若手セキュリティエンジニアのインタビュー記事10「yuasa」
始めに
本稿は、新卒1~3年目の若手セキュリティエンジニアを対象に、セキュリティの職に興味ある学生や若手向けのインタビュー記事です。
第10弾は、ユーザー企業で働く新卒2年目の「yuasa(@melonattacker)」さんです。
「セキュリティ若手の会」とは
「セキュリティ若手の会」とは、将来セキュリティエンジニアを目指す学生やセキュリティ業務に携わる若手セキュリティエンジニアが、セキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。
「若手セキュリティエンジニアのインタビュー記事」は、「セキュリティ若手の会」が実施するプロジェクトの一つです。
インタビュー「yuasa」
0. 自己紹介
- 事業会社で働く24卒のセキュリティエンジニア(新卒2年目)
- 専門分野:Webセキュリティ、AIセキュリティ
- X : https://x.com/melonattacker
- Blog : https://melonattacker.github.io/
- 修了 : SecHack365(2021)、セキュリティ・ネクストキャンプ(2022)
- SECCON Beginners運営メンバー
1. 現在はどういう業務に取り組まれていますか?
製品のセキュリティ品質を保ち、向上させることを目的とした PSIRT(Product Security Incident Response Team) に所属しています。会社が提供する製品を対象に、脆弱性診断や外部のセキュリティベンダーへの診断依頼・トリアージ対応、脆弱性報奨金制度を通じた報告の評価などを行っています。
その中で、より継続的にセキュリティ品質を高めていくための仕組みづくりにも関心を持ちました。新卒一年目には、LLMアプリケーションの脆弱性診断プロセスの確立や脅威モデリングの社内展開にも取り組んでおり、セキュリティを個人に頼らず、チームや組織として取り組める仕組みづくりを意識して活動しています。
さらに、社内ではクラウドサービスセキュリティ向上WGの運用にも携わっています。 このワーキンググループでは、部署間の境界に埋もれがちなセキュリティ課題を横断的に拾い上げ、組織全体で解決へ導くことを目的としています。現場の課題を地道に解消していく取り組みを通して、組織全体でセキュリティを改善していくことを目指しています。
2. 学生時代はどういうことに取り組まれていましたか?
学部時代にアルバイトなどでソフトウェア開発に関わる中で、セキュリティ競技 CTFと出会い、CTFサークルの立ち上げと運営に力を入れて活動していました。CTFに参加するだけではなく、実際にCTFを開催することで、参加者とは異なる運営側の視点からCTFに関わる経験を得られたのは大きかったです。
大学院ではOAuth、OpenID Connectといった認証・認可に関わるプロトコルのセキュリティ研究に取り組み、その脆弱性検証を支援するツール OSBTの開発も行いました。 さらに、SecHack365やセキュリティ・ネクストキャンプに参加し、同世代のセキュリティに取り組む方々と交流したことがセキュリティの道に進むきっかけになりました。
3. 新卒の就活はどういう感じに取り組まれていましたか?
CTFを通じてセキュリティの世界に入ったこともあり、当初は攻撃的な側面への興味が強くありました。 一方で、実際にセキュリティの仕事に携わるのであれば、攻撃の対象となりうる事業会社がどのように継続的にセキュリティを担保しているのかを理解したいという思いがありました。
また、Hardening競技会に参加した経験も大きかったです。限られた時間の中でシステムを維持しながら脆弱性対応や障害復旧を行う中で、事業を回しつつセキュリティを担保することの難しさと面白さを実感しました。そうした経験から事業会社のセキュリティエンジニア職に絞って就職活動を行いました。
大学院1年の時には、事業会社内のセキュリティチームで2回インターンを経験しました。
- PSIRTのセキュリティ業務を体験するインターンへの参加(サイボウズ)
- Cloud SecurityチームでのAWS環境での脅威検知(LINE)
インターン後の選考でサイボウズへの内定をいただき就職しました。
4. 今後はどういうことにチャレンジしようと考えていますか?
新卒1年目にLLMアプリケーションのセキュリティに取り組んだ経験から、システムプロンプト堅牢化ツール Prompt Hardener を開発しました。このツールは、LLMアプリのシステムプロンプトを自動的に評価・改善するもので、CyberTAMAGO や BSides Las Vegas など国内外のイベントで発表する機会をいただきました(発表資料)。業務の中で感じた課題をもとに自分でツールを作り、外部へ発信しながら改善していくという流れは、エンジニアとしてやりがいを感じた経験です。
今後も、日々の業務で見つけたセキュリティ上の課題を起点に、「現場で役立つセキュリティツール」を開発していきたいと考えています。最近は「脅威モデリングの自動化」に取り組んでいます。本来、システムを設計する段階で脅威モデリングを行い、リスクを洗い出すことが理想ですが、実際には開発・運用チームやセキュリティチームのリソース面の制約から十分に実施できないケースが多いです。そこで、誰でも簡単に使える脅威モデリング支援ツールを開発し、図を入力するだけで潜在的な脅威とリスクを自動的に洗い出せるようにすることを目指しています。
また、社内でLLMセキュリティ勉強会を開催したり、セキュリティ・キャンプミニで講師を務めたりと、自身の知見を積極的に共有する活動にも力を入れています。こうした活動を通して、セキュリティに興味を持つ人を増やし、より安全な社会の実現に貢献していきたいです。
5. セキュリティに興味ある学生や若手へのメッセージをお願いします!
セキュリティの世界は本当に広く、どんなきっかけからでも入っていける分野です。今取り組んでいることが、将来の仕事に直接つながらないように見えても、その経験が学びや成長の土台になります。
自分も、開発や研究、CTF、Hardening、その他諸々、さまざまな活動を通して得た経験が、いまの仕事に役立っていると感じています。まずは目の前の興味に素直に取り組んでみてください。その積み重ねが、きっと自分だけの強みになると思います。
終わりに
本稿では、若手セキュリティエンジニアである「yuasa」さんについて紹介しました。
また、「セキュリティ若手の会」についても、興味を持っていただけたら幸いです。
ここまでお読みいただきありがとうございました。
Discussion