標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。

マイナビニュースでは、“セキュリティ三銃士”のソフトバンク・テクノロジーの辻 伸弘氏によるコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の”プロフェッショナル”なセキュリティ人材がまだまだ埋もれているとのこと。

そこで、辻氏に”サイドライト(側光)を当てるべき人物”と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。

第4回はセキュリティ技術を競う「CTF(Capture The Flag)」をベースに、女性セキュリティエンジニアのコミュニティ形成を目的とした「CTF for GIRLS」を立ち上げ、女性向けCTFワークショップやCTF大会の開催を行っている日本電信電話(NTT) セキュアプラットフォーム研究所の中島 明日香氏との対談です。

中島氏に女性限定のCTFをスタートした経緯や、取り組みによって自身にどのような変化が起きたのか、辻氏が尋ねました。

辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー


セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

小説のハッカーに憧れて勉強を開始

辻氏 : セキュリティ業界では「CTF for GIRLS」の主催者として、中島さんを知っている人も多いと思います。最初に話を伺いたいのは「セキュリティに取り組むきっかけ」。仕事を始めてから、ではなく学生時代からセキュリティについて関心を寄せていたんですよね?

中島氏 : そうです。学生時代に七瀬晶さんが書いた小説「Project SEVEN」を読みまして。女子高生ハッカーが主人公なんですが、「女子高生がサイバーテロリストによる世界征服を、パソコン1台で阻止する」というシナリオに感銘を受けたのが、興味を持つきっかけでした。

日本電信電話(NTT) セキュアプラットフォーム研究所の中島 明日香氏(左)とソフトバンク・テクノロジー 辻 伸弘氏(右)

パソコンはそれ以前から利用していましたが、正直「IPアドレスって何?」というレベルで(苦笑)。そこから独学で勉強を始め、IPAの資格試験を受けたりしていました。セキュリティを勉強することが志望の動機で、慶應義塾大学の環境情報学部に入りました。

辻氏 : 高校時代にIPAの資格試験を受けた頃の技術レベルはどれくらいでしたか?

中島氏 : 初級シスアド試験に合格していたくらいですね。もともと、ネットワークやセキュリティの隔月誌を読んでいたのですが、内容は面白かったものの、雑誌であるがゆえに書かれていることが枝葉の話が中心で、基礎や本質的な勉強には役立てることが難しい内容でした。「もっと基礎から学びたい」ということで、資格の勉強を始めました。

辻氏 : 独学で勉強されていた高校時代と大学入学後で、何か違いはありましたか?

中島氏 : 普通は大学1年、2年の頃に基礎を勉強し、3年生になってから研究室で勉強するんですが、入学4日目に武田 圭史教授の研究室へ自分で行って、勉強させてもらっていましたね。

辻氏 : 実際に技術を勉強してみると、きっかけとなった小説は「やっぱり小説だ」という認識になりませんでした? 憧れから勉強しても、「小説とは違う!」と勉強を止めてしまう人もいるかと思うんです。中島氏さんが、勉強を続けようと考えるようになったモチベーションはどんなところから湧いてきたのでしょうか?

中島氏 : 勉強することで、「あぁ、これはこう動いていたのか!」という理解に繋がりますよね。そうやって、わからなかったことがわかるようになるのが面白かったんです。もう1つ、”リアルハッカー”に会う機会もあって、「格好いいなぁ!」と思ったこともセキュリティを勉強続けるモチベーションになりました。

辻氏 : ハッカーに会ったのは「DEFCON(デフコン)」とか?

中島氏 : そうです。学生時代に参加する機会がありまして。

辻氏 : いいなぁ、すごく恵まれた環境で勉強してきたんですね。

中島氏 : そう思います(笑)。

理系女子が少ない理由は「子供の時の遊び」?

辻氏 : 大学を卒業して、NTTを選んだ理由は?

中島氏 : 研究職として仕事をするのが良いのではないかと考えて選んだのが、NTTの研究所でした。今年で4年目になりますが、ずっと技術に関わり続けたい、自分の技術をさらに深めていきたいと考えていたんです。学生時代から技術者のイベント、コミュニティに参加しており、就職後も同じように個人活動を続けたいという希望もありましたね。

辻氏 : 確かにNTTは、そうした研究に打ち込める環境が整っている印象を受けます。現在はどんな業務を担当しているんですか?

中島氏 : 「コードクローンの脆弱性」と呼ばれるソフトウェアの脆弱性なんですが、脆弱性が含まれるソースコードが、ほかのソフトウェア内にコピーされることで、新たに脆弱性が生まれることがあるんです。この脆弱性を発見する技術の、研究開発を行っています。

この技術は、カーネギーメロン大学の研究で有名になったんですが、同大学の研究はソースコードレベルを対象としているのに対して、私のところではバイナリーベースで脆弱性を発見しています。これは、類似文字列検索アルゴリズムを用いて、コピー元の脆弱性からコピー先の脆弱性を発見するというアプローチです。

辻氏 : 入社して4年目で、そうした研究で本業もかなり忙しい中、CTF for GIRLSを始めようと思ったのは何故ですか?

中島氏 : ずっとセキュリティを勉強してきて、セキュリティに取り組む女性が少ないと感じてきました。最初は「技術に男女は関係ないから、個人のやる気の問題なのかな?」くらいに思っていたのですが、

「セキュリティを勉強したいけど、どうやればいいのかわからない。気軽に聞ける人がいない」「勉強会には興味があるけど、男性ばかりの中で、女性の自分が行くと目立って居心地が悪い」など、勉強会への参加に躊躇する女性エンジニアが多いことに気付いたんです。

辻氏 : 自分も女性の活躍の場を広げるためのアプローチを考えることがあるんですが、方法は2つあると思うんです。一つは、すでにセキュリティ担当となっている少数の人を結びつけてコミュニティを作る。もう一つは女性セキュリティエンジニアのパイを増やすために活動するという方法です。中島さんは母数を増やそうと考えたわけですね。

中島氏 : 本来は、理系を選択する女性のパイを増やす取り組みから始めるべきだと思うのですが、まだそこまで出来ていません。例えば私の大学の例で言えば、女性の割合は決して少なくありません。ただ、Webデザインといった技術以外の勉強に取り組む人が多かったです。

辻氏 : セキュリティに限らず、技術を学ぶ女性自体が少ないという問題意識をお持ちなんですね。

中島氏 : 技術を学ぶ女性が少ない理由は、「幼少期に与える玩具」の違いに起因するという話を聞いたことがあります(笑)。男の子にはレゴを与え、女の子には人形を与える。男の子は論理的思考を育てる玩具を、女の子は社会性を育むための玩具を与えていることが、技術者の性差を生んでいるのではないかと。この価値観を変えることが、女性技術者の増加につながるのではないかなと思いますね。

辻氏 : 私の知人の女性にも、中身はバリバリの理系という知人女性がいるんですが、確かに彼女は「お父さんに男の子の玩具や工具を与えられた」って言っていましたね。家庭環境の影響って大きいかもしれませんね。

中島氏 : 私も子供の頃、セーラームーンも好きだけれど、ベイブレードだったり、遊戯王だったり男の子が選ぶような遊びが大好きでした(笑)。