⚙️

若手セキュリティエンジニアのインタビュー記事3「hikae」

2025/01/22に公開

始めに

本稿は、新卒1~3年目の若手セキュリティエンジニアを対象に、セキュリティの職に興味ある学生や若手向けのインタビュー記事です。

第3弾は、「セキュリティ若手の会」の幹事メンバーであり、ユーザー企業で働く新卒2年目の「hikae(@0xhikae)」さんです。

「セキュリティ若手の会」とは

セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。

若手セキュリティエンジニアのインタビュー記事」は、「セキュリティ若手の会」が実施するプロジェクトの一つです。

https://sec-wakate.notion.site/119382dfaec98058902bec703686c43c
https://sec-wakate.notion.site/172382dfaec9800d8a69def480ee3e9f

インタビュー「hikae」

0. 自己紹介

  • ユーザー企業のPSIRT Red Teamで働く23卒セキュリティエンジニア(新卒2年目)
  • 専門分野:Static Analysis, DevSecOps
  • X:https://x.com/0xhikae
  • GitHub:https://github.com/HikaruEgashira
  • セキュリティ若手の会:幹事メンバー(第1期), 第1回イベントLT登壇者

SaaSを提供しているfreeeでPSIRTとして働いているhikaeです。

freeeのPSIRTはBlue TeamとRed Teamの2つのチームで構成されており、Red Teamとして穴を見つけるのが自分の主な役目です。

趣味はプログラミングです。開発初期はGitHubのプライベートリポジトリで開発を進めていますが、動く状態になったら公開リポジトリに移行して開発を継続します。是非見に行ってください。

https://github.com/HikaruEgashira

1. 現在はどういう業務に取り組まれていますか?

セキュリティエンジニアとして実際の脆弱性を探すだけではなく、ソフトウェアエンジニアリングの改善によって出来るだけ脆弱性の生まれないプロダクト設計、仕組みづくりを行うのが私の業務です。

私の業務は「リスクを発見する」と「リスクを低減する」の大きく2つに分類されます。

リスクを発見する

日常的な侵害事例や、現在開発中の機能に対するセキュリティレビューを通じて、優先的に対処すべきリスクを特定します。

例えば最近世界的に話題となったVSCodeのセキュリティリスクに関する調査を行いました。VSCodeのマルウェアや悪用シナリオを調査し、その挙動のXDRでの検知プロセスや検知を逃れるパターンを分析し、具体的な防御手法をプロトタイピングしました。

一部の開発チームではリソースの制約から、軽微な脆弱性への対応が難しい場合もあります。そのようなケースでは、シナリオの作成から実際の攻撃までペネトレーションテスト形式で実施し、攻撃者よりも先に攻撃を成立させることを目指します。ログを見て実際に攻撃が起きてなかったのを確認し修正案が適切かレビューし問題ないことを確認するまでが一連の業務です。

リスクを低減する

リスクを発見するだけでなく、それを実行不可能にする仕組みや検知可能な体制を構築します。同じリスクばかりに注力し続ける余裕はないため、自動化の仕組みづくりも重要なタスクです。

最近では、ビルドミスによるソースマップの公開を防ぐために、ログやクラウド上で収集したデータからソースマップを検出するスキャナを開発しました。見つかった問題については、開発者と連携し開発の負担にならないセキュリティを目指しています。

セキュリティは会社入って初めて真面目に触れたので長年やっている職人たちに火力では劣ってしまうのですが、学生時代からのプロダクト開発力のおかげで、セキュリティのプロのアイデアを技術で解決するという役割で立ち回っています。

2. 学生時代はどういうことに取り組まれていましたか?

私は筑波大学情報科学類に所属していましたが、システムプログラミングにあまり興味を持てず、真面目に取り組んでいなかった時期がほとんどでした。

一方で、関数型プログラミングや型システムが好きだったので、プログラミング意味論の分野で研究を行いました。プログラミング意味論は型推論とかで馴染みがあるであろう、プログラムを数学的に表現し実行せずに問題を特定するとてもcoolな学問です。

趣味でいくつかのWebサービスを制作・運営していました。1年目に開発した時間割サービス「Twin:te(ついんて)」は、現在も年間1万人の学生ユーザーが利用する必須ツールとなっています。

https://www.twinte.net/

2年次末からはWebエンジニアとしてインターンに参加し、休学期間を含め2年間SaaS開発に関わりました。4年次からはフリーランスとして起業家と二人三脚でプロダクト開発を行ってました。未踏プロジェクトにも不採択ですが応募したりしてました。

3. 新卒の就活はどういう感じに取り組まれていましたか?

休学インターンを通じてフルタイムでの開発に魅力を感じ、3年次の夏からフルタイム雇用を前提とした企業探しを始めました。

ジョブ型採用(中途入社枠)に近い感覚で進めたため、Laprasや転職ドラフトといった転職向けサービスを利用し、興味のある企業約20社とカジュアル面談を行いました。これらのサービスは学生向けサービスに比べて非常に有用で、学生でも利用してみてほしいです。

最終的に、柔軟性の高さと社員のセンスに魅力を感じたfreeeを選びました。freeeの新卒採用では、全員がソフトウェアエンジニアとして入社し、配属後にPSIRTチームなどへ振り分けられます。

4. 今後はどういうことにチャレンジしようと考えていますか?

現在の注目トレンドはLLMです。

これまで解決が困難だったタスクが実現可能となり、労力のかかる役割が再定義されるゴールドラッシュの状況です。攻めのAIと守りのAIによる高度な戦いを実現するため、人間が関わる部分の仕組みを一新することを目指しています。

今年はAI Agentガバナンスを自分のテーマにしてて、人間にはやらないような厳格な監査体制をAI Agentに提供し、Agentの認知能力をつく攻撃などを中心に対策しfreeeをAI活用の先進的な企業にしていきます。

5. セキュリティに興味ある学生や若手へのメッセージをお願いします!

私はCTFを経験していないため、バイパス系の問題を解ける人をとても尊敬していて、そういった技術は他メンバーに頼ることが多いです。このような尊敬の念は年齢に関係なく信頼関係を築く要素で、若手が年功序列や裁量権を超えて成果を出すための重要なポイントだと思います。

セキュリティの世界にいる時点で、一定のプロフェッショナル性があります。ただセキュリティだけしてると、当たり前すぎて自分の才能に気づきずらくなる時期が出てきてモチベが下がっちゃいます。

別の世界でセキュリティの能力を発揮できるようになるとめっちゃ楽しいので、その才能をさらに磨きセキュリティ外の分野の人々にも尊敬される存在になってほしいです。

終わりに

本稿では、若手セキュリティエンジニアである「hikae」さんについて紹介しました。

「セキュリティ若手の会」についても、興味を持っていただけたら幸いです。

ここまでお読みいただきありがとうございました。

次回

第4弾は、pizzacat83(@pizzacat83b)さんのインタビュー記事です。

第2回イベントについて

2025/03/16(日)に東京で「第2回 セキュリティ若手の会(LT&交流会)」を開催予定です!

セキュリティ分野に興味ある方やセキュリティの職に就いている若手エンジニアの方は、ぜひ以下をチェックしてみてください。

第2回 セキュリティ若手の会(LT&交流会)

https://sec-wakate.connpass.com/event/339267/

スポンサー企業の一般募集について

https://zenn.dev/sec_wakate/scraps/f1c52a7ca6f57d

イベント開催記「第1回 セキュリティ若手の会(LT&交流会)」
https://zenn.dev/sec_wakate/articles/acd5935f189460

Discussion