「ITに全く関係ない分野からITに飛び込んで活躍しているエンジニア」など、何らか“越境”を経験したエンジニアを「越境エンジニア」と名付け、1カ月に一人ずつインタビューを掲載する。今月取り上げるのは、ソフトウエアの脆弱性を見つけて報告する「バグハンター」として知られる西村宗晃氏。今回は、社内システムを擬似的に攻撃してセキュリティ上の問題を洗い出す「レッドチーム」の立ち上げなど、リクルートテクノロジーズでの取り組みを聞いた。

(聞き手は大森 敏行=日経NETWORK


前回から続く)

 転職の機会は向こうからやってきました。2015年11月に人材斡旋会社から、あるソーシャルゲーム会社のエバンジェリストをやらないかと声を掛けられたのです。しかし、自分はゲームをしません。「その会社では難しいです」と返事したところ、「じゃあリクルートはどうですか」と紹介されました。

[画像のクリックで拡大表示]

 いろいろ話を聞いていたら、結構おもしろそうでした。当時、セキュリティのコンサルティングをしていましたが、実際にどんな攻撃が自分たちの環境に来ているかを見られる職場ではありませんでした。どちらかといえば品質保証に近い仕事です。製品の出荷前に安全なものを作るために、ルールを決めたり検査したりするのがメインでした。

 本当に攻撃がたくさん来る現場で、実際の脅威をベースに対策を考える仕事をやってみたくなりました。頭でっかちで「きっとこういう攻撃が来るからこういう対策をしましょう」ではなくて、現実を知ったうえで対策したい。例えば予算配分を任せてもらったときに、「こういう攻撃が来ているからここに予算をかけてここの優先度は下げましょう」といった判断ができるようになりたい。そのために、実際に攻撃が来る現場に身を置きたいと思ったのです。

 その話をもらった後、リクルートにどんなサービスがあるのかを調べたら「ゼクシィ」「リクナビ」といった自分が人生の分岐点でお世話になったサービスが多い。こうしたサービスを守る仕事は、セキュリティのエンジニアとしてキャリアを積むうえで幸せなのではないか。そう思い、2016年2月にソニーの子会社を退職して3月にリクルートテクノロジーズに入社しました。