官公庁・金融・不動産・メーカーなどさまざまな業種の組織や企業に対してITソリューションを提供するパイプドビッツ。同社におけるプロダクトやソリューションのセキュリティを担うのが、ソリューション品質本部ソリューション品質マネジメント部 藤田吾矢氏だ。

現在、社内ホワイトハッカーとして活躍する彼女だが、過去にはゲーム好きが高じてアンチチート活動に精を出していた時期もあったという。「小学生のころからセキュリティが好きでした。攻撃者の気持ちを理解できるのが私の強みです」と語る藤田氏。

なぜセキュリティ業界に身を投じることにしたのか。今日の活躍に至るまでにどのような経験を積んできたのか。藤田氏のセキュリティエンジニアとしての考え方やモチベーションに迫りたい。

  • ソリューション品質本部ソリューション品質マネジメント部 藤田吾矢氏

セキュリティのおもしろさに目覚めたのは小学5年。きっかけは自作サイトへの荒らし行為

パイプドビッツでは、Webアプリケーション向けのローコード開発プラットフォーム「SPIRAL」および、同プラットフォームを活用したソリューションを提供している。藤田氏は、これらのプロダクトやソリューション に対して脆弱性診断やペネトレーションテストを行っており、約3年間で100件以上の案件を担当してきた。

そんな藤田氏がセキュリティに興味を持ったのは、小学生時代に経験したある出来事がきっかけ。幼少期からゲームが好きだった藤田氏は、裏技や攻略情報を知るために小学1年生のころからインターネットに触れていく。「掲示板でゲームの濃い話題を話しているプレーヤーを見つけて、こんなコミュニティを自分で作れたら、と思っていました」と当時を振り返る。

小学3年生のときにはWebページ作成サービス「Yahoo!ジオシティーズ」(現在はサービス終了)を用いて自らゲーム関連のコミュニティサイト を立ち上げたほどだ。しかし、小学5年生のころに大規模な掲示板荒らしの被害を受けてしまう。

「ある日、私のサイトを見ているユーザーから『サイト荒らし依頼の掲示板にこのサイトが書き込まれている』との報告を受けたんです。JavaScriptのループ機能を使ったブラウザクラッシャー(ブラクラ)のURLが書き込まれたり、面白いくらい荒らされていました。当時セキュリティに関する情報はインターネット上や書籍にあまりなく、試行錯誤しながら対応しました。

自分のPC内にサーバーを立てて、CGIプログラムの配布サイト『KENT WEB』など からスクリプトをダウンロードし、実際に手を動かしながらクロスサイトスクリプティングやSQLインジェクションなどの知識を身につけていきました」(藤田氏)

以来、サイバー攻撃技術の魅力にのめり込むようになっていった藤田氏。偶然、とある外部サイトで脆弱性を発見した。運営元に問い合わせると、感謝されたり、取材を受けて雑誌に掲載されたりと、周囲からの評価を得る。 「ハッキングはよくないけれど、これが評価されることもある」ことを小学5年生の夏に学んだという。

  • 藤田氏は小学生のころの思い出を赤裸々に話してくれた

そして、アンチチートを極める第一人者を目指し、大学・大学院へ進学。ゲームチートの手法を試し続け、ゲームOSの解析や攻撃に関する技術への理解を深めていったという。

「当時は、ソーシャルゲームが当たり前になった頃。アカウントが不正に売買されるケースも見受けられるようになりました。以前はゲームを面白くする愉快犯で終わっていたものが、気づけば実益を生んでいると知りました。これは何とかしないといけない」と使命感を覚えたそうだ。

ゲーム企業を志すも断念。IT企業全般を視野に入れ就職活動するなかで出会ったパイプドビッツ

大学院修了後はセキュリティの知識を生かしてゲーム企業への就職を目指すものの、就職活動で苦戦。IT企業全般に視野を拡げて就職活動を続け、最終的に決まった会社がパイプドビッツだった。藤田氏の面接を担当したというパイプドHD 取締役 グループCRO 志賀正規氏は、当時について次のように振り返る。

「『情報資産の銀行』を事業コンセプトに掲げるパイプドビッツでは、情報資産の適切な取り扱いや保護、セキュリティ意識の維持向上の文化を重要視しています。当時は脆弱性診断の内製化に向けた取り組みを進めていたところで、セキュリティに関する高い専門性を持った人材を積極的に採用していました。藤田さんの面接では、オンラインのCTF(Capture The Flag)を解いてもらう試験を行ったのですが、自身のPC内にツールがすでに入っている状態で、専門性や経験値の高さを垣間見ることができました」(志賀氏)

Webアプリケーションの知識も豊富に持つ藤田氏は、パイプドビッツにとってうってつけの人材だったと言える。藤田氏自身も「実際にプロダクトやソリューションの脆弱性が修正されると、お客様や会社に少しでも貢献できたという達成感と安心感を持つことができます」と現在の仕事でのやりがいを語った。

教員経験がセキュリティの社内教育に活かされる

現在、藤田氏が課題としているのは、セキュリティ意識の社内浸透だ。「開発のメンバーと会話してみて、案外セキュリティのことはまだまだ知られていないと感じました」と話すように、開発者に対するセキュリティ教育の重要性を実感しているという。

そこで、藤田氏はセキュリティの社内勉強会を主催。社内の開発者向けにCTFを作成し、セキュリティの必要性や楽しさを伝えている。最初こそ参加者が少なかったというが、現在ではカンボジアにある開発子会社のメンバーなども参加するほど盛況に。パイプドビッツ社内において、セキュリティを理解する開発者たちも増えてきているという。 こうした活動は、藤田氏が大学院在学中に行っていた高校教員の経験が活きている。

「大学では、教員免許を取得したほか、セキュリティ教育教材の開発研究やその効果を図るための調査も行っていました。教員時代には生徒に講義形式のアンケートを取り、ランサムウェアに感染する体験をしてもらいました。座学で教科書を読みこむよりも、体験した方が楽しく学習をしてもらえます」(藤田氏)

藤田氏の上司にあたる本部長のパイプドビッツ執行役員CSQO三谷章太郎氏は「内容的にはとても高度ですが、メンバーからは好評です。コンテンツづくりのうまさは教員時代の経験があってこそだと思います」と評価する。技術力・知識・経験を兼ね備えたまさに"スペシャリスト"といえる藤田氏だが、三谷氏によるとマネジメントの素質も高く、今年の3月からはチームリーダーとしての業務も行っているそうだ。

  • 執行役員CSQO三谷氏もオンラインで取材に参加。藤田氏に厚い信頼を寄せている

セキュリティを理解したいのであれば、とにかく手を動かす

藤田氏の目指す世界は、仕様書の段階からセキュリティを意識したアプリケーション開発を行っていくことだ。

「開発には納期もあるので、実現するためには多くのハードルを乗り越えなければなりません。セキュリティは主人公になりづらい領域ですが、きちんと対策をしていなければ、会社の存続を脅かす大事故につながります。専門家ではない人たちにも、セキュリティのおもしろさや楽しさ、重要性を知ってもらう活動を続けていくことが大切だと考えています」(藤田氏)

「とにかく手を動かしましょう。自分で脆弱性を発見できる感動を、ぜひ一度味わってみてほしいです」最後に、セキュリティ業界を目指す人へのアドバイスを聞いたところ、藤田氏はこう答えてくれた。

セキュリティ対策に取り組もうとすると、対策方法に気を取られすぎてしまい、それがどのような攻撃で、なぜ対策しなければならないのか理解することを後回しにしてしまっているケースも多い。常に実践しながらセキュリティの知識を身につけてきた藤田氏だからこそ、本質を理解することの重要性を説得力高く伝えていけるのだ。

「ゲームをクリアした時のエンドロールを見ても、『セキュリティエンジニア』の表記がないように、セキュリティエンジニアは主人公にはなれないかもしれません。でも、セキュリティを放置してしまえば会社が傾くような大事故を生みかねない。世の中の方々がさまざまなビジネスや大好きな活動に没頭していられる状況こそがセキュリティエンジニアのステータスです」(藤田氏)

パイプドビッツでは、近年セキュリティ強化に取り組んでおり、CSIRTだけでなくPSIRTやDSIRTの整備を進めるなどカバレッジを拡大させている。藤田氏は自らのユニークな経験を活かし、これからも同社のセキュリティ文化を支えていく。