『エンジニアストーリー by Qiita』は、「エンジニアを最高に幸せにする」というQiitaのミッションに基づき、エンジニアの皆さまに役立つヒントを発信していくPodcast番組(無料・登録不要)です。毎回、日本で活躍するエンジニアの方々をゲストに迎え、キャリアやモチベーションに関するお話をしていただきます。
今回の記事では、Webセキュリティの第一人者であり、「徳丸本」と呼ばれ広くWeb従事者に支持されている「体系的に学ぶ 安全なWebアプリケーションの作り方」の著者である徳丸浩さんをゲストにお迎えした回について、配信の模様をご紹介します。
▼徳丸さんの過去の配信を見てみる
1回目:「Webセキュリティの第一人者の素顔」
2回目:「Webセキュリティの面白さと本の執筆について」
今回のエピソードでは、セキュリティの面白さや興味をどのように持っていくと良いか、リテラシーを上げるためにはなどについてお話を伺いました。ぜひご覧ください!
目次
テーマ「アウトプットし続ける大切さ」
清野:ゲストはEGセキュアソリューションズ株式会社(以下、EGセキュアソリューションズ)取締役CTOの徳丸浩さんです。よろしくお願いします。今回、お送りするテーマは「アウトプットし続ける大切さ」です。前々回、本の執筆についてのお話を軽く伺いました。最初にその辺りを深掘りしていけると嬉しいです。
徳丸:分かりました。
清野:前々回のお話だと、徳丸本(徳丸さんの著書「体系的に学ぶ 安全なWebアプリケーションの作り方」のこと)を書くきっかけになったのはアウトプットだったとお話されていましたが、当時どういうアウトプットをしていらっしゃったんですか?
徳丸:当時は2007年とかだと思いますが、ブログですかね。あと実際に本を書く際は出版社からの依頼だったのですが、実は依頼いただく前、独立した2008年当初から本を書きたいなと思っていました。
清野:そうなんですね。
徳丸:ある出版社に企画を持ち込んだことがあるんです。でも「セキュリティの本は売れないから」と断られちゃいまして。ですがその会社がやっているWebメディアに寄稿しませんか?ということで、そこに寄稿していました。
清野:なるほど。その時に本を執筆したいと思ったのはなぜですか。
徳丸:当時は「Webのセキュリティはこうすれば良い」というのがまだ確立してなかった気がします。「それを自分が確立したい」という壮大な野望があって、その手段が本だったわけですね。
清野:本を出してみんなに読んでもらうことで、リテラシーを上げていきたいみたいな?
徳丸:リテラシーを上げるというより、正しいやり方はこれなんだという感じだったと思います。
清野:もう自分の本が辞書になるぐらいの感じ。
徳丸:そうですね。みたいな意味ですかね。
清野:そこから徳丸本っていう、本当に有名な本を出版されることになりますけれど、当初やりたかったことは今できている感じがしますか?
徳丸:当初やりたかったことでいうとできましたね。おかげさまで業界標準みたいな形になりましたので。ちょっと言葉を選ばないといけないですが、私が本を書く前にもWebセキュリティの本って結構あったんですよ。ですが私が本を書いた後は実は出てなくてですね。「もう徳丸本あるし良いか」みたいな感じになっちゃっているのかもしれませんね。
清野:本当にそうですよね。やっぱセキュリティ系の本を探そうかなと思っても、そもそもないみたいな。
徳丸:そうですね。まあ特定分野の本ならありますが、全体的に書いてるものはないと思います。
清野:ありがとうございます。徳丸本はどういう人におすすめですか?
徳丸:私の本はもともと開発者向けに書いたつもりなんです。ですから例えば表示機能にまつわる脆弱性みたいな章立てがしてあって、「この機能を作るときはこういうことに気をつけてね」という方針で書いています。ただ脆弱性診断とかをする人のバイブルみたいになっていて、それは正直意図してなかったんですけれど、それはそれでありがたいことだと思っています。
清野:徳丸本の価値が最大化されそうな使い方ってありますか?おすすめの使い方というか。
徳丸:大変分厚い本なので通読するのは結構しんどいと思います。特に4章がやたらと長いんですよ。各脆弱性の説明が4章に全て詰め込んであって、この章が長くて挫折すると思います。ですが諦めてしまってはもったいないので、読み始めるときはどこにどういうことが書いてあるかを見当をつけるぐらいで良いかと思います。
そして、例えばメール送信をすることになったら、メール送信にまつわる脆弱性についての説明があるのでそれを読むというような、辞書みたいな使い方も有効だと思いますね。
清野:確かにそうですね。一つひとつが濃くてかなりボリューミーなので。僕も都度都度「これどうだったっけ?」と見ていますね。
徳丸:まあそれがおすすめですね。中には通読2回しましたとかそういう人もおられますが。
清野:なるほど。ありがとうございます。
発信活動はいつからしているか?
清野:もともとブログとかを書いていたとお話しされましたが、ブログの発信はいつ頃からやられていたんですか?
徳丸:2006年の終わりぐらいから、当時のはてなダイアリー(現はてなブログ)でしていました。あとは自分のサイトでTダイアリーっていうソフトを使って書いてもいましたね。
清野:2006年だとちょうど独立する前ぐらいですね。そのころに発信活動を始めたきっかけとかってあるんですか?
徳丸:きっかけは特にないというか、私は割と思いつきで始めちゃうので、これといったきっかけはちょっと覚えてないですね。多分書きたいなという想いが高まったんだと思います。
清野:じゃあ当時は、本業をしながら夜とかに書いてたような感じなんですか?
徳丸:はい。そうですね。
清野:そしたらアウトプット歴で言うと、17、8年ぐらいになるんですね。
徳丸:そうですね。それぐらいになりますね。
アウトプットで意識していること
清野:17年間も続けている中で、アウトプットをする時に意識していることや工夫していることってあるんですか?
徳丸:特に明確に意識していることはないんですけども、やはりアウトプットする以上はちゃんと伝わらないといけないので、前提条件や話のロジックをちゃんと組み立てることですかね。
あとソフトウェアの話が多いので、必ずソフトウェアなどきちんと動かして検証しています。これは心がけていると言えると思います。実はサンプルの通りやっても動かないことって結構あるんですよ。私は、これはちょっと恥ずかしいことだなと思っていて、自分ではしないように気をつけています。
清野:じゃあ徳丸さんが出してらっしゃるコードとは、基本的にちゃんと動くものが多い?
徳丸:はい。まぁごく稀にですけれど「これは絶対大丈夫だろう」と思ってチェックしていなくて、そこにバグがあって、様々な人が見ているのですぐに指摘が入ったり、いわゆるまさかりが飛んできたりすることもあります。なので短いものでもチェックするようにしています。
清野:ありがとうございます。アウトプットを17年間続けているモチベーションって何なんですか?
徳丸:続けてる意識はなくて気が向いたらやっていますね。書きたくなければ書かない。
清野:どういうときに書きたいなって思うんですか?
徳丸:これはいろいろありますね。ネガティブな感情で書きたくなることもあります。例えば世の中で間違った方法が広く喧伝されていて「これはなんとかしなきゃいけない。世の中ではこう言ってるけど、こうじゃない?」みたいなのはきっかけとしてありますね。それと本を書きたいと思った動機の一つに「俺の意見を聞いて」みたいなところがあります。
私の本が出る前には、「SQLインジェクション対策」とかで検索すると様々な方法が出てきました。ある記事だと9種類ぐらいあって、できるだけたくさんやった方が良いみたいな。「そんな9種類もできるわけないだろ」みたいな状態だったので、やれば良いものを明確にしたいという意識が私の中にあったわけです。それを形にしたいというのがモチベーションですね。
清野:なるほど。正していきたいみたいな気持ちを持ってやってらっしゃるんですね。実際に読んだ方からの感想ってあるんですか?
徳丸:実はあまりないですね。間違ってるとまさかりが飛んできますが、ポジティブな感想はそんなにないですね。
清野:読まれているか読まれていないかは、あまり気にしていないみたいな感じなんですか?
徳丸:実は気にはしてます。はてなブックマーク数とかは結構見ていますが、おかしいな、この内容だったらもっとついて良いはずなのにみたいなことはあります。(笑)
Qiitaを使ってくれている理由
清野:アウトプット関連でぜひお伺いたいのが、Qiitaでも記事をアウトプットしてくださるじゃないですか。著名な方にお話をを伺うと、自分のブログで書いても反応もらえるし、プラットフォームじゃなくて自分でブログ立てて回す方も多い気がするんですけれど、徳丸さんがQiitaのようなプラットフォームを使っている理由ってあったりしますか?
徳丸:これは2つ理由があります。Qiitaは個人的なメモ帳として使っているんですよ。日常的に調べ事とかしていると調べたことはいつの間にか忘れちゃうし消え去るんですよね。それを取っておく一番良い方法はブログを書くことなんです。研究者なら論文を書けば良いんですけれど、研究者じゃないのでブログで良いと。
その手前の、後々使うかもしれないから個人的なメモでも覚えておきたいものに関しては、研究者だったら研究ノートという形でつけるらしくて。とある方の事件で、研究ノートがないじゃないかみたいになっているのを見て、そうか研究ノートだよねって思ったのですが、私はそれがどうも苦手で。じゃあ他者から見えないブログを書けば良いじゃないかってことで、Qiitaの限定公開機能を使って記事を書いているんです。
あとはQiitaの編集機能が使いやすくてすごく好きなので、どうせなら使いやすいところに書こうと。だから全ての条件を満たしているのがQiitaなんです。そして普段使わせていただいているので、たまには記事を書こうかということがまず1つ。
私は様々な方法でアウトプットをしていて、例えば個人ブログはGoogleのブロガーベースで、一応メインのアウトプットはそれにしています。YouTubeもやっています。そして動画を見る層とブログを読む層は違うと気付くわけですね。Qiitaについては、私の中ではこれはQiitaっぽいネタだよなっていうのがあって、そういうものはQiitaに書くようにしてます。なので内容で使い分けています。
清野:なんで様々なところで発信しているんだろうかとお伺いしたいと思っていました。
徳丸:YouTubeはコロナがきっかけでして。私役員なので毎日の作業としてやる仕事ってないんですよね。コロナでリモートワークが始まった頃、簡単に言うと暇だったので何かやることないかと思って「そうだYouTubeだ」と思いついてYouTubeを始めてみました。そしたら結構面白くなっちゃってですね。最初はどうやろうかなと思ってPowerPointの録音する機能で吹き込んで編集とかはせず、それを動画生成しておしまいでした。
それだとだんだん物足りなくなって。今は動画編集のソフトもフリーで非常に良いものがあるので、それを使っています。割と手間がかかってますね。有名人とかのYouTubeとか見るとスマホの前で喋って吹き込んで、編集も何もなしでおしまいみたいなものもあって、これは楽で良いなと思うんですけれど、そういうものはないですね。
清野:そうなんですね。今もYouTubeで発信されてますよね。
徳丸:たまにやってますね。
清野:コロナがだいぶ落ち着いてきた中でもYouTubeで発信することのモチベーションについてお伺いできますか?
徳丸:これはYouTubeネタとしてやるのが良いものは動画でやっている、というところですね。
清野:YouTubeでやると良いネタってどういうネタなんですか?
徳丸:実は、私は動画こそが一番良いと思ってるんですよ。ソフトウェアなどが動いている様子が映像で見れるじゃないですか。これが文章だと限界があるんです。ところが反応を見ると、1時間の動画を見ようと思ったら1時間かかっちゃうからと文章を好む人もいるわけですよ。
清野:そうですね。
徳丸:早回しとかありますけど、それでも10分の1にはならないです。5分で読める内容を1時間かけて見たくないっていう人は相当いて。先ほども話しましたけれど、動画を好む層と文章を好む層は分かれるんですね。動画も良いんだけどと思うのは私の勝手な感想であって、理想は両方でということだと思います。
清野:なるほど。動画で出すと情報量的に多くなりすぎちゃうやつは記事にするし、動画でサクッと見てもらえるものは動画にしている感じなんですかね。
徳丸:そうですね。昔の動画だと3、40分の動画も結構あったんですけど、最後までは見てもらえないことが分かったんで。本当は5分くらいが良いんですけれど、私5分では喋れなくて15分ぐらいですかね。ある動画は短縮編とフル版と両方作りました。
清野:そうなんですね。本当に手間をかけて作っていらっしゃるんですね。
徳丸:映画でも編集ってあるじゃないですか。尺が長いからと思い切って編集して短いバージョンが出来上がる。「上映の都合で短く切っちゃった」みたいな話を聞きますけれど、こういう風にやるんだと思いました。
なぜ今も無料で情報を発信し続けている?
清野:YouTubeとか作るのにすごいお時間がかかってる一方で、徳丸本とかを出せばたくさんの方に買ってもらえるじゃないですか。YouTubeだったら収益化もありますけれど、有料コンテンツではなく無料で出すことに対して、もったいないとか有料で出したいとかってないんですか?
徳丸:できることならお金もらえたら嬉しいですが、たくさんの人に見てもらいたい気持ちが強いですね。
清野:そうなんですね!見て知ってもらって、セキュリティのリテラシーを上げていく方のモチベーションが大きいみたいな感じですかね?
徳丸:そういうことなんです。俺の意見を聞けみたいな(笑)
清野:そこは主張なんですね(笑)
徳丸:徳丸さんって様々な啓発活動して偉いねって言われるんですが、実はそうでもないんです。いや、あるんでしょうけれど主要なモチベーションではなくて。聞いてほしいんです。こうやって特定のテーマでしゃべるのは大丈夫ですが、例えばパーティーとかで自己紹介して話しはじめるのはすごく苦手なんです。一方で意見は聞いてほしい。なのでこういう形の発表をしてるんじゃないかなと思いますね。あくまで一方通行で発信していくみたいな。一方通行じゃなくても良いですけど、たくさんの人に聞いてほしいのが大きいですね。
清野:なるほど、ありがとうございます。次に本を出すとしたら作ってみたいコンテンツってあるんですか?
徳丸:たまに聞かれて、考えてもいるんですが、徳丸本第2版っていうのが2018年に出まして、結構時間が経っているんですよね。ただ、書かれている内容が今間違ってるかというと、間違っていないんですよ。間違ってはいないけれどWebの作り方が変わってきたので、やはり今の内容に合わせて書いてあげた方がすっと身につくと思うんですね。なのでいずれやんなきゃなとは思ってはいて、今はネタを仕込み中です。出るかどうかのお約束はできませんけど。
清野:出たらぜひ読みたいですね。
徳丸:本に書く内容は、様々なところからネタを持ってきて集めたものではないんです。私の場合は徳丸の確固たる主張があって、それを書くわけです。ですがいきなり本にしてしまうと、もし間違っていた場合やより良い方法があった場合に、本だと取り返しがつかない。なので本に書く前にブログに書いたりQiitaに書いたり講演したりして、フィードバックをもらいながら「これなら良さそう」というところで、本に書きたいなと思いますね。今までもそうしていました。
清野:ありがとうございます。新しい本が出ること、今からすごく楽しみにしています。
徳丸:何年後かはちょっと分からないですけど。
清野:首を長くして待ってます。
死ぬまでやり続けたいこと
清野:徳丸さんはキャリアとしては20数年以上やってらっしゃいますよね。
徳丸:セキュリティはそうですね。
清野:いわゆる死ぬまでやりつづけたいことというか、キャリアで次にやりたいこととかってあったりするんですか?
徳丸:私の日常生活で何をしてるかというと、ずっと調べ事をしたりコードを書いたりしてるんですね。次の講演のネタとか。
講演のネタを指定される場合も稀にありますけど滅多になくて、徳丸さんが好きな内容でお願いしますと依頼されることが多いんです。それならば、ということで今まで温めたテーマを整理しなおして発表した後、例えばXとかを見て肯定的なのか否定的なのか、反応を見ている感じですね。
清野:それをこれからもどんどん続けていくっていう感じですね。
徳丸:そうですね。講演依頼はいつまであるか分かりませんけど、自分で調べて整理してQiitaなどで発表するのは、体が不自由にならない限りはやると思いますね。
清野:ありがとうございます。次の世代を育てていくみたいなことを考えますか?
徳丸:次の世代を育てるのは、実はあまり考えていないんです。ただ私も会社の役員なので社員を育成するのは重要な話で、特にCTOっていうのはそういう役割ですので当然考えてますね。
清野:セキュリティはこれからもなくなるものではないと思うので、次世代の徳丸さんみたいな方がいっぱい現れてくると良いなって思いますね。
徳丸:そうですね。次世代の方を育成する責務はないと思ってるんですけど、私の本で多くの方が勉強していただいてるのは大変嬉しいことだと思います。
清野:徳丸さん、3回にわたりありがとうございました。面白いお話をたくさん伺えて、僕としてもとても貴重な体験になりました。最後にお知らせなどあればお願いします。
徳丸:本などを大変多くの方に読んでいただき、ありがとうございます。弊社では私の本の内容を3時間にまとめたコンパクトな「Security Campus」というeラーニングをやっています。最低限これだけは知っておかなきゃいけない内容をeラーニングにしていますので、徳丸本を全部読むのは大変だという方は、ぜひ短縮版のそちらも併せてご検討いただければと思います。
清野:本日はありがとうございました。
徳丸:ありがとうございました
さいごに
「エンジニアストーリー by Qiita」は、近年高まるエンジニア向けPodcastのニーズに応え、エンジニアのキャリア形成に有益な情報を発信しています。興味のあるテーマを見つけて配信を聞いてみましょう!