ひと口にマネジメントといえど、そのスタイルは様々。
チームメンバーや部下、組織や技術、やり方も多彩にあります。このシリーズでは、”エンジニア”のマネジメントを担うメンバーに焦点を絞り、「エンジニアマネジメントってどうしてる?」と悩みや独自のやり方などを赤裸々に語ってもらい、メンバーの多種多様な”マネジメント観”を中心に、そのノウハウをお届けしていきます。
第一回目は、各プロダクト・サービスから社内のシステム、従業員の端末などあらゆる“セキュリティ”を担うセキュリティ室 室長の亀山に話を聞いてみました。
亀山 直生(かめやま なおき)
2015年に中途入社。AWSのセキュリティ監視や脆弱性診断というアプリのセキュリティ検査の業務、社内システムや社員を狙った攻撃への対策を担い、2021年1月に現セキュリティ室の室長・マネージャーに就任。ルールでガチガチに縛り付けるような対策より、必要な所に必要なケアを施せるような対策を、そして、なるべく新しい価値の創造を妨げないような対策を実施推進していきたい。
──セキュリティ室は、どのような業務があるのでしょうか。
大まかにいうと監視やリスク分析、その後の対策例示などの支援が中心になります。例えば事業部向けの支援だと、アプリケーションの脆弱性診断がありますが、ガチャが無限にできたり、ほかの利用者の決済情報にアクセスしたりされたりしてしまうような不具合を発見します。また、サービスのインフラのAWSやGCPのセキュリティ監視も行っています。これは、攻撃やセキュリティに問題のある設定を日常的に監視して発見時にお知らせする業務ですね。
社内システム向けの支援だと、PCや社内ネットワークへの攻撃の監視や従業員のフィッシング被害を防止するセキュリティツールの導入推進などもお手伝いさせて頂いています。それと、mixirt(mixiのCSIRT部門)の事務局などです。
──亀山さんは、セキュリティ室のマネジメントも担当されていますよね。
セキュリティ室は、当初僕1人でしたが、2年半前にグループとして編成され、メンバーを採用するようになりました。なので、マネジメント歴としては、2年半ですね。現在は、僕を含めて5名が所属しています。
──セキュリティというと求められるスキルが多岐にわたる印象を持っていますが、メンバー構成はどのようになっていますか。
それぞれ専門領域もレベルも違います。セキュリティ室では、インフラの知識が必要な場面もあれば、セキュリティ診断ができる技術が必要な場合もあり、エンジニアもいれば、そうでない人もいます。“セキュリティ”とひと言でいっても範囲は広いので、その全てを1人でできる人はなかなかいません…。なので、メンバーの採用にも少し苦労しました。
──苦労?
ええ。まずは、僕一人の状態から、脆弱性診断とAndroidアプリ開発が出来るメンバーをリファラルで見つけて、二人体制に。そこからメンバーを増やしていったのですが、自分が欲しているスキルや方向性を持っている人はなかなか見つからなくて…。
──それはどうやって解決したのでしょうか?
試行錯誤の末にたどり着いたのは、業務の中でメンバーの能力を伸ばすことです。50%のリソースで経験がある分野の仕事をしながら、残りの50%のリソースで未経験の分野の仕事に挑戦してもらい、スキルの幅を広げてもらう方式です。そうすることで新しい価値が生まれたり、自分が新しい取り組みに時間を割いたり出来るようになってきました。
──大胆な施策ですね。
BtoCのセキュリティ業務ではBtoBと違い、1つの同じ手順の仕事をひたすらこなすというより、セキュリティに関わる仕事を広く扱っていく必要があります。また、属人性が高いとリスクに繋がります。例えば、セキュリティ対応が必要になった場合にその担当が休みだと、すぐに対応するのは難しくなってしまいますよね。そのため、チームメンバーにはある程度幅広く見られるようになってほしいので、このやり方に行き着きました。前職で脆弱性診断を経験されていた方には脆弱性診断は任せて、クラウドのインフラ関連の仕事や社内システムのセキュリティの支援に取り組んでもらうなど、少しずつ幅を広げてもらうかたちですね。
──完璧な人材を待つのではなく、育てるということですね。
そうですね。半分からでも仕事を任せられれば、僕は何か新しい仕事に手を広げられますし、チームメンバー同士の業務の内容がより明快に想像できるようになります。
ところが、新しい領域への挑戦は、本人にとってはハードルが高く、途中でモチベーションが下がってしまうことも…。あまりにも取り組んだことのない領域だとなかなか思うようにいかず、無力感に苛まれてしまうこともあるんです。
──確かに。モチベーションを保つのも難しそうですね。
そのため、本人に任せきりにするのではなく、本人が関心のある業務から任せてみたり、本来お願いしている業務量を調整したり、マネージャーのサポートもある程度必要かもしれません。一度は嫌になってしまったテーマの仕事でも、一旦距離をおいてからもう一度依頼してみると、意欲的に取り組んでもらえることもあるかなと思います。
──いかにフォローするかってことですね。メンバーを教育するうえで、何か大切にしていることはありますか。
「リスクを正しく説明すること」は、グループの時から方針として話しています。他部署に業務を依頼するのに納得感がある説明ができる必要もありますし、何よりも、情報を扱っている当人にリスクを理解してもらい、必要だと思って貰ったうえで対策に取り組んでいくことが一番重要だと思っています。
──マネジメントの立場での今後のチャレンジは?
メンバーが新しいことに挑戦するための環境づくりです。「新しいことをやりたいです」と言える人はたくさんいるのですが、つい自分ができることに止まってしまい、なかなか実行に移せないことも多いのだろうなと感じています。
──実行に移るのは勇気がいりますよね。
そうなんですよ。いちから自分で提案して取り組むのって結構大変なことだと思うので、ある程度サポートしてあげるかたちで促せるのが理想ですね。例えば、目標やゴールは私の方で組み立てて、新しいテーマのタスクを振るなど。自発的に挑戦してもらうことも重要なのですが、やはり失敗を恐れて尻込みしてしまいますよね。そこに僕が入ることで、すこし失敗への恐れを和らげてあげることができればいいな、と。
──安心感のある環境作りということですね。
はい。失敗を経験した人の方が成長は早いですし、安心感のある環境でこそ力が発揮できると思うので。マネジメントにおける僕の直近の課題は、失敗できる仕組み作りです。
亀山さんにマネジメントについて聞いてみたら、こんなポイントがありました。
「チームに必要なスキルは、採用で賄うのではなく、メンバーを育てて充足させる」
エンジニアもいれば、非エンジニアもいる“セキュリティ”を担う特殊なグループだからこそ、求めるスキルがある人を採用してようとしていても、見つかるまでに時間がかかる。そのため、メンバーの得意なことは得意なまま活かしてもらいながら、求める業務や分野にチャレンジしてもらいつつスキルを磨く。これが、“50%ルール”でした。
それを繰り返すことで、個人にできることが広がり、チームとしてもお互いの業務の解像度もあがる。そして、それはチーム全体の連携や対応力の向上にも繋がります。
どのメンバーがどう成長したがっているか。その成長に対してマネージャーとしてどうサポートするのが最適なのか。亀山のマネジメントスタイルは、チームとしてのスキル向上に意識が向いたものでした。
このシリーズでは、引き続き、ミクシィグループ内の”エンジニアのマネジメント”の実態やノウハウを紹介してまいります。