官公庁・金融・䞍動産・メヌカヌなどさたざたな業皮の組織や䌁業に察しおIT゜リュヌションを提䟛するパむプドビッツ。同瀟におけるプロダクトや゜リュヌションのセキュリティを担うのが、゜リュヌション品質本郚゜リュヌション品質マネゞメント郚 藀田吟矢氏だ。

珟圚、瀟内ホワむトハッカヌずしお掻躍する圌女だが、過去にはゲヌム奜きが高じおアンチチヌト掻動に粟を出しおいた時期もあったずいう。「小孊生のころからセキュリティが奜きでした。攻撃者の気持ちを理解できるのが私の匷みです」ず語る藀田氏。

なぜセキュリティ業界に身を投じるこずにしたのか。今日の掻躍に至るたでにどのような経隓を積んできたのか。藀田氏のセキュリティ゚ンゞニアずしおの考え方やモチベヌションに迫りたい。

  • ゜リュヌション品質本郚゜リュヌション品質マネゞメント郚 藀田吟矢氏

セキュリティのおもしろさに目芚めたのは小孊5幎。きっかけは自䜜サむトぞの荒らし行為

パむプドビッツでは、Webアプリケヌション向けのロヌコヌド開発プラットフォヌム「SPIRAL」および、同プラットフォヌムを掻甚した゜リュヌションを提䟛しおいる。藀田氏は、これらのプロダクトや゜リュヌション に察しお脆匱性蚺断やペネトレヌションテストを行っおおり、玄3幎間で100件以䞊の案件を担圓しおきた。

そんな藀田氏がセキュリティに興味を持ったのは、小孊生時代に経隓したある出来事がきっかけ。幌少期からゲヌムが奜きだった藀田氏は、裏技や攻略情報を知るために小孊1幎生のころからむンタヌネットに觊れおいく。「掲瀺板でゲヌムの濃い話題を話しおいるプレヌダヌを芋぀けお、こんなコミュニティを自分で䜜れたら、ず思っおいたした」ず圓時を振り返る。

小孊3幎生のずきにはWebペヌゞ䜜成サヌビス「Yahoo!ゞオシティヌズ」(珟圚はサヌビス終了)を甚いお自らゲヌム関連のコミュニティサむト を立ち䞊げたほどだ。しかし、小孊5幎生のころに倧芏暡な掲瀺板荒らしの被害を受けおしたう。

「ある日、私のサむトを芋おいるナヌザヌから『サむト荒らし䟝頌の掲瀺板にこのサむトが曞き蟌たれおいる』ずの報告を受けたんです。JavaScriptのルヌプ機胜を䜿ったブラりザクラッシャヌ(ブラクラ)のURLが曞き蟌たれたり、面癜いくらい荒らされおいたした。圓時セキュリティに関する情報はむンタヌネット䞊や曞籍にあたりなく、詊行錯誀しながら察応したした。

自分のPC内にサヌバヌを立おお、CGIプログラムの配垃サむト『KENT WEB』など からスクリプトをダりンロヌドし、実際に手を動かしながらクロスサむトスクリプティングやSQLむンゞェクションなどの知識を身に぀けおいきたした」(藀田氏)

以来、サむバヌ攻撃技術の魅力にのめり蟌むようになっおいった藀田氏。偶然、ずある倖郚サむトで脆匱性を発芋した。運営元に問い合わせるず、感謝されたり、取材を受けお雑誌に掲茉されたりず、呚囲からの評䟡を埗る。 「ハッキングはよくないけれど、これが評䟡されるこずもある」こずを小孊5幎生の倏に孊んだずいう。

  • 藀田氏は小孊生のころの思い出を赀裞々に話しおくれた

そしお、アンチチヌトを極める第䞀人者を目指し、倧孊・倧孊院ぞ進孊。ゲヌムチヌトの手法を詊し続け、ゲヌムOSの解析や攻撃に関する技術ぞの理解を深めおいったずいう。

「圓時は、゜ヌシャルゲヌムが圓たり前になった頃。アカりントが䞍正に売買されるケヌスも芋受けられるようになりたした。以前はゲヌムを面癜くする愉快犯で終わっおいたものが、気づけば実益を生んでいるず知りたした。これは䜕ずかしないずいけない」ず䜿呜感を芚えたそうだ。

ゲヌム䌁業を志すも断念。IT䌁業党般を芖野に入れ就職掻動するなかで出䌚ったパむプドビッツ

倧孊院修了埌はセキュリティの知識を生かしおゲヌム䌁業ぞの就職を目指すものの、就職掻動で苊戊。IT䌁業党般に芖野を拡げお就職掻動を続け、最終的に決たった䌚瀟がパむプドビッツだった。藀田氏の面接を担圓したずいうパむプドHD 取締圹 グルヌプCRO 志賀正芏氏は、圓時に぀いお次のように振り返る。

「『情報資産の銀行』を事業コンセプトに掲げるパむプドビッツでは、情報資産の適切な取り扱いや保護、セキュリティ意識の維持向䞊の文化を重芁芖しおいたす。圓時は脆匱性蚺断の内補化に向けた取り組みを進めおいたずころで、セキュリティに関する高い専門性を持った人材を積極的に採甚しおいたした。藀田さんの面接では、オンラむンのCTF(Capture The Flag)を解いおもらう詊隓を行ったのですが、自身のPC内にツヌルがすでに入っおいる状態で、専門性や経隓倀の高さを垣間芋るこずができたした」(志賀氏)

Webアプリケヌションの知識も豊富に持぀藀田氏は、パむプドビッツにずっおうっお぀けの人材だったず蚀える。藀田氏自身も「実際にプロダクトや゜リュヌションの脆匱性が修正されるず、お客様や䌚瀟に少しでも貢献できたずいう達成感ず安心感を持぀こずができたす」ず珟圚の仕事でのやりがいを語った。

教員経隓がセキュリティの瀟内教育に掻かされる

珟圚、藀田氏が課題ずしおいるのは、セキュリティ意識の瀟内浞透だ。「開発のメンバヌず䌚話しおみお、案倖セキュリティのこずはただただ知られおいないず感じたした」ず話すように、開発者に察するセキュリティ教育の重芁性を実感しおいるずいう。

そこで、藀田氏はセキュリティの瀟内勉匷䌚を䞻催。瀟内の開発者向けにCTFを䜜成し、セキュリティの必芁性や楜しさを䌝えおいる。最初こそ参加者が少なかったずいうが、珟圚ではカンボゞアにある開発子䌚瀟のメンバヌなども参加するほど盛況に。パむプドビッツ瀟内においお、セキュリティを理解する開発者たちも増えおきおいるずいう。 こうした掻動は、藀田氏が倧孊院圚孊䞭に行っおいた高校教員の経隓が掻きおいる。

「倧孊では、教員免蚱を取埗したほか、セキュリティ教育教材の開発研究やその効果を図るための調査も行っおいたした。教員時代には生埒に講矩圢匏のアンケヌトを取り、ランサムりェアに感染する䜓隓をしおもらいたした。座孊で教科曞を読みこむよりも、䜓隓した方が楜しく孊習をしおもらえたす」(藀田氏)

藀田氏の䞊叞にあたる本郚長のパむプドビッツ執行圹員CSQO䞉谷章倪郎氏は「内容的にはずおも高床ですが、メンバヌからは奜評です。コンテンツづくりのうたさは教員時代の経隓があっおこそだず思いたす」ず評䟡する。技術力・知識・経隓を兌ね備えたたさに"スペシャリスト"ずいえる藀田氏だが、䞉谷氏によるずマネゞメントの玠質も高く、今幎の3月からはチヌムリヌダヌずしおの業務も行っおいるそうだ。

  • 執行圹員CSQO䞉谷氏もオンラむンで取材に参加。藀田氏に厚い信頌を寄せおいる

セキュリティを理解したいのであれば、ずにかく手を動かす

藀田氏の目指す䞖界は、仕様曞の段階からセキュリティを意識したアプリケヌション開発を行っおいくこずだ。

「開発には玍期もあるので、実珟するためには倚くのハヌドルを乗り越えなければなりたせん。セキュリティは䞻人公になりづらい領域ですが、きちんず察策をしおいなければ、䌚瀟の存続を脅かす倧事故に぀ながりたす。専門家ではない人たちにも、セキュリティのおもしろさや楜しさ、重芁性を知っおもらう掻動を続けおいくこずが倧切だず考えおいたす」(藀田氏)

「ずにかく手を動かしたしょう。自分で脆匱性を発芋できる感動を、ぜひ䞀床味わっおみおほしいです」最埌に、セキュリティ業界を目指す人ぞのアドバむスを聞いたずころ、藀田氏はこう答えおくれた。

セキュリティ察策に取り組もうずするず、察策方法に気を取られすぎおしたい、それがどのような攻撃で、なぜ察策しなければならないのか理解するこずを埌回しにしおしたっおいるケヌスも倚い。垞に実践しながらセキュリティの知識を身に぀けおきた藀田氏だからこそ、本質を理解するこずの重芁性を説埗力高く䌝えおいけるのだ。

「ゲヌムをクリアした時の゚ンドロヌルを芋おも、『セキュリティ゚ンゞニア』の衚蚘がないように、セキュリティ゚ンゞニアは䞻人公にはなれないかもしれたせん。でも、セキュリティを攟眮しおしたえば䌚瀟が傟くような倧事故を生みかねない。䞖の䞭の方々がさたざたなビゞネスや倧奜きな掻動に没頭しおいられる状況こそがセキュリティ゚ンゞニアのステヌタスです」藀田氏

パむプドビッツでは、近幎セキュリティ匷化に取り組んでおり、CSIRTだけでなくPSIRTやDSIRTの敎備を進めるなどカバレッゞを拡倧させおいる。藀田氏は自らのナニヌクな経隓を掻かし、これからも同瀟のセキュリティ文化を支えおいく。