「ブラックボックス診断の場合も、ソースコードを読む機会がある」ということが大きなメリットになると考えています。
ソースコードが参照できないブラックボックス診断の場合は、定型的なペイロードしか投げなくなってしまうなど、作業内容が定型化してしまいがちです。そのため、技術的なチャレンジをするのが難しく、なかなか成長の機会が得られにくいという課題がありました。一方、ソースコードを読んで診断する機会があると、様々な技術スタックに触れる機会が増え、新たな技術のキャッチアップがしやすくなってきます。
Flatt Securityには日常的に業務の中でソースコードを読む機会があり、エンジニアとして成長しやすい環境があります。業務を通じて学んだ技術的知識は、今後の自分のキャリアにも確実にプラスになるのではないかと感じています。(セキュリティエンジニア 山川)
弊社は小規模なセキュリティベンダーですが、だからこそ**「目の前の課題を吸い上げて、事業に反映させる」という動きをやりやすい環境**だと感じています。セキュリティ診断も案件の性質やお客様の要望に応じた形で柔軟に実施しており、上下関係も厳しくないフラットな組織です。そのため、見つけた様々な課題に対して、解決のためのアクションを考え実行するというサイクルを、必要最小限の労力で回していくことが可能です。
診断手法が定型化されている組織や階層化された組織の場合、ここまで迅速にアクションを取るのは難しいのではないかと思います。見つけた課題をどう解決するかということについても、日々活発に社内で議論が行われています。(セキュリティエンジニア 梅内)
「事業会社とセキュリティベンダーのどちらでプロダクトセキュリティをやるのか」は就職活動でよくある悩みの1つだと思います。
事業会社でセキュリティを担当する場合、自社プロダクトに関するありとあらゆるセキュリティを見ていくことになります。設計段階のセキュリティレビューから、実装段階の修正までを行うので、狭く深く関わるような形です。
一方、セキュリティベンダーでは、様々なお客様からの依頼を受けて多様なサービス・プロダクトのセキュリティを見ているため、幅広いセキュリティ知識が身につくのが特徴です。(セキュリティエンジニア 梅内)