セキュリティ領域は専門性が高く、キャリアチェンジの敷居も高い。にも関わらず、“専属通訳担当”からセキュリティチームのテクニカルプロジェクトマネージャーになり、今や「彼がいなければ仕事が成り立たない」とまで言われるメンバーがいます。
彼の名前は、Jason Fernandes(ジェイソン・フェルナンデス)。2018年5月に、翻訳・通訳を行うGOT(Global Operations Team)メンバーとしてメルカリへ入社後、海外から来たメンバーを含むチームの「言語の架け橋」を担ってきました。
そんなJasonが、架け橋の向こう側へ渡り、セキュリティチームの一員になったのは2019年5月のことでした。プロダクト開発に関わるバックグラウンドもなかった彼が、セキュリティチームへ飛び込んだのはなぜ?
※撮影時のみ、マスクを外しています。
この記事に登場する人
-
Jason Fernandes(ジェイソン・フェルナンデス)Security Engineeringチーム。2018年5月にメルカリへ入社。セキュリティチームの専属通訳として1年間を通してセキュリティや開発の知識を身に着け、テクニカルプロジェクトマネージャーとしてセキュリティチームに本格ジョイン。Security Champion Programなどいろんなセキュリティプロジェクトをドライブ。Go言語で開発も行い、今期からはSOARシステムの機能開発にも挑戦。Slack名は@json。
きっかけは「セキュリティチームの専属通訳」
ー翻訳・通訳業務を行うGOT時代から、セキュリティチームと接する機会は多かったんですか?
メルカリへ入社して2週間ほど経ったころ、セキュリティチームの通訳を担当していたメンバーが異動することになり、業務を引き継ぎました。セキュリティチームは、約半数が海外から来たメンバー。そのため、チーム内外でのコミュニケーションで、言語の橋渡しをする必要がありました。かつ、彼らはセキュリティに関わるすべてを担当していたので、インシデント対応など、通訳・翻訳としての出番も多かったんです。
そのせいか、セキュリティチームの担当を引き継いだばかりのころ、メンバーに「今日から君はセキュリティチームの専属通訳だ」と冗談を言われて(笑)。「入社2週間目で専門分野の専属通訳なんて、超やばそうなところへ来てしまったぞ!」と思ったのもつかの間、気づくとセキュリティ関連の通訳も翻訳も、ほぼすべて僕が専属で担当するようになっていました。
Jason Fernandes(Security Engineeringチーム)
ー事実上の「専属通訳」でしたね。
ですね(笑)。セキュリティチームの翻訳・通訳は専門用語も多くて技術的な概念の理解も必要なので難しいし、失敗が許されないシーンもある。「もう一度言ってください」と言う間もない会議にも参加していたので、セキュリティの知識だけでなく、通訳としての臨機応変さもけっこう鍛えられました。
その後、2019年2月に決済サービス「メルペイ」が誕生。リリースに伴い、セキュリティチームも以前より密に連携することになったので、メルペイと同じフロアに移動しました。そのとき、試験的に僕も一緒にセキュリティチームと同じ座席にしてもらったんです。翻訳・通訳業務を超えて、セキュリティの世界をより身近に経験し、理解を深められるかなと思って。そうすると、メンバーたちから「この仕事、手伝ってくれない?」「これやってみてよ」「これを学んでみては?」と提案され、クリティカルではないセキュリティ業務の経験やセキュリティに関する知識・能力を身につける機会が徐々に増えていきました。
ー他チームから見ると、すでに「セキュリティチームの一員」状態じゃないですか?
そうだったかも!すぐ隣で業務内容や何気ない会話を聞きながら、通訳としていろんな業務にも携わったおかげで、セキュリティに関する基本的な質問なら僕だけですぐ答えられるようになりました。当初は純粋な翻訳・通訳だけでしたが、だんだんとメンバーが何を言おうとしているのかが以心伝心でわかるようになり、セキュリティチームが主体のMTGは、僕が議論をリードするやり方に変わっていきましたね。
“半分くらい本気”の提案から切り拓かれた「エンジニア」へのキャリアチェンジ
ーセキュリティチームの翻訳・通訳業務ができるということは、Jasonさんご自身のスキルが高いということ。GOTのマネージャーになる選択肢もあったと思うのですが?
マネージャーの打診はありました。でも、僕はマネジメントより、自分の手を動かす仕事がしたい。そして、今までに挑戦したことのない技術的な領域も学びたかった。同じ席になってから、セキュリティチームのメンバーに「Jasonはセキュリティチームに入った方が良くない?」といつもからかわれていました。そこで、「じゃあ、同じチームメンバーとして仕事しようか?」と答えたら、そのまま受け入れてもらえて。
ー軽っ!
えへへ。もちろん“半分くらい本気”程度でしたが、みんな「いいよ、おいでよ」とチャンスをくれました。そして、その次の四半期から正式にセキュリティチームへ異動したんです。
異動前から、セキュリティについていろいろ勉強していました。でも、異動後はより本格的なインプットをスタート。メルカリのセキュリティチームは、エンジニアとしての能力や技術的な理解が必要なので、簡単なWebアプリのバックエンド開発ができるようにGoも学びました。Goは、初めて学ぶ言語として選ばれにくいところはありますが、僕にとっては構成がキレイでなんだか好き。メルカリでも多く使われている言語であり、即戦力になるために一番合理的な選択だったと思っています。また、セキュリティチームにはGo愛好家も多いので、コードレビューも厳しく・優しくしてもらいました。おかげで、独学するより早く成長につながったと思っています。
同時に、Computer scienceやLinuxの基本も学んでいました。コマンドラインを使いこなすための最低限のことを覚えたり、クエリを書くためのSQLを勉強してインシデント発生時に関連ログを引っ張れるようにしたり。セキュリティチーム主導のハードなインプットはしばらく続き、ようやく厳しい訓練を終えたところです。
人は、同じ言葉を何度もくり返します。通訳は、同じ言葉を話すうちに、その人の考えや知識をインプットしていき、自分のものとする。そういう意味では、セキュリティチームの翻訳・通訳をすることで、すでにオンボーディングが始まっていたのかもしれませんね。
ーセキュリティチームでやりたかったのは、エンジニアですか?
GOT時代は、セキュリティチームのほかに、マイクロサービスプラットフォームチームの通訳もしていました。GOTの役割は、言語・想い・ビジョンの架け橋になること。通訳として、メルカリで働くエンジニアたちが見ている世界観に触れるたび、かっこいいと思って。僕も、彼らのような知識と能力を身につけたいと考えるようになっていきました。言い換えれば、通訳でなく通訳される側になりたかった(笑)。
セキュリティチームに不可欠な「よろず屋」へ
ーJasonさんは、セキュリティチームでどんな業務を担当しているんですか?
今の僕は、どちらかといえばセキュリティチームのなんでも屋的な存在であり、ハイブリッド的な役割を担っています!例えば、最近ではコーポレートセキュリティ対策の推進に関わっていました。メルカリ・メルペイで働くメンバーの社用PCにEDR(Endpoint Detection and Response)ソフトの検証・導入・管理したり、セキュリティ意識向上の啓蒙活動をしたり。啓蒙活動の一環として、メルカリのセキュリティチャンピオンプログラムを立ち上げ、開発者向けセキュリティ教育コンテンツをゲーム化して楽しく学べる企画もしました。
昨年からは、おもにプロジェクトマネジメントを担当。セキュリティチームの担当業務を計画、可視化し、他チームや経営者を巻き込んでプロジェクトを推進できるように情報を整えることもしていましたね。
僕の強みは、コミュニケーション力です。それこそが、セキュリティチームのメンバーに重宝されているスキルであり、僕もダントツで得意だと思っています。ある機能開発では、担当PMにセキュリティリスクを説明したり、セキュリティチームと他チームの間に入ったり。いろいろな場面で顔を出しているせいか「セキュリティチームのよろず屋」と言われています。
ーセキュリティ領域は専門性が高いので、他チームや経営陣にはわからないこともたくさんありそうです。
僕も、セキュリティチームに異動したばかりのころに同じことを感じました。経営陣はおもにビジネス目線、セキュリティチームはおもにセキュリティリスク目線。ここまで目線が違うと、お互いに異なる言語を話しているイメージすらあります。そこへ僕が入り、セキュリティチームがリスクだと思っているものを、経営陣や他チームがわかる言語に変換する。どのようなリスクがあり、なぜそれに対して行動をとる必要があるのか、そうしないとどんなインシデントにつながる可能性があるかを説明しています。
ー誤解をうまないための架け橋もしているんですね。
一般的にセキュリティへのイメージは「何か手間が増えそう」だったりします。でも、僕らはShift Left Securityを重視していて、開発や経営の負荷にならないような初期段階から関わり効率的なセキュリティ戦略を推進しようとしているんです。
もちろん、内容によってはトレードオフになるものもあり、天秤にかけなければならないこともあります。ですが、生産性を大きく低下させるようなセキュリティではなく、質が高く、みんなにとってできるだけ楽な方法でセキュアにさせる対策をしたい。ビジネスや開発をブロックするのではなく、計画やデザインの段階から僕らが参加し、セキュアなものに誘導したいと考えていることも、他チームにうまく伝えられればと思っているんです。
とは言え、メルカリはメンバーの一人ひとりが「お客さまにとって安心安全なプロダクト第一」としています。そういう意味では、他社に比べて理解してもらいやすいかもしれません。
セキュリティチームとの出会いはラッキーだった?
ーそして、セキュリティ体制は一部再編。インシデント対応体制の確立・強化、そして監視体制の構築・運用を行うCSIRT/SOCチームが誕生しました。CSIRT/SOCチームでの役割は?
CSIRT/SOCチームは企画・提案段階から関わっていて、メンバーの採用も頑張っています。さらに、今期からCSIRT/SOCの基盤となるSOAR(Security Orchestration、Automation and Response)のシステム開発と運用をほかのメンバーと一緒に担当。Goでコードを書きGCPのクラウドインフラも扱えるので、僕にとっては技術的なスキルを伸ばせる絶好のチャンス!ただ、引き続きプロジェクトマネジメント業務もあるので、なかなか開発にフォーカスできる時間をつくれないのが目下の課題なんですけどね。一緒に取り組んでくれる未来の仲間がこの記事を読んでくれることを祈っています!
ーJasonさんのキャリアチェンジは、セキュリティチームとの出会いがきっかけでした。ラッキーな出会いだった、と言える感じですか?
非常にラッキーだと思います。畑違いなバックグラウンドからきたので、勉強は継続しなくちゃいけないし、暗中模索な場面もまだまだあります。ハードですが、この経験はすべてセキュリティチームを選ばなければできなかったことです。新しい経験が毎日あって、楽しくてやりがいもある。
最初こそ「これでよかったんだろうか」と迷うこともありました。しかし、今ではいい選択をしたと思っています。これからも頑張らなくちゃいけないシーンはたくさんありますが、スキルを強化し、技術的な能力を伸ばしながらもっと開発に関われる仕事をできるようになりたいですね。