連載最終回となる今回は、ホワイトハットハッカーのキャリアについてお話します。筆者の場合は、プログラム開発→社内IT→プリセールス→テクニカルアカウントマネージャ(TAM)→セキュリティエンジニア(セキュリティアナリスト)→現職というパスを経てきています。

社内IT時代は大規模感染系ウイルスが流行しており、その対応に追われていました。その中、検知したマルウエアの動作を(あくまでも趣味の範囲で)分析していました。

また、TAM時代にはセキュリティインシデント対応や各種資格を取得するなど、多くの経験と知識を得ることができました。なお、セキュリティ系のエンジニアというと当然理系の出身と思うかもしれませんが、どちらかと言えば筆者は文系の人間でした。

キャリアパス

ホワイトハットハッカーは、民間企業または政府のキャリアパスに進む可能性があります。政府系の例の1つとして、警視庁ではサイバー犯罪を専門的に捜査する「特別捜査官」を採用しています。

私の元同僚も現在、特別捜査官としてサイバー犯罪に立ち向かっています。防衛省は「サイバー自衛官」を年収2300万円で募集すると話題にもなりました。現在、サイバー防衛に携わる人材はわずか数百人程度と言われており、北朝鮮、ロシア、中国に比べて絶望的な少なさです。こうした状況を鑑みると、今後の需要の増加が見込まれます。

民間企業でキャリアを始めるにはセキュリティベンダーやセキュリティ製品を取り扱う商社またはセキュリティコンサルティングサービスを提供している企業などが第一候補に上がると思われます。晴れてセキュリティ関連業界で働けることは幸せです。

一方、セキュリティ業界や職種に就職できなかった場合、仕事としてホワイトハットハッカーになるのを諦めなければならないのでしょうか?そんなことはありませんので、ご安心ください。

筆者の周りにはプログラム開発やネットワークインフラ構築など、セキュリティとは直接関係のない仕事からスタートしてセキュリティの分野に転向してきた人が大多数です。プログラム開発やネットワーク構築や運用などの経験と知識はセキュリティ業界に移ってきても、例外なく役に立っていると感じています。したがって、キャリアのスタートがセキュリティに特化した企業や職種でなくても気にすることはありません。

また、すでにIT業界で働いていて、ホワイトハットハッカーになりたいのであれば、第一に現在の業務についての専門性を極めることが大事ですし、私はそれを強く推奨します。並行してハッカーの考え方やツールやテクニックを学ぶことです。さらに言えば、IT業界以外からでも本人の努力次第でホワイトハットハッカーになれると考えます。

報酬について

ホワイトハットハッカーのニーズはますます増えて行くと予想されており、先日米グーグルが優秀なハッカーに1億6000万円超を用意するというニュースが大きな衝撃を与えました。実力のある人なら個人でも十分に食べていけるでしょう。

例えば、当社においてもセキュリティ対策のソフトウェアにも修正を必要とする問題がある場合があり、このため4年前、当社の製品の脆弱性を発見するため、セキュリティの研究者を招聘しました。そしてその成果は、我々の顧客や、脆弱性を発見し報告するバグハンターたちに効果をもたらしています。エフセキュアの脆弱性報酬発見(バグバウンティ)プログラムでは、100件を超える脆弱性について報告者に報奨金が支払われました。

一方、企業・団体がホワイトハットハッカーを採用するメリットも多くあり、以下に示します。

  • サイバー攻撃対策
    あるCSO(Chief Security Officer)は「ハッカーを雇う理由は『泥棒を捕まえるには泥棒が必要』という考えに基づいている」とコメントしました。また、ハッキングで刑務所に5年間服役したケビン・ミトニックなどの元ブラックハットハッカーたちは、合法的なサイバーセキュリティコンサルティング会社を設立しました。サイバー攻撃が高度化している現在において、守る側の組織にもブラックハットハッカーと同等かそれ以上のスキルを有した人材が不可欠です。セキュリティ製品・ソリューションは導入したら終わりではなく、それがスタートであることを忘れてはいけません。いくら高価な製品を導入しても、使いこなせなければ猫に小判です。

  • 最新のセキュリティシステムの評価と助言
    さまざまなセキュリティ関連製品が存在しますが本当に必要な対策を見定めるためには採用する側にも十分な知識が備わっていないとせっかくの投資が無駄になりかねません。組織に雇われたホワイトハットハッカーは自組織の弱点を理解し最適なソリューションを導入するためのアドバイスをします。

  • レッドチーム演習とトレーニング
    コンピュータセキュリティインシデントレスポンスチーム (CSIRT) の体制を構築しても、それで終わりではありません。CSIRTは、潜在的なサイバーセキュリティ関連の緊急事態の予防、管理、調整を取り巻くサービスとサポートを組織に提供する専門家のグループあり、セキュリティインシデントに対応して被害を最小限に抑えることが目標です。

そして、被害の復旧、セキュリティインシデントの再発防止も彼らの役目です。年々進化する脅威に対抗するためには組織も進化しなければなりません。ホワイトハットハッカーは自組織を成長させるためにレッドチーム演習やセキュリティ関連トレーニングを実施します。

本連載ではハッカーの種類からスタートし、ホワイトハットハッカーの資格や試験の概要、そして実際に攻撃するための環境構築と当社コンサルタントによる脆弱性発見事例を紹介してきました。

この連載を読んでホワイトハットハッカーに興味を持ち、将来職業としてのホワイトハットハッカーを目指す人が1人でも多く増えれば光栄ですし、高い志で人々やビジネスを守りたいと考える方と一緒に働きたいと思っています。当社での勤務をご希望の方はこちらから人材登録を行うことが可能です。

6回にわたる連載にお付き合いいただき、ありがとうございました。立場は違っても、より安全な社会の実現のため、これからもともに戦っていきましょう!