非常に高い確率ではじめてのケースに触れられる　LINEのサイバーセキュリティ・チームでの働きがいとビジョン

いろいろな環境でいろいろなメンバーとスキルアップできる

市原尚久氏（以下、市原）：じゃあちょっと次にいきましょうか。スキルアップの仕組みや取り組みについての話をしましょう。セキュリティエンジニアとしてのスキルアップの仕組みやそういった関係の取り組みみたいなものを、志勳さんからいきましょうか。

李志勳氏（以下、李）：基本的には、インフラセキュリティは、先ほど共有したとおり大規模な環境と複雑な環境です。我々インフラのサービス環境にはプライベートのクラウドと、パブリッククラウドも使っているようなハイブリッドな環境なので、複雑な環境になります。

あとサービスも、金融サービスなどいろいろなサービスが動いている環境なので、その中で発生する問題を解決しながら自然にスキルアップできると思いますし、さまざまなプロジェクトを通じて、横で一緒に働いているメンバーが動いていることなどを見ながら、いろいろな経験ができます。

市原：一緒に働きながら学べるということですよね。

李：そうですね。あとはSlackとかWikiとか各所にさまざまな知識が集約されいるので、それを見ながら十分にスキルアップできる環境ではないかと思います。

市原：あとはあれですよね。特に若い人向けには、Infra Protectionに非常にベーシックな教材みたいな学習環境がありますよね。

李：そうですね。最近だったらFunction as a Serviceや、クラウドネイティブなど、あまり経験できない環境が我々の対象の1つなので、まず入社したら、それを学ぶことができるような環境を用意して、それからスタートできるようにしています。

市原：そうですね。ちょっと時間が押してきたので。春木さんはどうですか？

春木博行氏（以下、春木）：そうですね。会社としてけっこう調整していけるところと、あとは失敗に寛容な文化があるんじゃないかなと。他の会社と比べても。

市原：そうだね（笑）。

春木：そういう部分で、自分がチャレンジしていける感じがするので、スキルアップする機会はいっぱい作れるんじゃないかなと。あとは、2020年はコロナの影響でありませんでしたが、エンジニアは海外も含めてカンファレンスに参加できるので、すごく知見を広められるなと思っています。

市原：そうですね。会社から海外のカンファレンスへの参加支援がありますね。ありがとうございます。

セキュリティエンジニア教育向けコンテンツがある

市原：ヨンミンさんはApplication Securityチームはどうですか？

鄭ヨンミン氏（以下、鄭）：Application Securityチームは、新入社員の場合は、いったん会社が提供するOJTに参加して、LINEのサービスについて理解する、理解する時間が与えられます。各週に教育とカンファレンスの参加、社内で技術共有会を進行しており、時にはメンバーたちの意見を聞いて、有識者を招待して講演を行うこともあります。

さらに、LINE Plusという教育プラットフォームもあります。LINE Plusを利用して、セキュリティに対する基礎から深いところまでの理解が可能です。このような教育は、セキュリティエンジニア以外、開発者や企画者向けにも行われています。

市原：今言ったLINE Plusを補足すると、社内のサービスなんですが、セキュリティエンジニアが、自分たちのセキュリティエンジニア教育向けに作った環境があるんですね。それが非常にできがよくて、今は全社向けの教育コンテンツも、そこでe-ラーニングするという仕組みにしていますね。その中で、けっこうセキュリティに特化した、CTFじゃないけどゲームみたいなのもあったりする環境になっています。

ちょっと時間がもう残っていないんですけど、他にもお話したいことがあって、今の時点で「LINEのセキュリティについて聞いてみたい」という方がいましたらお答えしますが、何か質問とかあるでしょうか？あ、今質問が1つ来ました。「みなさんの仕事のやりがいは何ですか？」。志勳さんどうですか？

李：そうですね。私は入社してから4年半ぐらい経ったんですけど、一番やりがいだと思っているのは、やはりLINEのサービスを守っていることと、あとそれから今はいろんなサービスの開発をしたりしていますが、その中で安全なインフラ環境が提供できるようになって、すべてのサービスがセキュリティ的な問題なくきちんと動かすことを徹底していることではないかなと思いますね。

なので常にそのことを毎日考えて仕事していますね。

市原：春木さんはやりがいはどうですか？

春木：セキュリティ業界はけっこう技術の入れ替わりが早いのですが、その辺はLINEがけっこう新しい技術を積極的に入れていける会社なので、新しいことにどんどんチャレンジしていけるという部分は、すごくやりがいがあるなと。

市原：新しいことにチャレンジすることに、非常に肯定的な会社だと思いますよね。

春木：そうですね。そういう部分にやりがいを感じています。

市原：ヨンミンさんどうですか？

鄭：私も同じです。IT系は、やっぱり新しい技術が毎日出ているので、その技術を勉強して、それで失敗して、もっと安全になったらいいと思います。

採用選考フローについて

市原：はい。次の質問、「採用選考フローについて」は大川さん、今説明しますか？

大川瑛里氏（以下、大川）：セキュリティポジション採用担当の大川です。選考フローについてですが、まずはLINEの公式採用ページからエントリーしてください。そのあと、ポジションによってはコーディングテストが必要となります。Web試験が必要となりますのでWebテストを解いていただきます。中にはWeb試験が必要ないものもありますので、詳細はページをご覧ください。

テストを通過しますと技術面接ですね。技術面接に進み、そこを通過すると役員面接を経て、内定という順番になっています。だいたい1ヶ月から1.5ヶ月程度見ていただければと思います。

非常に高い確率ではじめてのケースに触れることができる

市原：ありがとうございます。ちょっと私も、仕事のやりがいについて簡単にお話ししたいと思います。やはりLINEの中で、特に新しい技術が出る前に、サイバーセキュリティ室のメンバーが先に知ることになるんですね。そしてそれは非常に高い確率で、他社でもまだやっていないようなサービスなんですね。

それを、セキュリティの観点だったりプライバシーの観点で、外に何か参考になるケースがなくても自分で判断しなくちゃいけない、非常にドキドキ感を持ちながら仕事をすることがけっこうあります。そういったときに、これもチャレンジだと思うんですけど、そういう環境を非常に楽しんで仕事ができるというのは、私がこの会社にいて楽しいなと思える瞬間だと思います。セキュリティコンサルだったり、インシデントが発生したときの対応だったりとかですね。

セキュリティエンジニアの評価

市原：他にも質問が来ていますね。「セキュリティエンジニアの評価は難しいと思いますが、メンバーの評価をどう評価していますか？」という話。志勳さんちょっと簡単にお願いできますか？

李：そうですね。評価についてはLINEの他のエンジニアリング組織にも似てるかなと思います。結局いろんなサービスが動いているので、解決すべき問題がけっこうたくさんあります。

なのでその中で一番優先度が高いプロジェクト、例えば先ほど市原さんがおっしゃったタイの銀行サービス「LINE BK」のような重要なプロジェクトは、コミュニケーションを見ると、複雑で求められる技術力もけっこう高いので、そういうプロジェクトで発生する問題が解決できたら、それをもってよし、というように評価することになりますね。

なので、目立つものを作ったからと言って、よい評価がされるわけではありません。

市原：目立つものにずっと関わっているから、ずっといい評価が得られるわけじゃないということですね。

李：そうですね。

業務の効率性を重視

市原：ありがとうございます。ヨンミンさんはでしょうか？

鄭：私は業務の効率性を重視しています。なので、単純に業務を一生懸命するだけではなく、自分がしている業務をもっと正確かつ効率的にできるかを悩んで、業務の環境を改善したら、高い評価をします。

市原：そうですね。もちろん問題解決・課題解決の貢献はあるんですが、業務環境を改善することによって、自分だけじゃなく今後の業務自体の効率も上がるので、チーム全体の貢献になるということですよね。

鄭：はい。

市原：その辺は非常に大事なところですよね。

セキュリティエンジニアの1日

それから「セキュリティエンジニアのことはよくわからないんですが、代表的な1日の業務はどんなことをやられていますか？」。これ春木さんどうですか？

春木：そうですね。最初にお話したとおり、けっこうセキュリティソリューションがたくさんあって、各メンバーが担当しているんですけど、問題があればそういうオペレーションをしたり、あとはルーティン的な業務もどんどん自動化していて、まだやっている部分もあります。

ヨンミンさんが言っていたみたいに、どうすれば環境を改善していけるかは、各ソリューション担当が考える部分で、自分でスクリプトを作って自動化したり、APIを使って何かやってみたり、そういったことも業務の時間として使っていますね。あとプロジェクトがあれば、そのプロジェクトのために他の部署と何かミーティングをしたり、あとは定期的にそういった部署とコミュニケーションを取ったりすることが、業務の大半になってくるんじゃないかなと思います。

市原：ここは私もエンジニアの立場で簡単に説明すると、例えば朝起きるとSlackに私宛にメンションされている相談事があったりしますね。「LINEアカウントの仕様は今こんなふうに変える検討をしているんですけどどうですか？」というような質問が来て、Wikiが貼ってあって、Wikiを見にいってコメントをして、コメントでも話が終わらないようだったら、ミーティングをするとか。

そういった小さなケースから、大きな長期プロジェクトであればミーティングに出て、ミーティングの中でその大型プロジェクトのセキュリティについて話し合ったり次のアクションを決めたりというようなことを、ミーティングやSlackでコミュニケーションすることが非常に多いかなと思っています。それからメンバーのケアもしますね。

効率化とそのスピードをどんどん早めていく

ちょっと時間もそんなにないので、次。「セキュリティのイベントは突然発生しますが、その度にセキュリティ改善、業務改善するためのものはありますか？」。これはどうしようかな。志勳さんがいいかな。

李：そうですね。LINEの中で毎日観察されているセキュリティイベントは実際には何十万件ですね。なので、それについて改善するプロジェクト的なのものはやっぱりありますね。インフラセキュリティの仕事について考えてみると、基本的には大きく2つのタイプに分けられるんですけど、1つ目はプロテクティブ的な観点で、攻撃者に攻撃を止めさせることとか、もっと時間がかかるようにすることですね。それからもう1つがその攻撃が行っている間にもっと早めにその攻撃が進んでいることがわかるようにすることとか、その部分について分析したりすることがあります。

なので、例えばなんですが、いろんな外部の脆弱性についてのデータフィードや、あとは脅威についてのスレッドから収集して、それが自動的に我々が今管理している対策の中で試して、ブロックしたり探知したり、それからもっと短くするためプロジェクト化とか改善とかを行っています。

市原：効率化とそのスピードをどんどん早めていくというところですね。

李：そうです。

市原：インフラで非常に重要なところですよね。

Bug Bounty ProgramとTrust＆Safety

ヨンミンさんとかはどうですかね？

鄭：Application Securityチームは、外的に発生するイベントとしてはLINE Security Bug Bounty Programというプログラムがあります。LINE Security Bug Bounty Programは外部のセキュリティエンジニアからLINEのサービスで脆弱性を見つけたら、私たちに報告してもらって、それを私たちが確認して、影響がある脆弱性なら評価をして、リワードをあげるというプログラムです。

LINE Security Bug Bounty Programを通じて報告をもらった場合、いったん私たちがその報告を確認して、これが本当に影響がある場合は分析して、他のサービスにも影響があるかどうかを確認するために、私たちが自分で作ったツールを利用してマスタファイルを確認、同じ脆弱性があるかを確認します。

市原：横展開するということですね。

ヨンミン：はい、それができる環境があります。それくらいです。

市原：それからアプリケーションのレイヤーのもう1つ上に、Trust＆Safetyというレイヤーがあって、例えばアカウント乗っ取りやスパム、タイムライン不正など、いろいろありますが、そのレイヤーは非常にインターフェイスとして、LINEアプリそのものを使ってAbuse（サービス上の不正行為や嫌がらせなどの行為）をするので、非常にいろいろなやり口があるんですね。

あとはAPIを知っているAbuser（Abuseをするユーザーや攻撃者）も多いので、そういったところは、本当にキリがないんですけど、やっぱりモニタリングをしている中で、あるAPIコールが非常に上がってきたらそこをちょっと分析をしてます。

Abuseとわかったときには、そこを集中的にモニタリングして、Thresholdを急いで決めて、だいたい1日や半日もかからず開発して運用を始めて、というのをTrust＆Safetyのレイヤーではやっていますね。

セキュリティチームの今後のビジョン

市原：もう時間が迫ってきていますが、最後に今後のビジョン。これをお一人ずつ聞いていきましょうか。志勳さんはどうでしょうか？　チームのマネージャーとして今後のビジョンについて。

李：はい。いろんなセキュリティ的な問題を解決するために、我々の組織の中で工夫してから解決できた部分があるんですけど、そのプラクティスの中で、サイバーセキュリティコミュニティ全体にも役に立つ、ベストプラクティスな発表ができるようにしたいです。

市原：会社以外のセキュリティのコミュニティですね。

李：はい。それにも役に立つことがあればそれについてみんな工夫していると、悩んでいると思いますので、参考になればと思っています。

市原：そうですね。外向けにも、もっと発信していけるといいですよね。

李：はい。

市原：けっこう内向きの業務でいっぱいいっぱいなんですけど（笑）。

李：そうですね（笑）。

市原：春木さんはどうですか？

春木：さっきから何回か出てきているんですが、単純なオペレーションはどんどん自動化していって、セキュリティエンジニアとしてどういうセキュリティを解決していくのかみたいな、そういうふうに力を入れていけるようなチームにしたいなと考えています。

市原：セキュリティエンジニアの能力をちゃんと最大限に発揮する環境作りが大事だねという話は、よくしていましたよね。

春木：そうですね。今年はリモートワークでけっこう環境がガラッと変わったんですけど。なかなか対処が遅れたなという感じがしていて、そういう部分をどんどん改善していきたいなと思っています。

市原：はい。ヨンミンさんはどうですか？

鄭：はい。Application Securityチームは、セキュリティテストの効率性と正確性を高めることに集中しようと思っています。どうすればもっと短い時間で脆弱性を見つけられるかについて考えていて、これによって会社はサービスの安全性を確保してコストを減らすことができますし、セキュリティエンジニアたちはさらに成長できる機会とか時間が提供できます。

市原：それは本当に大事ですよね。モチベーションとしても、自分の仕事を楽にしてその時間を自分の成長の時間に使えるようになるというのは、本当に大事なことだと思う。それは会社全体として、たぶんそういう文化が非常に強い会社だとは思うんですけど、そういうところにも、エンジニアをとても大切にしているというのがあるかなと思います。

そういったかたちでサイバーセキュリティチームは、基本的にチャレンジには、非常にウェルカムだというところ。それから、エンジニアリングの仕事がとても重視される会社なので、そこにフォーカスを充てて、それから自動化、効率化みたいなところを非常に重大な課題の1つにしています。もちろん現場の課題を解決することも大事なんですが、並行して。

そしてそれはチームのためであったり、その時間は自分の成長のためにも使えることになる、という話をしました。

ということで本日のOnline Career FairのCyber Security Teamの部をこれで終わりにしたいと思います。どうもありがとうございました。