました
次の職場
- Fintechのレッドチームで働きます
- リモートワークをしてる中で、オファーを貰ったことで改めてキャリア・やりたいこと・興味があること・どういう環境(リモートなど)を求めているか棚卸した結果、転職を決定
- COVID-19 でもIT系は他の業界よりも影響を受けにくいため、この時期の転職もリスクとしては低い気がした
- セキュリティエンジニアの需要供給(と、自身の若さ)を考えるとある程度選択の余裕はあると思っていたため
- (社会人の平均年齢と比較して)自分は相対的に若いため、30歳までは辛くても経験値を稼ごうと言う考えのため
以下、便所の落書きくらいに思っていただければ。
会社について
前職についてですが
冒頭では総合評価で良い会社だったと書きましたが、 1年目に胸糞悪いことが不定期で起こり、めっちゃキレ散らかしていましたし、今でもそのことに関しては恨んでいます。
ただちゃんと補足しておくと、年々会社が(自分の視点では)真っ当になっていき、仕事も面白いものに大きくシフトしていきました。 なので、最終的には新卒として選んだ会社として、かなりベストに近いものだったように思えます。お世辞抜きで。 現在はバイアス抜きで普通にホワイトな会社なんじゃないでしょうか? 自分が体験した部署(ロール?)は少なくともホワイトだったと思います。 まあ3部署しか移ってないので自分が見たとこだけ良かったのかもしれませんが。
とはいえ、文化的にはかなり色が強い会社です。 なので合わない人には徹底的に合わない組織だと思いますし、 実際、自分は文化面でそりが合わいことが多々ありました。 一方で、それらの特色ある文化面の強さからか、内部の人は人柄が良い人が多かったと思っています。 実際4年半の仕事の中で関わった人のほとんどは人柄の良い人ばかりでしたし、 尊敬できる人ばかりでした。
(知り合いが使っていた表現ですが、) とにかく性格的にevilな人は殆ど居なかったように感じます。 例えば「極端な成果主義」であったり、「他者の仕事に対して敬意を払うことがおざなりになってる人」は、 社内ではそれほど観測しなかった気がします。 (もちろんこれをevilと捉えない人もいると思うので、まあそう言った方は軽く聞き流してください)
まとめると、 自分のように誰と働くのかを結構重視してるタイプにとっては、とても良い会社でした。
何をやっていたか
色々なタイミングも重なり、かなり幅広くやらせて貰えたと思います。
触れて問題ない程度に丸め込んだりオープンな情報ベースで書きますが、以下のことをやってました。
1-2年目 (採用管理ツールのバックエンドの開発)
- 非機能要件周りの開発・運用
- バックエンド側・バッチサーバーなどの開発・運用 (Scala)
- ほんのたまにフロント開発 (angular(.js))
2-4年目(横断セキュリティの部署)
4 - 4.5年目(脆弱性DBサービスの開発・運用)
- 脆弱性DBの開発・運用
- 非機能要件まわりの開発
- マーケティング協力など
- 外部公開してるやつ: Webアプリのセキュリティリスク評価
最初の部署は、リリースしてから1年後くらいのサービスであったため、
組織規模も少数の上、幅広いタスクがありました。
そのあと異常な組織拡大を体験してこれまた多くの案件・課題と対峙して、非常に面白い環境だったと思います。
結果だけをみると仕事内容は非機能要件ばかりやってました。
そのため、新規開発に興味をあまり持たない人間になりましたが、自分には合っていたので全てヨシです。
また、タスクの中で脆弱性診断レポートを見る機会があり、その際に脳汁がドバドバ出たことで、見様見真似でサービスの問題探しを業務後に遊びでやってたりしていました。 結果、セキュリティ部署の設立のときにそのまま異動することとなりまして、運があったなーと振り返って思います。
セキュリティ部署では 多分人生の中で一番学びが多く、自分の将来をどっちに振るかを真剣に考えた時期となりました。 とはいえ、当時の自分の知識は(今もそうですが)素人に毛が生えた程度であったため、 インプットいっぱいしてどうにかしようと四苦八苦してました。
最後の部署は在籍自体は短かったですが、前部署の知識などを活かせる「OSSの脆弱性DB」の開発運用と言うのをやってました。 横断セキュリティ部署にいたこともあり、多少の知識コンバートで済む場所もあれば、 (自組織以外の)開発ライフサイクルの知識であったり、各言語のパッケージ管理システムの知識など 特殊な知識が必要になる部分もありました。 そのため、ヒーヒー言いながら同僚の方に色々と教えを乞いながら仕事していました。 これらの知識は汎用的なものもあれば、今後一生使わないんだろうと思える部分もあって素直に楽しかったです。
「やっていたこと」の総評になりますが、 たまに耳にする謳い文句「この会社でしかできないこと」という言葉は、 確かにビジョナルグループと言う会社・グループに存在したと思います。
厳密に言うと、世界で10社とか、20社くらいは同じ仕事を提供できる組織が存在すると思います。 ただ、国内のみで絞ればここくらいしかないという仕事は確かに存在していました。
例えば「脆弱性DBの開発・運用」はまさしくこの会社でしかできないことのはずです。 他にも、(合弁事業会社になりましたが)求人検索エンジンの開発(ex. クローラー)とかも、かなり特色のあるシステムだと思います。
と、こんなことを書いた上で自分で反論となる要素を出してしまいますが....
実はOSSの脆弱性DBサービスは他にも国内で存在しています。
ただ、正直自分が 1セキュリティエンジニアとして使う場合、貧弱だったり遅かったり、運用負荷が高すぎたり、厳しいものが多くある印象を持ちました。
そう言った意味で、品質面・運用面などの部分である程度に進んだ「OSS脆弱性DB」の運用と言うのは国内ではここしかできない仕事だと勝手に思っていました。
(※この発言は個人の見解であって、所属組織を代表するものではありませんし、そもそも退職済みで、こんなけおだてても自分に1銭も入ってきません)
他にも M&A とか、物流系や色々と横に広く伸び始めているので、HR系だけじゃなくなり、グループとして面白い領域に進んでいるのではないでしょうか。
生憎と自分はビジネスよりもセキュリティ組織をどうするのかと言った観点にしか興味がないと改めてわかったので、そこまで興味は強くなかったですが
雑にまとめますと、 あらゆる会社と同様に、この会社にはこの会社独自の要素があり、そこがマッチする人にとっては面白い仕事ができると思います。
と言う感じです。そう言った要素を総合した結果、自分にとっては良い環境でした。
なんで転職するか
これだけベタ褒めしてるのに「なんで転職するんだ?」と思われたかもしれません。 実際オファーを貰うまであまり考えていませんでした。
しかし、オファーをもらって改めてキャリアなどを考え直した際に転職しようと決めました。
- オファーを貰ったことで、改めて自分がどういう部分に楽しみを感じ、どういう点が伸ばせるか(どう給与を上げていくのか)を考え直した
- セキュリティエンジニアとしてのキャリアパスをどう選ぶのかを考え直した
- コロナによってリモートワークが基本となった(時間が多くできた)のでよりチャレンジしたい
- 周りで子供ができたり結婚して時間があまり取れてない人を多く見た(時間がなくなる所を見た)ので、頑張れるときに頑張る
これらを元に、オファー内容を以下のような感じで捉えてました。
- オファー内容の業種がFintech だった
- (あたり前ですが)セキュリティへの投資額・要件の難易度が高いと判断
- 前のチームの上司が、金融あたりは1回チャレンジするといいかもねと、アドバイスをくれていた
- 何でもそうですが、下から上に上がる際は努力が必要ですが、上から下に落ちるのは容易なので、いっぺん上がろうという決意
- 自社開発だった
- 元々は自社サービスの開発をやっていたこともあり、次のような内容に対して強い意志を持っていた
- どのようにセキュリティを開発に組み込むのか (いかにアジャイル開発などに組み込むか)
- ビジネス・UX を損なわないセキュリティデザインをどう作るか
- いかに最適に問題を検出し、それを組織的・機能的にガードできる状態にするか
- 元々は自社サービスの開発をやっていたこともあり、次のような内容に対して強い意志を持っていた
(セキュリティをやってる人なら書かずともわかると思いますが、)
この辺りは、ショットで診断をして直すということよりも、そこから分かる傾向であったりから問題が発生しない体制・仕組み・アーキテクチャを目指していくということに関心が強いという物です。
(もちろんそれ抜きで、面白い脆弱性を見るのは大好きと言った技術的好奇心も持っていますが)
話をめっちゃ逸れますが、
この辺りのセキュリティ文化であったりの話は、Google SRE本3弾がめちゃくちゃいいことを沢山書いてるので皆さんもぜひ読んでください
https://landing.google.com/sre/books/
無料です
と、これらの要素が社内セキュリティの面白さだと思っており、 オファー内容で網羅されていたこともあって魅力的に見えました。
なので、これらの要素に惹かれるような状態である内は、(狭く深くが求められやすい)セキュリティベンダーには行かないだろうなーと思ってます。 もちろん札束で顔面叩かれまくったら考えちゃうかもですが、その時の自身の状態によると思うので、その時にならないとわからないです。
おわりに
現状のスキルとしては、WebAppSecに極振りなので、ここからのステ振りをどうしてくかを考えて育成計画をちゃんとやっていきたいなーと思ってます。 また、その観点で次の職場は英語が求められる環境らしいので、英語弱者の自分としては背水の陣を敷けて嬉しい限りです。1-2年は辛いことがいっぱいでしょうが頑張ります。
こんな感じで退職することとなりましたが、 とにかく関わった方々には感謝しかないです。
特に、仕事を通して仕事の仕方というか、そう言った普遍的な部分から技術的な部分まで、様々なことを吸収させてもらえたのは最高に良い経験でした。
仕事を異常に丁寧に行うM氏、 ベースとなるセキュリティの考え方を仕事を通して教えてくださったO氏 には頭が上がりません。
他にもルノワールでアセンブリの勉強会を開いてくれたY氏、 毎週Scalaのコップ本輪読会や、HTTPサーバを作ろうの会を開いてくださったI氏・T氏、 結果的に非機能要件ばかり振ってくださったK氏・S氏、 有志で行った○○すべらない話に参加された多くの方々には感謝しても仕切れないです。
ありがとうございました。
最後にWishlistは貼りませんが、 今年一番良かったインドのプログレッシブメタルバンドの新譜貼っておきます https://pineappleexpressmusic.bandcamp.com/album/passages