ひと口にマネジメントといえど、そのスタイルは様々。
チームメンバーや部下、組織や技術、やり方も多彩にあります。このシリーズでは、”エンジニア”のマネジメントを担うメンバーに焦点を絞り、「エンジニアマネジメントってどうしてる?」と悩みや独自のやり方などを赤裸々に語ってもらい、メンバーの多種多様な”マネジメント観”を中心に、そのノウハウをお届けしていきます。
第一回目は、各プロダクト・サービスから社内のシステム、従業員の端末などあらゆる“セキュリティ”を担うセキュリティ室 室長の亀山に話を聞いてみました。
亀山 直生(かめやま なおき)
2015年に中途入社。AWSのセキュリティ監視や脆弱性診断というアプリのセキュリティ検査の業務、社内システムや社員を狙った攻撃への対策を担い、2021年1月に現セキュリティ室の室長・マネージャーに就任。ルールでガチガチに縛り付けるような対策より、必要な所に必要なケアを施せるような対策を、そして、なるべく新しい価値の創造を妨げないような対策を実施推進していきたい。
チームを伸ばすために“50%”
──セキュリティ室は、どのような業務があるのでしょうか。
大まかにいうと監視やリスク分析、その後の対策例示などの支援が中心になります。例えば事業部向けの支援だと、アプリケーションの脆弱性診断がありますが、ガチャが無限にできたり、ほかの利用者の決済情報にアクセスしたりされたりしてしまうような不具合を発見します。また、サービスのインフラのAWSやGCPのセキュリティ監視も行っています。これは、攻撃やセキュリティに問題のある設定を日常的に監視して発見時にお知らせする業務ですね。
社内システム向けの支援だと、PCや社内ネットワークへの攻撃の監視や従業員のフィッシング被害を防止するセキュリティツールの導入推進などもお手伝いさせて頂いています。それと、mixirt(mixiのCSIRT部門)の事務局などです。
──亀山さんは、セキュリティ室のマネジメントも担当されていますよね。
セキュリティ室は、当初僕1人でしたが、2年半前にグループとして編成され、メンバーを採用するようになりました。なので、マネジメント歴としては、2年半ですね。現在は、僕を含めて5名が所属しています。
──セキュリティというと求められるスキルが多岐にわたる印象を持っていますが、メンバー構成はどのようになっていますか。
それぞれ専門領域もレベルも違います。セキュリティ室では、インフラの知識が必要な場面もあれば、セキュリティ診断ができる技術が必要な場合もあり、エンジニアもいれば、そうでない人もいます。“セキュリティ”とひと言でいっても範囲は広いので、その全てを1人でできる人はなかなかいません…。なので、メンバーの採用にも少し苦労しました。
──苦労?
ええ。まずは、僕一人の状態から、脆弱性診断とAndroidアプリ開発が出来るメンバーをリファラルで見つけて、二人体制に。そこからメンバーを増やしていったのですが、自分が欲しているスキルや方向性を持っている人はなかなか見つからなくて…。
──それはどうやって解決したのでしょうか?
試行錯誤の末にたどり着いたのは、業務の中でメンバーの能力を伸ばすことです。50%のリソースで経験がある分野の仕事をしながら、残りの50%のリソースで未経験の分野の仕事に挑戦してもらい、スキルの幅を広げてもらう方式です。そうすることで新しい価値が生まれたり、自分が新しい取り組みに時間を割いたり出来るようになってきました。
──大胆な施策ですね。
BtoCのセキュリティ業務ではBtoBと違い、1つの同じ手順の仕事をひたすらこなすというより、セキュリティに関わる仕事を広く扱っていく必要があります。また、属人性が高いとリスクに繋がります。例えば、セキュリティ対応が必要になった場合にその担当が休みだと、すぐに対応するのは難しくなってしまいますよね。そのため、チームメンバーにはある程度幅広く見られるようになってほしいので、このやり方に行き着きました。前職で脆弱性診断を経験されていた方には脆弱性診断は任せて、クラウドのインフラ関連の仕事や社内システムのセキュリティの支援に取り組んでもらうなど、少しずつ幅を広げてもらうかたちですね。
──完璧な人材を待つのではなく、育てるということですね。
そうですね。半分からでも仕事を任せられれば、僕は何か新しい仕事に手を広げられますし、チームメンバー同士の業務の内容がより明快に想像できるようになります。
ところが、新しい領域への挑戦は、本人にとってはハードルが高く、途中でモチベーションが下がってしまうことも…。あまりにも取り組んだことのない領域だとなかなか思うようにいかず、無力感に苛まれてしまうこともあるんです。
──確かに。モチベーションを保つのも難しそうですね。
そのため、本人に任せきりにするのではなく、本人が関心のある業務から任せてみたり、本来お願いしている業務量を調整したり、マネージャーのサポートもある程度必要かもしれません。一度は嫌になってしまったテーマの仕事でも、一旦距離をおいてからもう一度依頼してみると、意欲的に取り組んでもらえることもあるかなと思います。
──いかにフォローするかってことですね。メンバーを教育するうえで、何か大切にしていることはありますか。
・・・続きはこちら