大手セキュリティ会社を辞めて"><b>Go Boldする話

December 24, 2017

仕事が一段落ついてなんとなく自分の中でも整理がついたので退職ポエムを投稿してみる。

情報セキュリティの某会社を退職します

2017年12月31日をもって、2015年4月から2年9ヶ月勤めた某セキュリティ会社(およびその出向元である大手SIer/シンクタンク)を退職します。社名を隠しているのは特に何か意図があってのことではなく、対外的にあんまり社名は出してないから、というだけです。ぶっちゃけN●I某に所属しているのは公知の事実なのでもういいですよね!?ね!?

2年9ヶ月間の話

セキュリティコンサルタントという肩書で主としてセキュリティ診断に関わってきました。診断以外にも研修講師や、もう少しコンサルチックな仕事など、いろいろな仕事に関わってきました。書いても大丈夫そうな範囲で、さらっとこれまでを振り返っておこうかな、と思います。先に書いておきますが入ったことに関する後悔はまったくなくて、従ってネガティブな話は出てこないです。

非技術面のスキル向上

現職では対顧客のやりとりの大部分(提案〜診断実施、報告などなど)を担当できて、例えば営業と診断で分業制を敷いている会社と異なり、非技術面のスキルがかなり鍛えられたのではないかと感じています。(もちろん診断だけやっていてもいろいろあるとは思うのですが、幅の広さではやっぱり全部やるってのは圧倒的だと思います。) 主観的にも客観的にもおそらくまだまだと思うのですが(正直この辺はもう少しやり込んでおきたかった)、入社当時の自分と比べて非技術面でのスキル向上は著しく、技術面は正直仕事に関係なくやれることも多いですし、仕事を通じて培うのが手っ取り早そうな非技術スキルを磨くことができたという一点のみでも、初めて働く場所としてここを選んだのは正解だったと思っています。

技術面のスキル向上

技術面では仕事を通じて伸びたというのは正直あんまりないです。これは会社の技術レベルが〜という話ではなく、あくまで僕の個別のケースですが、仕事に関係なくライフワークとして情報セキュリティに関わっている身として、それを仕事にしたから何かが大きく伸びたというのはなかったな、という話です。とはいえ部署による部分もけっこう大きいと思っていて、仕事としてやるからこそ伸びる技術領域もちゃんと社内にはあると思っています。例えば以下のような話は、自分の得意とする領域の外だからそう見えるだけかもしれませんが、会社ならではの面も大きいと思います。

『とあるセキュリティ会社のIoTセキュリティチームの日常』 https://www.slideshare.net/kthrtty/20171123-io-tsecjpltkthrttycleanforpub?from_m_app=ios

待遇面

平均年収は決算短信にもある通り1100万円を超えており、年収1000万というのは割と遠くない未来に転がっていました。福利厚生面も手厚く、このあたりはさすが日本企業!!って感じです。ぶっちゃけオススメです。

平成29年3月期 決算短信 https://www.nri.com/jp/ir/financial/pdf/1703tanshin_all.pdf#page=66

でもMSの新卒で年俸730万みたいな話を見ると、若手にとっては、給料だけなら別にめちゃくちゃ高いってわけでもないなぁというのも同時に感じています。5000兆円欲しい。学生の皆さんは、自身の才能とかいろいろ加味しつつ選べばいいんじゃないかな、と思います。

労務環境面

よく激務とかブラックとか言われてますが、人とか部署とか時期による、という当たり障りのないことしかいえないです。自分の話をすると、今年はめちゃくちゃ忙しいということはなかったです。 ただ同じ部署でも僕よりずっと忙しそうな人もやっぱりいて、このあたりは「コンサルタント」を標榜するがゆえのしゃーない部分なのかな、と思っています。顧客単位で担当者と紐づくことが多い分、タスクも属人化しやすい構造はあるはずで、逆にその分深くその案件に関わることができるので、個人的にはそれをネガティブに捉えたことはありませんし、理不尽な忙しさやタスク過多を感じたこともありません。

なぜ退職するのか

もっと広くセキュリティに関わりたい

セキュリティの専業会社のコンサルタントとして、つまるところお客様からすれば「外部の専門家」としてセキュリティの向上のためのお手伝いをしてきましたが、ここ1年くらい、外の人間としてできることには限界があると日々感じていました。 セキュリティというのはビジネスの意思決定と深く結びついています。表現するにあたって言葉を選ぶのがとても難しいのですが、これまでの仕事では、顧客のビジネスの意思決定の結果として、自分がいるという場面が多かったという印象を持っています。例えば、セキュリティ診断をやろう、と決めたところから関わることになる、といったところでしょうか。 もちろんコンサルタントである以上、もっと前から関わることもあるはずですし、実際あると思いますが、もっと広い視野で仕事をしてみたいと思ったときに、今の環境が窮屈に感じてしまったことを覚えています。

アプリケーションセキュリティの理想形を突き詰めたい

上記に加えて、開発者がセキュリティに気を使いながらコードを書かないといけないのは不毛だと思っていて、そこは僕が全部やるから!もっと生産的な部分に頭を使って!と考えています。とはいえそんな理想の世界はなかなか実現し難いわけで、なんなら僕自身そこまで開発畑に詳しいわけでもなく、とにもかくにもまずは自分がもう少し開発の世界に寄ってみようと考えました。つまるところ、自社のサービスのセキュリティを考えるという立場で、理想を追い求めてやってみるのがいいのではないかと思い至りました。

これからの話

次の職場

年始より株式会社メルカリでお世話になる予定です。気分はすでに"><b>Go Boldです。

その他の活動

JNSAの部会だけは離れることになりそうですが、SECCON実行委員など業務外の活動は基本的にこれまでと変わらず関わっていくつもりです。どうぞよろしくお願いいたします。

そういえばクリスマス

干し芋のリスト http://amzn.asia/1ENONQJ