佐藤 哲平

自己紹介をお願いします。

2020年に新卒でLINE（現 LINEヤフー）に入社した佐藤哲平です。アプリケーションレイヤーのセキュリティを専門とするチームに所属しています。 

私がセキュリティに興味を持ったのは、中学生の頃でした。当時『ブラッディ・マンデイ』というドラマが放映されており、同世代の多くがそれをきっかけにITに触れ始めていました。私も強く影響を受け、「かっこいい」と感じたのが出発点でした。 

そこから、 ITに関する技術について学べそうな高専に進学し、情報系でプログラミングなどを学びました。卒業時には研究活動としてセキュリティをテーマに取り組み、そのまま大学院に進学。大学院では、ブロックチェーンのセキュリティについて研究しました。 

セキュリティ領域に魅力を感じた根本には、子どもの頃からの「ヒーローへの憧れ」があります。小学生の頃は消防士に憧れ、少し大きくなってからは映画『海猿』に影響を受けて海上保安官を目指したこともありました。セキュリティエンジニアにも、ヒーローのような要素を感じています。誰かを攻撃できてしまうような技術を学びながら、その力を人を守るために使う。そうした正義の側面が、私がセキュリティエンジニアを続ける大きなモチベーションのひとつです。 

就職を考えたときの進路は、セキュリティベンダーか、IT企業のインハウスのセキュリティエンジニアかの二択でした。「自分の会社のプロダクトを近い距離で見ながら、それをより良くすることに貢献したい」と考えたことが、インハウスのセキュリティエンジニアを選んだ決め手です。 

LINEを選んだ理由は、当時からセキュリティに力を入れている日本のIT企業のひとつだったこと、そしてコミュニケーションアプリ「LINE」やその関連プロダクトを家族や友人を含め多くの人が日常的に使っていることでした。「多くの人の生活を守れる」という点が魅力的だったんです。 

現在担当している主な業務内容や具体的な流れについて教えてください。

社内で開発されたアプリケーションのセキュリティを、アプリケーションレイヤーの観点からチェックする役割を担っています。 

新しいサービスがリリースされるときや既存サービスに新機能が追加されるときに、検証の依頼が届きます。その際、ソースコードを確認したり、検証環境で疑似的に攻撃を行ったりして脆弱性を探します。問題を見つけた場合はレポートにまとめ、修正を依頼します。修正方法をこちらから提案することもあります。 

LINEヤフーは非常に多くのサービスを展開しており、開発チームごとに使っている技術や開発手法も異なります。さまざまなサービスを横断的に見ることは大変である一方、仕事を通じてそれらの技術や開発手法を学ぶため、自身の成長にもつながります。 

私の場合、朝は少し遅めで11時頃に始業することが多いです。フレックスタイム制のため、チームメンバーも柔軟な働き方をしていて、早めに始める人もいれば、遅めに始める人もいます。 

1日のスケジュール例

• 11:00

  勤務開始、Slackの確認やタスク整理

• 11:30

  情報収集

• 12:00

  脆弱性診断進行

• 14:00

  ランチ

• 15:00

  脆弱性診断進行

• 17:00

  チームミーティング

• 18:00

  担当プロジェクト進行

• 20:30

  勤務終了

1日の中では、情報収集の時間も欠かせません。セキュリティエンジニアの役割として、最新の脆弱性や攻撃手法を常にキャッチアップしておく必要があるからです。攻撃者は1つの弱点を突けば目的を達成できますが、私たちはあらゆる領域を広く守らなければなりません。そのため、日々新しい情報を仕入れ、被害が出る前に対策できるようにしています。 

仕事を進めるうえで、意識していることはなんですか。

技術的な知識を身につけることはもちろん重要ですが、それと同じくらいコミュニケーションの大切さを強く感じています。たとえば脆弱性を発見して報告した際、その深刻度によっては「修正のためにリリースを延期したほうがいい」という判断が必要な場合もあります。 

こうした判断は、開発担当のエンジニアだけでなく、企画担当者やプロジェクト全体の管理者など、多くの関係者を巻き込みます。その際、「なぜ修正が必要なのか」「修正しないとどんなリスクがあるのか」を、エンジニアではない方にも理解してもらえるように説明することを意識しています。 

私たちの仕事は基本的に「修正すべき点を指摘すること」です。開発者が努力して機能を作り上げたところに現れて、修正要望を伝える役割を担うため、どうしても対立構造になりやすい側面があります。さらに、セキュリティ対応は優先度が高い事項のため、コミュニケーションにおいてこちらが強い立場になってしまいがちです。だからこそ、意見を押しつけるのではなく、丁寧に説明し、理解と協力を得ることを心がけています。

特に印象に残っている仕事を教えてください。

ひとつは、有名なJavaのログ用ライブラリ「Log4j」に深刻な脆弱性が見つかったときのことです。世界的に大騒ぎとなり、当社でもJavaを使ったサービスが多数稼働していたため、大きな影響が懸念されました。 

この発表があったのは金曜日でしたが、週末を挟むと多くの方に影響を与える可能性があったため、業務を延長し、安全性が確認できるまで開発チームとセキュリティチームで徹底的に調査・対応にあたりました。結果として、サービスへの大きな影響は回避することができました。裁量を持って働ける環境ではありますが、セキュリティエンジニアとして、こうした緊急事態には迅速に対応することが重要だと考えていますし、もともと「誰かを助けるヒーローになりたい」という思いからこの道に進んできた背景もあります。実際にチームや会社の役に立てたことに、大きな充実感を覚えました。 

また、大学のセキュリティ講義で一枠を担当したことも印象深いです。アプリケーションセキュリティについて話したのですが、専門性が高い内容だったため、思ったより伝わりづらい場面がありました。講義の後半はできるだけ平易な言葉を選んで伝えるよう工夫しましたが、この経験から「多種多様な人がいる場では、エンジニアだけに通じる説明では不十分だ」と痛感しました。専門外の相手にも伝わるよう、表現を工夫する必要があると学んだ経験でした。 

もう一つ印象に残っているのは「LINE CTF」です。毎年開催されるセキュリティスキルを競う大会で、私は運営に携わっていました。お祭りのような雰囲気でとても楽しく、誰かが成長する場をつくれたことに大きな意義を感じました。 

入社して良かった・成長したと感じることはなんですか。

日々の業務の中で、常に「知らなかったこと」に直面するため、勉強を怠ると仕事が回らなくなります。だからこそ、毎日情報をキャッチアップし続け、それによって業務を進められているという事実そのものが、成長の実感につながっています。 

もう一つ大きな点は、セキュリティエンジニアの仲間に囲まれて働けていることです。今のチームには10人ほどのセキュリティエンジニアがいます。学生時代はまったく違っていました。高専時代にはセキュリティを研究しているのはほぼ自分だけで、同じ分野に興味を持つ仲間がいませんでした。大学院ではセキュリティ関連の研究室に所属し、少しずつ仲間は増えましたが、それでも現在のように多くのセキュリティエンジニアと肩を並べる経験はできませんでした。 

一般的に、セキュリティはコストや専門性が求められるため、十分な体制を整えることが難しい場合も少なくありません。しかし、LINEヤフーはその重要性を踏まえて積極的にセキュリティに投資しています。同じ役割を担う仲間が多くいて、その仕事ぶりを間近で見られる環境は、自分の成長にも直結しています。 

今後の目標を教えてください。

当面の間は、セキュリティエンジニアとしてキャリアを歩み続けたいです。「楽しい」と思える仕事を任せてもらえるのは幸せなことなので、さらに努力を重ね、会社や世の中の人たちを守っていきたいと考えています。 

守るという意味では、ITサービスのセキュリティだけでなく、たとえば建物のセキュリティなど物理的な分野にも純粋な興味があります。趣味として学ぶのもおもしろそうですね。 

また、少し観点は変わりますが、セキュリティエンジニアという職業は、本来「存在しないほうが理想」だと思っています。世の中から攻撃者がいなくなれば、セキュリティエンジニアはその役割を終えます。実現すれば私は失業してしまいますが（笑）、そんな未来をぜひ見てみたいですし、それが叶うように少しでも貢献できるのであれば、とても名誉なことだと思います。 

これからのLINEヤフーに期待することや、楽しみなことはなんですか。

LINEヤフーはセキュリティを大切にしている会社です。今後も同様にセキュリティ施策にしっかり取り組みながら、さらに大きな会社へと成長していくことを期待しています。セキュリティを真剣に考えている会社が提供するサービスを利用するほうが、ユーザーにとっても安心ですし、より幸せな世界につながると考えています。 

また最近では、多くの会社が生成AI技術の活用を試みています。LINEヤフーもこの流れに乗り、開発プロセスやサービスをさらに進化させていくことを、とても楽しみにしています。 

最後にメッセージを。

セキュリティエンジニアとしてLINEヤフーに入社すると、本当に多種多様なサービスやシステムに携わることになります。毎日が刺激的で、貴重な経験を積むことができます。 

私は主にアプリケーションセキュリティを担当していますが、ほかにもさまざまなセキュリティチームがあり、キャリアチェンジをしたり、兼務して複数の領域に関わったりする人もいます。同じ「セキュリティ」という分野の中でも幅広い業務に携われるため、ひとつの会社にいながら自分の可能性を広げられます。セキュリティ領域を突き詰めたい方には、ぜひおすすめしたい環境です。 

• エンジニア
• 新卒入社