2022年7月よりエンジニア新体制をスタートさせたメドピア。セキュリティ領域の「テックリーダー」に就任した侘美は、メドピアの開発プロセス改善を牽引する傍ら、セキュリティ関連の業務も引き受けてきました。今回は「今後のセキュリティ業務にどのようにSREの視点を活かすのか」「組織改編を通して、セキュリティ領域をどう強めていくか」を侘美とVPoEの平川に話を聞きました。
セキュリティ テックリーダー 侘美 怜
2019年2月メドピア入社。SREチームとして、メドピアグループが提供するすべてのサービスの信頼性向上を担う。7月よりセキュリティのテックリーダーに就任。
VPoE 平川
2018年メドピア入社。新規プロジェクトの立ち上げやエンジニアのマネジメント、採用などを担当。「ありひー」の愛称で親しまれている。
インフラ最適化〜セキュリティまで。幅広くメドピアを支える
――侘美さんは、セキュリティチームのテックリーダーを務めることとなります。まずは、これまでのキャリアについて教えてください。
侘美:私は工学系の大学でソフトウェア・ハードウェア制御全般を、そして大学院ではパターン認識のアルゴリズムの研究をしていました。競技プログラミングなどを経て、その面白さからソフトウェア開発者を志し、大手複写機メーカーに新卒入社。ソフトウェアエンジニアのキャリアをスタートしました。
――具体的にはどのような開発に携わってきたのでしょうか?
侘美:BtoB向けクラウドサービスの開発を担当し、6年間で3サービスほどに携わりました。当時の会社はフロントエンド・サーバーサイド・インフラといった担当区分はなく、さまざまな領域に触れていましたね。
その中でもインフラの領域に触れる機会が多く、徐々にインフラができる開発メンバーという位置付けに。担当していたサービスのAWS移行を機にクラウドサービスに触れることも多くなり、クラウド領域への関心が高まっていきました。
――インフラ領域で技術を深めていったんですね。その後、メドピアに入社した経緯を教えてください。
侘美:2015年前後から「SRE」という役割が浸透し始めていました。インフラ構築・運用の最適化や開発プロセスの改善といった業務が、私のやりたいことにマッチしていたのもあり、SREを募集している会社を探し始めたのがきっかけです。
クラウド技術の進化のスピードはかなり速く、新しいプラットフォームやサービスを迅速にプロダクトに反映できるような環境に身を置きたいと思っていました。その希望を叶えられる環境を持っていたのがメドピアだったんです。
――入社後は、どのような業務に携わられたんでしょうか?
侘美:入社してから約1年間は、メドピアの主幹事業である「MedPeer」でRailsエンジニアとして開発を担当しました。SREとしての役割を立ち上げるにあたって、まずは実際の開発現場に入り、課題を持ち帰り、整理することから始めました。
その後、本格的にSREの仕事を開始してからは、メドピアが提供する全サービスを安定して運用する仕組み作りに注力し、その一環としてセキュリティ関連の仕事にも対応しています。
具体的には、認証機能の実装時に関するルールの策定、EOL(製品のライフサイクル終了)を迎えたバージョンを利用しないようにするバージョン管理ルールの策定、また外部からのセキュリティ対策のヒアリングシートへの回答や、弊社から関連会社などに依頼するヒアリングシートの作成などです。
SREとしての視点を活かした「社内セキュリティの担保」に期待
――今回の新体制で「セキュリティ」という単位でテックリーダーを立てた背景を教えてください。
平川:メドピアは医療/ヘルスケア領域のサービスを展開しており、個人情報を扱うことも多く、データの堅牢性は非常に重要です。かつ、ヘルステックを牽引する上場企業として、社会的なインパクトは大きくなりつつあります。
そのため、今後のメドピアにとって、セキュリティ領域は大事な柱になるでしょう。そこで、VPoEの私と共に考え、セキュリティに関する意思決定のスピードを上げてくれるテックリーダーを任命する運びになりました。
――侘美さんにはどのような活躍を期待して声をかけられたのですか?
平川:私が出自としてサーバーサイドのアプリケーション開発を専門としていたので、SREの領域に関しては、侘美さんの力を借りたいと思ってお声がけしました。
前CTOの元でセキュリティ業務の一翼を担っていた実績への信頼がありましたし、SREとしての知見も活かしてほしいと思いました。
とくに期待しているのは、プロジェクトにおける内部セキュリティの担保というところ。決定したセキュリティの方針を、各プロジェクトチームに浸透させていく役割をお願いしたいと考えています。
――侘美さんは任命された時のお気持ちはいかがでしたか?
侘美:「やっぱりきたな」とは思いました(笑)。セキュリティに関しては、従来からCTOと私の二人で対応していたところもあり、メドピアの各サービスにおけるセキュリティ面の開発ルール作成なども私が担当していました。なので、この体制になる前後で、私の仕事はそこまで大きく変わらないんですよ。
それもあって、新体制になってテックリーダーの柱の中に「セキュリティ」が加わるなら、声がかかるかもしれないと予想はしていました。
セキュリティ教育強化の先に、全社の意識レベル向上を目指す
――セキュリティ関連で今後取り組みたい課題があれば教えてください。
侘美:エンジニアへの研修など、教育面は強化していきたいと思っています。
これまでも模索しながら色々とトライしてきましたが、テックリーダーに就任したことで、セキュリティ分野の研修や教育が明確に私の役割になったので、体系化した取り組みにしていきたいですね。
たとえば勉強会のスケジュールも改善しようと思っています。これまでも私主導で実施してきたために不定期開催になってしまっていました。そのため参加できるメンバーに偏りができてしまうこともありましたので、今後は誰もが参加できるように学びの機会を提供していきたいですね。
平川:セキュリティの研修や教育に関しては、社内で取り扱えない専門的な知識やスキルを習得するために、社外での学びの活用を検討するのも良いと考えています。 対象者のキャリアによって内容も変わってくると思いますし。
侘美:外部もうまく活用したいですね。あとは、アプリケーションの仕様に関わるような「経験から学ぶこと」をどう若手に伝えていくかは悩ましいなと感じています。
平川:たしかにそうですね。その手前の、セキュリティ周りのトレンドをキャッチアップする方法や問題発生時の解決策を各チームに浸透させていく必要性も今後高まりそうです。
――外部の教育サービスも検討されているんですね。侘美さんは社内の勉強会も開催していますが、勉強会で達成したい目標などはあるんでしょうか?
侘美:そうですね。私もメンバー向けにAWSやセキュリティ関連の勉強会を開催したり、セキュリティインシデントゲームデーを実施したりしてきました。
最初にゲームデーを実施したのは2021年の初めごろ。その時は国内で実践している企業は少なく、まずはSREチームで挑戦してみたんです。結果、とても学びが多かったので継続して開催しています。
目標は「組織として継続的にセキュリティ教育が実施される環境を作ること」です。これまではセキュリティ関連の勉強会は私の気まぐれで頻度と内容が決まっていましたが、ゆくゆくは開発者のジョブグレードに合わせて適切な教育が確実に行われる体制を目指したいです。
――教育に力を入れる背景には「セキュリティレベルの向上」も意識されているのでしょうか?
侘美:そうですね。SREのテックイシューのひとつにもありますが、「セキュリティレベルの向上」は非常に意識をしています。
平川:各サービスは、脆弱性の診断などセキュリティチェックを行ってからリリースする流れが多いんです。リリース直前で「セキュリティの担保ができない品質」と判明して、本来の予定からリリースが遅れることは避けるべき事態だと思っています。
メンバーにしっかりセキュリティの知識をつけることで、そういった問題を未然に防げるようにしたいですね。
▲SREのテックイシュー
メドピアエンジニアのバランス感覚の良さを支えていきたい
――新たなエンジニア組織のスタートともいえる新体制ですが、メドピアの組織にはどのような特徴がありますか?
侘美:事業と技術のバランス感覚に優れたエンジニアが多いと思います。
良いサービスを提供するためには、技術に寄り過ぎても、事業を優先し過ぎても良くないんです。事業を見越したスケジューリングと正しい技術へのこだわり。この2つを両立させることは非常に難しいのですが、絶妙なバランスを考えて動いているメンバーが多いなと感じます。
平川:そうですね。優れたバランス感覚を持つエンジニアも多いですし、事業部サイドのメンバーも技術やセキュリティについて検討すべき部分を理解してくれているとも思います。それはすごくありがたいことですよね。
――最後に、お二人が今後どのような連携をしていこうと考えられているか教えてください。
平川:この新体制が本領を発揮するのは、新しい課題が表出した時だと思っています。
問題発生時、メドピアはどのような体制・スケジュールで各プロダクトを導いていくのかといった会話を侘美さんと一緒にしていきたいですね。
侘美:そうですね。まずは、セキュリティ担保の仕組みをしっかり作る。それらのルールやレビューが時間や工数のかかるものにならない、かつ安全性の高い技術を取り込んでいきたいです。新たなサービスや技術も出てきていますから、そのあたりも優先して検証していきたいと思います。
平川:この分野も、新しい技術の投入には攻めていきたいですね!
「セキュリティレベルの向上には教育が重要」と話す侘美さん。今後のご活躍とVPoE平川さんとの連携に期待が高まります!
記事一覧
メドピアグループでは一緒に働くエンジニアの仲間を募集しています。
