経歴のスタート地点
田中誠さんがBtoB SaaS企業に入社したのは28歳のときだった。前職の業務系SIから移り、PHPとLaravelを軸にバックエンド開発を始めた。請求・課金・SSOといった「お金と認証に関わる」機能を任されることが多く、6年の間に決済代行APIとの連携、SAML/OIDCによる外部IdP連携、基幹APIの設計などをリードした。
機能設計には自信があった。仕様書からデータモデルを引き、テストを書き、リリースする一連の流れは身体に染み付いていた。セキュリティについても「最低限は分かっている」つもりだった。SQLインジェクション対策はORMが面倒を見てくれるし、CSRFはフレームワークが守ってくれる。それで充分だと、田中さん自身がそう信じ込んでいた。
最初のつまずき
最初の違和感は、外部のペネトレーションテストを受けたときだった。指摘事項のリストを開くと、見覚えのないカテゴリの脆弱性が並んでいた。SSRF、IDOR、レースコンディション、JWTのアルゴリズム混乱攻撃。どれも仕様としての正しさをすり抜けて成立する種類の問題で、田中さんが普段書いているテストでは検出できないものばかりだった。
対策としてバリデーションを追加し、認可チェックを増やした。けれど、それは「指摘されたから直す」対応であり、「なぜそれが起きるのか」を構造的に理解した上での修正ではなかった。同じ報告書が翌年来たら、また同じように驚くだろう——その自覚が、ずっと胸に残った。
転機となったインシデント
転機は突然訪れた。ある月曜の朝、CSチームから「お客様から不審なログイン通知が届いていると複数件問い合わせがある」と連絡が来た。調べると、リフレッシュトークンの取り扱いに穴があり、特定の条件下で他テナントのアクセストークンを取得できる経路が存在していた。幸い悪用される前に発見できたが、対応のために田中さんは丸2週間、開発を止めて社内外の説明と修正に追われた。
インシデントの後、CTOと1on1で「セキュリティを片手間で続けるのは限界だ」と切り出した。社内に専任のセキュリティエンジニアはおらず、田中さん自身がその役割を兼務する形で、セキュアバイデザインを軸にした設計レビュー体制を組み始めた。脅威モデリングの勉強会を月1回、設計フェーズでの脅威分析シートを必須化、認証・認可・暗号まわりの社内ガイドラインを整備。少しずつ、組織の中に「守る視点」が定着していった。
いま振り返る選書
田中さんが最初に通読したのは『体系的に学ぶ 安全なWebアプリケーションの作り方』だった。OWASP Top 10だけでは見えない国内SaaS特有の脆弱性パターンが整理されており、社内勉強会の教材としても使った。設計の思想を変えたのは『Secure by Design』で、不変条件・型・境界という発想がLaravelの世界にも持ち込めると気づいたとき、コードレビューの目線が変わった。
インフラ寄りでは、認証基盤を作り直すタイミングで『ゼロトラストネットワーク』を読み、社内ネットワークの暗黙の信頼を可視化した。コンテナ化を進めていた時期には『コンテナセキュリティ』が役に立ち、Dockerfileのベース選定とランタイム権限の設計指針を整えた。脆弱性の原理を腹落ちさせるためには『ハッキング・ラボのつくりかた』で攻撃側の手を動かしたのが大きく、抽象的だった「攻撃ベクトル」という言葉が手触りを持つようになった。
これから挑む人へ
田中さんはいま、開発出身のセキュリティエンジニアとして、設計レビューと社内教育の半々で働いている。バックエンドからセキュリティへの越境は、新しい技術を一から覚え直すというより、これまでの設計知識に「攻撃者視点」というレイヤーを足す作業に近かったと振り返る。
アプリケーションエンジニアがセキュリティに踏み込むとき、最初の一歩は自社サービスの脅威モデルを一枚の図にしてみることだ。完璧でなくていい、上司に見せなくてもいい。ユーザー、テナント、外部API、認証情報の流れを描くだけで、見えていなかった経路が浮かび上がる。そこに名前をつけられるようになった瞬間、設計の解像度は確実に変わる。
もう一つ田中さんが強調するのは、攻撃側の視点を借りる勇気だ。CTFやハンズオン環境で、自分の作ったものに似たアプリを実際に攻撃してみる経験は、千冊の本に勝る。守る側の論理だけで詰めていくと、どこかで防御の網に偏りが生まれる。攻める側の手癖を一度でも体に通しておけば、設計レビューで違和感を察知する筋力が身につく。田中さんは、開発出身者がセキュリティに踏み出すことの最大の意義は、設計レビューに「実装者の言葉」を持ち込めることだと考えている。攻撃の知識だけを持つ専門家ではなく、コードと運用の現実を理解した上で守りの設計を語れる人材は、これからのSaaS開発組織でますます価値を増していくはずだ。
