メンターインタビューやってみた

今回は、入社1年目の兼松と小澤が実際にメンターとしてお世話になった二人の社員に診断員としてのいろはやメンター制度について聞いてみました。

プロジェクトマネージャー（Kさん） × セキュリティ診断エンジニア（Sさん）

そもそもメンター制度ってなに？

まずは、メンター制度について軽く書かせて頂きます。

私たちが所属する部署では、新卒入社した社員に対して先輩社員がメンターとして付き、1on1もしくは2on1で面談を行う制度があります。
メンターは教育担当というよりも、気軽に相談できる身近な先輩のような存在です。

私たちもメンターの方と業務に関する話もしますが、会社の制度や他部署、先輩のこと、個人的な悩みや日頃の出来事などを話すことも多かったです。

メンターインタビューを行った経緯

本題に入る前に、インタビューを行った経緯を少しだけ。。。

今回メンターインタビューを行ったのは、メンター制度の良さを知ってもらいたかったからです。

私たちはこの一年、慣れない業務や研修の中で何度もメンターの方にお世話になりながら駆け抜けてきました。。。時には心の癒しとして（笑）

そんなメンター制度をこれからMBSDに入るかもしれない人や少しでもMBSDに興味のある方に知っていただけたらと今回のブログを執筆しました。

現在の担当業務について教えてください

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：脆弱性診断を担当しています。現在はWebアプリケーションが主な診断領域ですね。最近はスマホアプリのAPI診断などにも入っているような状況です。
その他にも、MBSDセキュリティ勉強会の運営やインターンの対応などにも携わっています。

兼松：入社してもうすぐ3年を迎えるということで現在はどれほどの規模感の脆弱性診断を担当されていますか？

Sさん：読者の方のために前置きすると、弊社ではリクエスト単位で診断対象の規模を把握しています。
具体的には10～1,000リクエストとアサインしていただく案件によってかなり差がありますね。体感としては50リクエスト前後のものが比較的多いと感じています。

小澤：大規模な案件ですと複数人の診断員で分担するケースもありますが、なにを基準に分担していますか？

Ｓさん：特に制約がない場合には、機能単位で分担することが多いですね。
あとは得意な分野を担当し、私よりも知見が深い部分を他の診断員に補ってもらうことも大規模な案件ではあります。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Kさん：
今はお客様先に常駐してPM（プロジェクトマネージャー）をやっています。　
※弊社のPMは、脆弱性診断を実施する際にお客様との調整やコミュニケーションなどを担っていただく診断員の心強い味方です。
年間通して定期・随時診断などを実施しているお客様先で、独立して弊社基準の診断が円滑に開始・進行できるように調整やコミュニケーションを実施することが主な役割です。

兼松：Kさんも元々は診断員として入社されていたかと思いますが、PMにポジション変更した経緯などお聞きしても良いでしょうか？

Kさん：上長から打診を受けて始めたという感じですね。ちょうどキャリア形成について考えていた時期でもあったので、挑戦してみようと思う良いきっかけでした。

兼松：異なるポジションに転換するときの不安などはありましたか？

Kさん：役割は違いますが、脆弱性診断を完遂するという目的は同じなので、「自分が診断員だったら、PMにこうしてもらえるとやりやすいな」ということが分かる状態だったのでその点で不安はあまりありませんでした。
ただ、PMの経験は無いので、PMとして判断を求められたときの振る舞い方などに少し不安はありましたが、定期的に弊社メンバーとミーティングをやっているのでフォローアップの体制もあり、ここまでやってくることができました。

1年目から知っていると良い・鍛えておくと良い知識やマインドは？

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：個人的な話になってしまいますが、私はインフラ周りの知識習得にもう少し比重を置いても良かったかなと思います。
弊社では入社後まずWebアプリケーション診断のトレーニングを積むこともあって、Webアプリケーションの知識習得に集中していました。
しかし、検証環境の構築などでインフラ周りの知識も必要、、、というかかなり重要だと感じる場面が多かったという背景があります。

小澤：環境構築やトラブルシューティングでつまずいたとき、これまでどうやって解決してきましたか？

Sさん：まず大前提に「自分で調査しまくる」ということはありますが、周りに助けを求めることも結構多いですね。
弊社では様々な分野に精通した人材が多く在籍しているので、非常にありがたい環境です。

小澤：こういった状況で、AIの活用についてはどのように考えていますか？

Sさん：めちゃくちゃありです。私もよく使ったりしています。
ただ注意すべきこともあって、AIが出力した内容を何も考えずに実行するということはやりません。
必ず事実確認など自分の頭で考える・咀嚼するというフェーズを挟むことで自力が蓄えられていくと考えています。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Kさん：知識というよりは、、、マネージャーみんな優しいということですかね（笑）
当時を思い返すともっと甘えても良かったのかなと思っています。1年目から遠慮せずに色んな人に話を聞けていたらもっと伸びたのかなと思うことはありました。

小澤：質問に行く前にある程度自分で結論を出そう、と考えているうちに時間が溶ける場面が何度かあったのですが改善方法ないですか？？

Ｋさん：質問することを前提に考えると、自分の中でもまとまってくることがあるので結果的に質問しなくても済むこともよくあります。
もう一つ大事なこととして「自分のキャパを把握して、ちゃんと報連相すること」は大事ですね。

小澤：診断業務に携わり始めて私も痛感しました（笑）リカバリーできる早い段階で調整が出来るように初動が大切だなと身に染みて感じています。

Ｋさん：そうですね。新卒メンバーでも何度か遭遇するくらいよくあることなので挙げさせてもらいました。

診断員として特に重要な要素は？

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：性格的なところで言うと「神経質」な人や「違和感に気づける」人が挙げられます。
個人的にそれ以上に重要な要素が、「常に学び続ける意欲がある」ということかなと思っています。
例えば趣味で開発をやっていたり、社外で開催されるIT系全般のイベントなどに自主的に参加している人はセキュリティに限らず強い印象があります。

小澤：社外のイベントに参加して得られる学びとか良さってどこにあると思いますか？

Ｓさん：セキュリティに限らずIT全般の情勢やトレンドを知ることで業務に応用できるところですかね。
トレンドのシステムがあるから、今後の診断業務に活用できるよう事前に知識を入れるきっかけになったりしています。
あとはセキュリティ業界の横のつながりが持てることも挙げられますね。他社の診断員の方などから技術的なアドバイスをもらったりできるのは大きなメリットだと思っています。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Ｋさん：目グレップするスキルですかね（笑）
※目グレップ：コマンドを使わずに目視でソースコードや一覧から特定の文言などを探す造語です。気になる方はぜひ調べてみてください！

要するに「些細な変化を見つける」スキルが重要だと思っています。
スキャン結果などを見たとき、小さな差分に気づくことでその先になぜ差分が生まれたか推測・根拠を持つことが可能になります。

小澤：お二人に共通して「小さな変化や違和感に気づける」スキルが挙げられましたが、実際に診断に携わっていると、診断員としてどのように判断したか証跡を残すことにもつながるので、鍛えるべきスキルだなと私も実感しています。

診断員として独り立ちし、初めてアサインされた時の気持ちは？

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：まずは「怖い」というのが正直な印象でした（笑）
トレーニングでも診断対象を壊してしまうようなことが起きないよう「非破壊」による診断手法を徹底的に教わったという経緯があったり、
逆に診断観点が不足していて診断漏れが発生していないかなど注意深く業務に入っていった記憶があります。

※弊社では、診断完了までに複数のシニアエンジニアによるレビューが実施されるなど、診断品質を担保する体制を確立しています。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Kさん：怖い。

小澤：やっぱり同じなんですね（笑）

Kさん：やはり品質を担保する責任を負うという意味で怖さはありました。
診断結果のレビューがあるとはいえ、診断対象への解像度が高くないとレビュワーに適切なエスカレーションも出来ないことになるので、、、
診断対象を扱うプロにならねば、という意識で案件に入っていきました。

脆弱性診断を行う上で意識していることや脆弱性を見逃さない工夫とは？

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：私は網羅性を担保できるように診断の進め方を意識しています。まず初めにサイト全体を触って気になったところを精査　→　パラメータ単位　→　リクエスト単位　→　機能単位　→　サイト全体の順に一つの診断対象に対して何段階かに分けて精査するようにしています。
最後に過去の診断事例などを突合して、類似の箇所が無いか追加検証も実施します。
過去の診断事例などは先入観を持たないように、あえて最後に実施しています。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Kさん：診断対象の解像度をどれだけ上げられるかを意識していました。
理想は内部構造をトレースできるレベルまで引き上げられたら診断の理論値が出るんじゃないかと考えながら臨んでいました。
あとはサイト全体までスコープを広げないと検出できないようなロジカル系の脆弱性もあるので、特に注意を払っています。

メンターとして、メンティに望むことは？

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：一番は精神的に安定していることです。
自分自身もそうでしたが、慣れない環境だったり社会に出たばかりで不安が多いと業務もハードに感じるので、出来るだけ後輩が楽しみやすいように動けたらなあと思っていました。
技術的に飛躍してほしいというよりも、何事もなく診断員として独り立ちできればいいなと思って接してきました

Sさん：あとは私以外の先輩方とも自然と関わりを持てるように動いていました。
技術的な質問を受けたときに、「〇〇さんが詳しいからそっちに聞いてみるといいよ。こんな感じで質問投げかけてみてね。」というように色んな先輩に頼れるようにサポートしていました。
診断員として独り立ちした後にも色んな人に聞いて回りやすいので、その辺を意識していました。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Kさん：技術面や社会人力のようなものはトレーナーに任せようと思っていて、私も精神安定と社会人としてではなく「MBSDの中」での振る舞い方をサポートできればと思っていました。
社会人の会社以外の面で、例えば「自分で自分の世話をするためにはどうしたらいいか」みたいな部分を先輩として教えられるようにしていました。

メンターを通じて得られたことは？

ーーーーーセキュリティ診断エンジニア（Sさん）ーーーーー

Sさん：質問に答えるために言語化していく過程で、自分自身でもよく分かっていない部分が整理される場面が多々ありました。
人に教える機会が増えて結果的に自分のためにもなっていたと感じています。

ーーーーープロジェクトマネージャー（Kさん）ーーーーー

Kさん：正直、勉強になることばかりでした。
後輩のいいなと思う部分を自分に置き換えて、見習う機会になったりという側面もありました。

Ｓさん：楽しかった半面、後輩が優秀でかなり焦りもあったと記憶しています。先輩の余裕でどうにかしましたが（笑）
技術的に秀でていたり、意欲的だったり、コミュニケーション力が高いなど、新卒で入社するメンバーそれぞれに個性があり、刺激になりました。

最後に

ということで、入社から早1年、、、

常にそばで支えてくださった頼れる先輩に今だから聞けるお話を根掘り葉掘り聞いてみよう企画でした。

入社し、診断員として独り立ちできるか大きな不安を抱える中、その不安に共感し寄り添いながら、何度も励ましの言葉をかけてくださいました。
日々発生する業務の悩みだけでなく気持ちの不安もメンターが都度取り除き、トレーニングや業務に集中できる状態を維持させてくれたおかげで今の私たちがあると感じています。
毎週実施していた1on1ミーティングは不安や悩みを解消するだけでなく、週末の楽しみにもなっていました。
プライベートな話やキャリアに関してなど、ジャンル問わず話したいことを話すような場だったので社内の情報収集もでき、とても有意義な時間でした。

 

※メンタリングの実施方法はメンターによって異なるため、1on1ミーティングが必ず毎週あるわけではありません。

 

メンター制度のありがたみを最も肌で感じている新卒1年目の私たちから、読者の皆様にお伝えしたかったことは「MBSDの教育体制は充実したトレーニング内容だけでなく、新人をトレーニングや業務に集中させる環境や組織作りができている」ということです。

メンター制度に限った話ではありませんが、MBSDは、「人」を大切にしていると常々感じています。メンターをはじめトレーナー、上司など常に新人の様子を気にかけながら、個々の能力を的確に把握しそれぞれに合わせてスピード感や雰囲気を作ってくださり、時にはフォローもしていただき安心して業務を進めることが出来ています。

 

そんな私たちも間もなく2年目。

今後一緒に働く後輩にも先輩方にしていただいたように貢献出来たらいいなとより強く思うきっかけになった企画でした！

 

インタビューにお答えいただいたSさん、Kさん本当にありがとうございました！！！
引き続きまだまだお世話になりますがよろしくお願いします！！