目次
こんにちは!あるバイの中の人です!
ECサイトの裏側では、日々さまざまなセキュリティ対策が行われています。
特に楽天のような大規模サイトでは、サイバー攻撃への備えは業務の中核ともいえる重要事項。
そんな現場で実際に起こった“データベース全消去”という冷や汗モノのトラブルや、それをどう乗り越えたのかという経験談は、セキュリティに関心のある方にとって非常に参考になるはずです。
今回は東京都品川区、品川シーサイド駅から徒歩1分の楽天オークションで働いていた方にお話しを伺い、実際に仕事をされて苦労された点や面白いエピソードなどもお聞きしました。
なお、こちらの企業は現在は存在していないため、他のセキュリティエンジニアの参考になれば幸いです!
Q
A.仲のよいエージェントさんから楽天でオークションの開発要員を募集していて楽天側のオークションの部長さんが是非面談したいと言っているという話があり面談を受けて応募してみることにしました。
オークンションの前は楽天トラベルで実績をそこそこ残しておりトラベル側の開発リーダーがオークションの部長さんに面談前に私のことをお話していたようです。
開発スタイルはアジャイル形式で楽天トラベルと全く同じ手法をとっており部署は違いますが、仕事の進め方は一緒なので他の会社で一から仕事をするよりは勝手がわかっているということで私のほうとしても仕事がしやすいと感じていました。
Q
A.楽天オークションでセキュリティエンジニアとして応募する前に楽天トラベルで1年程度就業して働いていました。
楽天は今でもそうですが、当時はセキュリティーに関してはとても厳しい会社でセキュリティーに関する教育は外部から講師を呼んで教育を受けさせ、それに対する試験もあり一定以上の点数を取らないと業務を継続できないような環境でした。
この会社でのセキュリティー教育のおかげでセキュリティーに関する基本的な知識の習得ができ、それを楽天オークションでも活かせるのはないかと思い応募しました。
また楽天オークションの部長さんが直々にあって面談してみたいと声をかけてくれたのも何かお役に立てることがあるのではないかと思い応募してみました。
Q
A.セキュリティエンジニアとしてECサイトのセキュリティーを守る仕事なのでどの程度セキュリティーについて知っているかや重要性について面接官からいくつか質問を受けました。
Q
A.楽天でセキュリティエンジニアとして就業できたことは今でも開発するときにセキュリティーについて考えながら設計や製造をしているので良かったともいます。
特にECサイトは不特定多数の人が利用するので悪意のある第3者などが攻撃をしかけてきてシステムが止まってしまうと多大な損害になってしまいますので、そういった大きなサイトで仕事ができたことは本当に良かったと思っています。
また、楽天では外部から講師を呼んでセキュリティーの教育を無償で行ってくれていたので最初はあまり興味を持てませんでした。
しかし、勉強していくうちにシステムを守るということはとても大切なことでシステムの番人なんだなと痛感しました。
自分が担当したところも離任時には問題がなくありがとうと言ってもらえたことがうれしかったです。
Q
A.楽天でセキュリティエンジニアとして1年程度ではありますが仕事の内容自体はある程度知っているものでしたので残業がきついとか仕事の内容がレベルが高くてよくわからないというものではありませんでした。
唯一失敗してしまったことはSQLインジェクションの対策でプログラムを修正してテストを行っているときにテストの内容に問題がありテーブルのデータをすべて消してしまったことです。
テストをする前にデータは事前にバックアップを取っていたので復活させることができましたがテストケースをよく考えて作成しないとこのようなことが起きてしまうということはよく肝に銘じるようになりました。
データベースはOracleを使用していましたが、一緒に仕事をしている社員の方がお休みしているときで何も報告せずにデータを復活させたというハラハラした思いがいまだに心の中に残っています。
反省としてはバックアップをテスト前に取っていたのはいいのですがテストする内容がデータベースの内容をすべて消してしまうのは浅はかだったなーといまだに思っています。
せめてですがあるテーブルのデータをすべて消すとかテスト内容であれば被害は最小限にできたと思います。
Q
A.楽天オークションで保有しているJavaの開発ソース全般に対してサニタイジング対策とSQLインジェクション対策が行われているかどうかすべてのソースに対してまずは調査を行い、まとめた結果を正社員の方に報告を行いました。
その結果に対してどういった修正や対策を行うかをしっかり決めて、まずは1本ずつですがプログラムの修正を行い、セキュリティー攻撃を仕掛けた時に意図しない挙動をしないことをしっかりテストし、エビデンスとして残しそれを社員の方に報告し、以降はその修正方法で一律ですがセキュリティー対策を行っていないところに対して修正を行っていくという横展開の方法で仕事を行っていきました。
特にSQLインジェクションは攻撃を仕掛けられたときにデータベースの内容をすべて消してしまったりすることもできるので、プログラムの修正やテストに関してはだいぶ慎重に作業を行い、漏れがないように対応していた記憶が今でも残っています。
Q
A.セキュリティーエンジニアとしてSQLインジェクションのテストケースに問題がありデータベースの内容をすべて消してしまうようなテストケースを作成したため開発環境のデータやテーブルをすべて消してしまったことがあります。
幸いですが本番環境ではなかったので大騒ぎになることはありませんでしたが今考えると本番環境のデータベースをもしかしたらすべて消してしまっていたかもしれないと思うととてもぞっとしてしまいます。
またなんの報告もせずにすべてのデータやテーブルを気づかれないうちに自分で戻してしまい、しれっとしていましたが内心では首になるのではないかとびくびくしていました。
今となってはいい思い出ではありますが特にデータベースを扱うときは気を付けていく必要があります。
都道府県からアルバイトを探す(東日本)
Q
A.セキュリティエンジニアのお仕事ですが、楽天トラベルでもサニタイジングやSQLインジェクションのセキュリティー対策の対応は同様のことをやっていたので、教えてもらうということは特にありませんでした。
ただ楽天ではセキュリティーに対する教育を外部の講師を呼んで行っていたので、その時にもサニタイジングやSQLインジェクションに関しては教育の一環として勉強することができました。
独学でも自宅のPCにセキュリティー対策が勉強できるようにデータベースを入れたり、簡易的なWEBページを用意してセキュリティー攻撃を自分でも行ったりしていました。
セキュリティーに関してはそういった意味ではかなり詳しくなっていたので社員の方に教えてもらうとか困ったということはありませんでした。
Q
A.楽天オークションですが20代を中心とした仲間が多く雰囲気としては熱心な若者が多いなという感じでした。
仕事の時はみな黙々と作業していますが飲み会となるとそれなりに盛り上がっておりました。
楽天の若手の社員の方と二人で作業を進めていましたが、かなり優秀な方で闊達に意見の出し合いができ、業後は飲みに行ったりする関係も築けたので今でもいい思い出になっています。
チームの人数はオークションで当時ですが20名程度だったと記憶しています。
男女比は20名中ですが女子は3人程度でした。外国の方はインドの方が3名ほどおりました。
楽天は中国人やインド人も当時は積極的に採用していたので多国籍な会社だなーという印象がありました。
Q
A.シフトに関しては特にありませんでしたが、リリースの時は夜勤勤務になりリリース後に修正した箇所が問題ないかどうか実機を使って確認するという作業が1か月に1回程度ではありますがありました。
そこで問題があればプログラムの修正を行ったりしてリリースが問題なくできるように対応していました。
夜勤をした当日に関しては1日代休という形でお休みとなります。
基本的には1週間ですが月曜日から金曜日までの就業となり1日8時間といった感じで普段はすごしていました。
他のチームの方々もそういった形で作業しており比較的落ち着いた現場だったと記憶しています。
Q
A.残業も少なく週5勤務で仕事の量も適量でした。
Q
A.服装はビジネスカジュアルで髪形は規定はありませんでした。
Q
A.朝食と昼食が無料で食べることができました。
Q
A.セキュリティーに関してある程度の知識をつけることはできると思いますが、高校生がセキュリティエンジニアとしてバイトするのは責任がおもいしごとなので厳しいと思います。
社会人になってからでも遅くないと思います。
Q
A.大学生がセキュリティエンジニアとして向いているかどうかですが、知識や経験があるだけでは業務に就くことは難しいと思います。
セキュリティエンジニアは企業のECサイトやWEBサイトをシステム上守るという責任のあるお仕事でそれなりのキャリアや経験を積んできた社会人の方が向いていると考えます。
特に販売サイトなどのお金がかかわってくるサイトではシステムダウンや障害が発生してしまうと企業側に多大な損害を与えてしまう可能性もあるので、そういった意味では責任感もとても必要となってきます。
メインのセキュリティーエンジニアがおりその下でサポートやお手伝いをするという程度であれば勉強のためにチャンスをもらえる機会があればば就業することも可能ではないでしょうか?
いずれにしてもメインでサーバーサイドエンジニアとして働くことはそういった意味で大学生には向いていないと思います。
Q
A.セキュリティエンジニアとしてバイトや就業を考えている人は企業や企業が保有するECサイトの運営を守るという意味ではとてもやりがいのある仕事だと思います。
セキュリティエンジニアといってもインフラ側のセキュリティーもあればサイト側やサーバーサイド側のセキュリティーもありますので幅広く勉強して対応していくことが求められた職種ではあると思います。
特に大きなECサイトを扱う場合やお金が絡むサイトの場合はセキュリティー攻撃によってシステムがダウンしてしまうと多額の損害が発生してしまい企業の業績や信頼の失墜にもつながってしまいますので社会的責任は重大であります。
こういったことを考えると責任感があり企業のシステムを守るんだという気持ちがある人が向いていると思います。
都道府県からアルバイトを探す(西日本)
平均年齢
20代
10代
50代
男女比
男性がほとんど
女性
男性
仕事の環境
みんなで協力
一人で
みんなで
雰囲気
わいわい
落ち着いている
わいわい
個性と協調性
協調性重視
個性重視
協調性重視
働き方
デスクワークが多い
テレワーク
立ち仕事
対話
多め
少なめ
多め
接客
接客はない
少ない
多い
力仕事
力仕事ほぼない
少ない
多い
経験
経験者が多い
未経験者が多い
経験者が多い
業務外の交流
業務外交流はやや多い
少ない
多い
都道府県からアルバイトを探す(東日本)
今回お話を伺って強く印象に残ったのは、「セキュリティエンジニアとしての責任の重さ」と、それを真正面から受け止めて仕事に臨んでいた姿勢です。
とくに、SQLインジェクション対策のテストで思わぬミスからデータベースを全消去してしまったエピソードは、開発の現場でどれだけ慎重さが求められるかを如実に物語っています。
それでも、事前のバックアップを徹底していたことで事なきを得た判断力や、反省を糧に知識とスキルを深めていく姿勢には、プロフェッショナルとしての強さを感じました。
今回は東京都品川区、品川シーサイド駅から徒歩1分の楽天オークションで働いていた方のインタビューをご紹介しました!
この記事をシェア
他のサイトは
掲載費用が高い
掲載しても
応募が無い
お店が忙しいので
採用の手間を減らしたい
長く続けてくれる人を
採用したい
欠員が出たので
スピーディーに
人員を補充したい
他のサイトは掲載費用が高い
掲載しても応募が無い
お店が忙しいので採用の手間を減らしたい
長く続けてくれる人を採用したい
欠員が出たので
スピーディーに人員を補充したい
アルバイト採用のお悩み、
Point 1
半年以上無料で掲載可能!
採用コストの負担を最大限減らします!
Point 2
わかりやすい管理画面でいつでも自由に求人記事を作成!
Point 3
お店の特徴や雰囲気・スタッフの人柄など、お店の魅力を多方面からアピール!
Point 4
独自のチャット機能でスムーズなコミュニケーションが可能!
お申し込み後は
すぐにご利用いただけます!
かかりません。 安心してご利用いただけます。
正社員募集もできますか?
雇用形態に関わらず、募集が可能です。
今、あるバイで求人掲載を
お申し込みいただくと
半年以上無料でご利用いただけます!
※無料期間の終了日は未定のため、 6か月に限りません。
あるバイで
バイトを探してみよう!
人気の条件から探す
都道府県を選択
条件を選択
スピード掲載可能!