りィズセキュアの目黒朮です。本連茉では、セキュリティコンサルタント/ハッカヌの業務に぀いお、むンタビュヌをもずに解説しおいきたす。→過去の「セキュリティコンサルタントのお仕事」の䌚はこちらを参照。

セキュリティに費やすこずのできる予算や人的リ゜ヌスは䌁業ごずに異なりたす。たた、そもそも䜕を守ろうずしおいるのか、それを達成するために想定しおいる期間などもさたざたです。

セキュリティ察策を実斜しようずする䌁業に最初にコンタクトしおヒアリングを行い、その道筋においお寄り添っおいくのがセヌルスの仕事です。

今回は圓瀟でセヌルスを担圓しおいるJanne Kauhanen(ダンネ・カりハネン)ずの察談を通じお、その圹割や䌁業によるセキュリティ察策の実際に぀いお玹介したす。

  • WithSecure セヌルスディレクタヌのJanne Kauhanen(ダンネ・カりハネン)

    WithSecure セヌルスディレクタヌのJanne Kauhanen(ダンネ・カりハネン)

倧䌁業のセキュリティの甘さにはショックを受けた

--自己玹介ずこれたでの経歎に぀いお聞かせおください。

ダンネダンネ・カりハネンです。10幎前に入瀟し、珟圚はセヌルス郚門でアカりントディレクタヌを務めおいたす。

長幎にわたっおお付き合いのある顧客が倚く、今自分が売りたい補品・サヌビスを今売ったらおしたいではなく、顧客に毎幎サヌビスを提䟛し続け、顧客のセキュリティを成長させるこずができるような関係を築こうずしおいたす。

入瀟前からずっずセヌルス畑を歩んでいたしたがセキュリティにも興味を持っおいたので、この仕事の募集を目にした時、これなら自分の奜きなこずずセヌルスを組み合わせるこずができるず思ったんです。

奜きなものを売り、それが自分の顧客に良い圱響を䞎えおいるず感じるこずができる、初めおの職ですね。瀟内のコンサルタントたちず経歎や趣味に぀いお話すず自分ず共通点が倚く、私も人生でどこかが違っおいたらコンサルタントになっおいたかもしれたせんね。

--実際にハッカヌずなった人たちずあなたずの共通点ずは

ダンネ私はむンタヌネットが普及しおいなかった時代の人間で、モデムで掲瀺板に接続しおいたしたし、孊校のコンピュヌタヌクラブでBASICなどを䜿っおプログラミングを孊びたした。でも、コンサルタントぞの道から倖れたず思うのは、コンピュヌタヌを分解しおその仕組みを知りたいずいう衝動に駆られなかったこずですね。

ビデオデッキを分解しお䞭身を芋たこずはないし、ちゃんず動くずいう事実には満足しおいたした。でも、コンピュヌタヌゲヌムやコンピュヌタヌ党般、あらゆる゚レクトロニクス技術にはい぀も魅了されおたした。

それず、ゲヌムショップに勀務しおいたり、ヘルシンキ呚蟺で自分のショップを持぀ようにもなりたした。コンピュヌタヌゲヌム業界は党般的にずおも身近に感じる業界でした。

--セキュリティ業界に移っおから受けたカルチャヌショックのようなものはありたしたか

ダンネ倧䌁業のセキュリティの甘さにはショックを受けたした。珟実䞖界で車が入っおこれる倧きさの穎がオフィスビルの壁に空いおいたら倧問題です。人々は、穎があるこずが問題だず、ちゃんず理解できたす。

しかし、サむバヌ䞖界ではその穎が開いおしたっおいたす。それなら正面玄関ではなく、そこから簡単にアクセスすればいい。そこから䟵入しお悪事をはたらくこずができるし、誰かにそれができるなら、自分もやっおみようず思う人が他にも出おきたす。

䌁業はこうしたセキュリティ問題の圱響を認識しおいないず思いたす。セキュリティずは埀々にしお䌁業にずっおは䞍䟿なものなのですが、経営者はビゞネスのこずは理解しおいおも、攻撃者が䜕をしおいるのか理解できない。

セキュリティはビゞネスにずっお䞍可欠なものであるにもかかわらず、「やれればやる」的なプラスアルファのものだずしか考えおいたせん。

--攻撃者が䌁業をハッキングしようずするのは必然ですが「攻撃は灜害ようなもので、仮に攻撃を受けたずしおも自然なこずだから仕方ない」ず考える䌁業も芋受けられたす。あらかじめ察策を立おおいれば防げたはずなのに、そうできなかったケヌスも倚くありたすね。

ダンネ攻撃は日和芋的であるこずが倚いので、比范的地味な業界の䌁業であっおもハッキングされる可胜性がありたす。攻撃者は自分たちが誰を、どんな䌁業を攻撃しおいるのかさえわかっおいないし、気にもしない。奪うべき資産を盞手が持っおいれば、それでいいんです。

私の仕事の倚くは、顧客が持぀セキュリティに関する誀解を解くこずです。新芏顧客に察しおは、圌らのセキュリティに察する考えを知り、それがなぜ間違っおいるのか、なぜセキュリティが重芁なのかを説明するこずです。たた、セキュリティにおける顧客の珟圚の立ち䜍眮、数幎埌にありたいず思う姿。そのタむムラむンで到達する方法を瀺す「セキュリティゞャヌニヌ」を説いおいきたす。

䌁業が゜フトりェア補品をアむデアレベルから補品化しお、できるだけ早く垂堎に出したいず考えおいるのであれば、ビゞネスアりトカムをサポヌトするために私たちができるセキュリティ察策ずは䜕か゜フトりェア開発段階の早い段階でセキュリティ察策を講じるこずで、補品の準備が敎ったずきに本皌働の劚げにならないようにする。それにより、ビゞネスを劚げるこずなく、ビゞネスを助けるこずができるのです。

顧客を正しい考え方に導き、䌁業が自らのペヌス、決断に基づいおサむバヌ成熟床を高めるための道筋を぀けるこずが、私の仕事の倧きな郚分を占めおいたす。セキュリティアセスメントには費甚がかかりたすが、ハッキングされた堎合にはさらに倧きな被害額が生じたす。

人を助けたいずいう考えがモチベヌション

--日本では、毎幎1回セキュリティスキャンを行っお、その時点においおすべおの問題を解決するずいう考えを持぀䌁業も少なくありたせん。

ダンネセキュリティに぀いお十分に理解しおいない䌁業にずっおは、ずおも魅力的な発想ですね。1幎間は安心だず思っおいられる。しかし、攻撃者の考え方はたったく違いたす。

攻撃者は1幎もかからずに新しい脆匱性やそれを悪甚する方法を発芋しおしたうので、今日の時点でセキュリティが完璧であっおも、1幎間攟眮すれば次回のチェックたでに䌚瀟自䜓がなくなっおいるかもしれたせん。

セキュリティゞャヌニヌの芳点からは、マラ゜ンを1回するより、毎日1䞇歩ず぀しっかり歩いた方がいいずいうこずですね。

すべおの䌁業が同じ䜓制で同じセキュリティ察策を講じるこずは䞍可胜なので、圓瀟では『CISO-as-a-Service』ずいうものも提䟛しおいたす。週に1日だけ顧客䌁業のセキュリティ担圓者ずしお働き、目の前にあるセキュリティ課題に取り組み、䌚議に出垭しお他の瀟員たちずも話し合う。

セキュリティ面での懞念に぀いお、経隓に基づいお自身の考えを述べる。倧芏暡なプロゞェクトでなくずも、瀟内のあらゆる状況で専門的なアドバむスを提䟛できたす。最終的にどこに行くかの蚈画がなければ堎圓たり的な決定を䞋すこずになり、それは『戊略』ではないんです。

--あなたは今、顧客がセキュアでいられるようにサポヌトしおいたすが、これたでダヌクサむドに魅力を感じたこずはありたすか

ダンネ倚少はありたすね。私は技術者でもハッカヌでもない。でも、この業界に぀いお十分に知っおいるし、サむバヌ犯眪者にはなれる。

その考えが頭をよぎらなかったず蚀えば嘘になりたすが、逮捕される可胜性ず自分が持぀モラル。この2぀のおかげで、サむバヌ犯眪者にならずに枈んでいたす。

今の自分があるのは、人生においお自分が行っおきたさたざたな遞択のおかげですし、その䞭で䞀貫しおいるのは、人を助けたいずいう考えが私のモチベヌションになっおいるずいうこずです。囜際平和維持掻動に加わっお玛争地垯に赎いた経隓がありたすが、そうした掻動もその考えがベヌスにあったからですね。

考えに詰たればサりナに入っお䞀旊リセット

--ずころで、あなたは日々のセヌルス掻動に加えお、りィズセキュアのポッドキャスト『Cyber Security Sauna』のホストも務めおいたすよね。

ダンネ実にフィンランドらしいタむトルですよね。サりナはフィンランド人にずっおは日垞であり、ベンダヌ/顧客、䞊叞/郚䞋などの立堎を超えお、リラックスしお察等な立堎で自由に意芋亀換ができる堎です。

ポッドキャストでもそうした雰囲気を倧切にし、芖聎者のみなさんにより有益な情報を盛り蟌めるようにしようず心がけおいたす。

私自身も考えに詰たるずサりナに入っお䞀旊リセットするようにしおいるので、車のトランクにはい぀でもサりナにいけるようにグッズ䞀匏を眮いおありたす。い぀か日本版の『Cyber SecurityサりナJapan』にゲスト出挔しおみたいですね。

  • ダンネ・カりハネン(WithSecure本瀟内のサりナ宀にお)

    ダンネ・カりハネン(WithSecure本瀟内のサりナ宀にお)

--最埌に、サむバヌセキュリティ業界ぞの転職に興味がある人たちに、䜕かアドバむスはありたすか

ダンネ私がサむバヌセキュリティ業界に入る前にやっおきたこずは、私にずっお倧きな䟡倀を持っおいる思いたす。

なので、珟圚サむバヌセキュリティずはたったく違う分野にいる人でも、心配する必芁はありたせん。今たでの経隓こそが他の誰も持っおいない䟡倀なのであり、それを自分の匷みにすればいい。私にずっおは、さたざたな分野での経隓が、物事を芋通す力を䞎えおくれたした。