標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。
マイナビニュースでは、"セキュリティ三銃士"のソフトバンク・テクノロジーの辻 伸弘氏によるコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。
そこで、辻氏に"サイドライト(側光)を当てるべき人物"と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。初回は、ソフトバンク セキュリティ本部 マネージドセキュリティ統括部 セキュリティリスクマネジメント部 セキュリティコンサルティング課の洲崎 俊氏との対談です。
辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。
洲崎 俊(すざき しゅん)
ソフトバンクに所属している「とある診断員」。
ソフトバンク セキュリティ本部 マネージドセキュリティ統括部 セキュリティリスクマネジメント部 セキュリティコンサルティング課
2006年よりセキュリティベンダに入社し、NW及びWebアプリケーションの脆弱性診断を中心としたセキュリティソリューションサービスの提供に従事。
現在はソフトバンク内のセキュリティチームに所属し、企業内におけるセキュリティ対策業務を担当。 対外活動として、ISOG-J やOWASPなどのワーキンググループに参画するほか、IT関連イベントへの参加や日々の脆弱性検証をライフワークとしている。
ゆるゆるIT勉強会「#ssmjp」運営メンバー。
セキュリティ素人なのに、セキュリティベンダーに就職
洲崎 俊氏
社会人歴で言うと、2006年から社会人で、最初は某セキュリティベンダーに入社しました。始めからセキュリティ診断、ネットワークのセキュリティ診断の仕事をしていました。
辻 伸弘氏
学部はどこでしたか?
洲崎氏
情報系で、主にマルチメディアですね。PhotoshopやIllustratorをやっており、LightWaveなどの3D CGソフトウェアとかも学生の時に触っていたりしました。ただ、プログラミングの授業が好きで、C言語をやって、Javaもやってました(笑)。でも、サーバー系やネットワークはわからなかった。なんせ、IP調べるためのコマンドプロンプトもわからなかったですし。
辻氏
どうしてセキュリティベンダーに就職したんですか?
洲崎氏
学校推薦ってあるじゃないですか。募集があって、『行きたい奴集まって』と言われて面接したら、たまたま残って。これからセキュリティ必要になるよなと軽い気持ちで行ったんです。プログラミングかじってたし、セキュリティに強ければ面白いんじゃないかと思って入りました。
辻氏
運良く、かどうかはともかくとして、セキュリティ業界に入ったってことですけど、いきなりセキュリティ診断の部署ですか?
洲崎氏
いきなりでしたよ。何もわからず入ったもんだから、先輩が「Apacheが~」って言ってたことを軍用機のことだと勘違いしていました(笑)。
辻氏
ある意味セキュリティ関連の言葉ですね(笑)。
洲崎氏
「Kerberos」は、何故かカーバーOSと呼んでました(笑)。
辻氏
Windows、Mac OS、カーバーOSみたいな感じですね(笑)。
初心者の苦労
洲崎氏
セキュリティ会社に入って、最初大変だったことは、(セキュリティに関して)覚えていることが"ゼロ"。システム作ってない人間が、脆弱性を見つけ、システム開発者の方に指摘する大変さって今考えると凄いなと思います。
辻氏
セキュリティ診断は、「お客さんの弱点を見つけて修正するための助言をする」という仕事ですけど、自分の中で「できた!」と思えたのはいつ頃ですか?
洲崎氏
ある程度できるようになったのは3年目ですかね。それなりに自信持って報告できるようになりました。自分で判断できるようになったけど、遅い方じゃないかなと思います。Webアプリの診断を始めた辺りから、自信を持って、行けるようになった。
辻氏
「石の上にも三年」と言うように、3年でそこそこ一人前になるというのはあると思います。
そういう段階に入ると、お客さんとの折衝もできるようになったと思いますが、心が折れそうになったことはありますか? 自分にも経験ありますが、そういう場面を乗り越えると、辛いことは学びになりますよね。
洲崎氏
駆け出しの時は報告会とかでお客様から色々厳しいツッコミをいただくことが多かったですね。
セキュリティ診断に利用するツールなどでは、脆弱性を誤検出(脆弱性がないにも関わらず、あるとツールが報告してくること)する場合があります。もちろん、きちんと確認をして、あらかた潰したりするわけですが、中には、報告する結果の中にそのまま残っていたりするものもあります。
ある時、顧客に診断結果を説明した際に、「こんなのうちのシステムで使ってないよー。一体何で検出しているの?」って言われてその時は、ただツールの結果から報告書を作成していただけだったので、理由がわからなくて思わず固まってしまいましたね。
ほかにも「この脆弱性を実際に悪用して攻撃してみたら具体的にどうなるの?」とか質問された時に、自分ではやったことが無かったので質問に対して上手く答えられなかったこととかもありました。
まあ、そういうことを繰り返していくうちに、それらに対応するには「自分で手を動かして、検証しなければならない」ってことを強く感じて、色々検証をするようになりました。
脆弱性の検証ももちろん大切なのですが、それ以外にも、診断対象となるようなシステムを自分の手で構築してみるってこともすごく重要だと思います。
もちろん診断で出会うようなシステム全部を作れるわけじゃないですが、メジャーなOSS(オープンソース・ソフトウェア)などで構築されたものなんかは「とりあえず自分で作ってみないと」と思って、色々試してみましたね。
後は、辻さんや徳丸さんなどの先駆者の方々のブログ・記事を読みまくって色々試したりもしました(笑)。
辻氏
ありがとうございます(笑)。
洲崎氏
先駆者の方々のブログ・記事については昔だけじゃなくて、今でもよく復習がてら読んだりしています。
ちなみに最近はWeb診断の方をメインでやっていたりするので、久々にネットワーク診断をやる時なんかは辻さんの記事を参考にさせていただいていますよ(笑)
皆さんの記事は素晴らしいクオリティのものが多いので、大変参考になります。
それらの記事を読んでいて思いますが、皆さん必ず「自分の手で検証」されていらっしゃいますよね。そういうことからも、やはり自分で試すことの大切さを再認識しました。結局、自分で試してわかったことって自信を持って説明できるんですよね。
やっぱり手を動かすことは大事だなあと思っています。
脆弱性診断とはどんな仕事?
辻氏
今の仕事についてお聞かせください。
洲崎氏
NW診断を3年ほど経験した後は、6年くらい主にWebアプリの診断をやっていたりします。
辻氏
僕はずっとネットワーク診断に関わってきました。僕たちは診断をする側ですから、ネットワーク、Web診断の違いが分かりますよね。診断の範疇とか。
ただ、色んな経験をしてきて、そういうマネジメントの立場になると、「Web診断って何?」と言われることもあると思うのですが、どのように答えていますか?
洲崎氏
僕が説明するとすれば「セキュリティ的に、よろしくない造りをしているWebアプリかどうかを調査すること」ですかね。一般的な「Web診断」の診断対象となるものは、OSやサーバーソフト上で動作する、お客さま独自で作成しているWebアプリケーションだと思います。
脆弱性は簡単に言ってしまえばバグの一種ですね。プログラムの組み方など、アプリケーションの作り方が悪いとそういうバグが存在し、攻撃をされてしまう余地があります。
Web診断自体でやっていることは、いわゆる"異常系テスト"に近いものかなと思います。
色々なパターンのパラメータ値をアプリに受け渡してみたり、本来開発側が意図しているであろう操作と違うことを色々やってみたりします。それらの試行に対するアプリの挙動をみて、脆弱性が存在するか判断していくって感じですね。
辻氏
メールフォームやアンケートフォームの説明をしても伝わらないこともありますよね。ブラウザの中で動作するプログラムが診断対象って言い回しですか?
洲崎氏
正確には、ユーザの入力結果に応じて、ブラウザに応答結果を返すプログラムが診断対象ですかね。
Web診断でやることのあくまでイメージについての説明となりますが、メールフォームで例えて言うと、
入力欄の名前に「洲崎」、メアドに「abc@pentest.jp」
みたいな文字列を入れるのが一般的ですよね。
じゃあ、そうした入力欄に、例えば全然関係ない記号を入力してみたり、記号じゃなくても"本来は入れる必要がない値"とかを入力して送信すると、システムがどう動くのかな?っていうように色々見ていく感じですかね。
あとは先ほど言った通り、本来の使い方とは全然違うことなんかもやってみたりします。
例えば、ログイン画面があったとして「ID・パスワードなどのアカウント情報を入力→ログイン処理→ログイン後の画面が表示される」というように遷移するのが一般的に正しい流れですよね?
そこを「いきなりログイン後の画面にアクセスみたら一体どうなるんだろう?」「もしかしたら認証しないでアクセスできたりしないかな?」というような感じで、色々試したりします。
もちろん実際の診断作業では、検査する脆弱性項目に応じてある程度やることも定まっていて、作業内容もパターン化されています。あくまでイメージとして捉えていただければと思います。
辻氏
異常系のパターンを試すことで出てくるものや、脅威って何でしょう? 受ける側には「それの何が危ないの?」と言われるもあるかと思いますが。自分が経験した例だと、1時間半に渡って診断結果を説明しても「で? 危ないの?」と言われたこともありましたね。
洲崎氏
検出した脆弱性を説明するのってすごく難しいですよね。
脆弱性の種類によって、どういうことが起きてしまうのかは分かれますが、簡単に言ってしまえば、「本来できちゃいけないことができてしまう」ということなのかなと思っています。
プログラムが存在すれば、開発者が想定している仕様が当然あるわけで、その仕様となっていること以外は本来"出来てはいけない"んだと思います。
例えばECサイトとかで商品の購入履歴検索機能があったとします。
本来は自分の今まで購入した商品情報を検索するための機能なのに、もしなんらかの操作で、他人の購入情報まで検索できてしまったら問題ですよね?もし購入情報以外にも、他の情報、例えば、登録されているアカウント情報やシステム内部情報とかも検索できてしまったらすごくまずいですよね?
アプリケーションの造りが悪く、脆弱性が存在すると、そういうことが可能だったりします。後は、出来てしまうことの内容やそのことがビジネスに与える影響とかで、どのくらい「危ないか?」が変わってくるのではないかと思います。
辻氏
攻撃される前に、Webサイトが公開される前に、危ないものを見つけ、直す方法を伝える"アドバイザー"という位置づけですね。
洲崎氏
そうですね。
辻氏
業界外の人から見た、ご自身の仕事に対する、よくある勘違いってありますか? 「ハッカーなんですか?」みたいな。ITに詳しくない女性や業界外の人たちに言われがちかと思うのですが。
洲崎氏
それで言えば、完全に余談なんですけど、僕の奥さんは1社目で同じ会社でしたから、勘違いどころか仕事について理解してくれています。奥さんは自分の隣でポートスキャンしてました(笑)。
辻氏
診断夫妻ですね(笑)。それなら勘違いされなくていい。
洲崎氏
ええ(笑)。
診断に必要なのは技術力と"コミュニケーション力"
辻氏
診断の仕事って、診断そのものの技術はもちろんのこと、その結果を報告するフェーズがとても大切だと思っています。その辺りは、一朝一夕に出来ることではないと思っているのですが。
洲崎氏
そうですね。分かり易く説明するのは非常に難しくて今でも苦労しています。クライアントへの診断結果の報告会とかでは、個人的には"場の空気を読む"ことが重要かなと思っています。
もちろん、発見した問題の事象とリスクを正確に伝えることはやらなければなりませんが、いくらこっちが一生懸命説明しても全く聞いてくれなかったら意味がないので、伝え方を色々工夫しています。
辻氏
確かに、寝てしまわれる方もいらっしゃいますよね。
洲崎氏
報告する相手によってはあまり技術的なことは聞きたくないって人もいらっしゃるので、そういう時はホントに必要最低限の大枠だけ報告して、あまり細かい技術的な内容には触れないように気を配っています。
辻氏
結局、(クライアントが求めていることは)細かいところじゃないんですよね。
洲崎氏
最初は馬鹿正直に、タウンページみたいな分厚い報告書を真面目に最初からそのまま読んでいました。そうすると案の上、全然聞いてもらえなかったりするわけで(笑)
その時、結果を聞いてもらえないとやっぱり凹みますし、自分のやった仕事に意味がないんじゃないかと思いました。
人によって、求めてることは違うので、それに合わせて報告をすることが重要だと思います。中には当然詳しい人もいらっしゃるので、いきなり最初からマニアックな話を振ってきたりしますけどね。そういう時は僕も嬉々としてマニアックなお話をします(笑)
辻氏
診断の仕事って、自分の経験も加味すると"関わらなきゃいけない人"は増えてくると思うし、やってみたいという人はたくさんいるはずで、そういう人は"技術力が必要"と思ってることが多い印象があります。
だけど、その後がお客さまから見ると重要であることを考えると、技術だけでは絶対に成り立たないですよね。
洲崎氏
その通りだと思います。
確かに技術力は重要だと思います。ただ、技術だけじゃなくコミュニケーション能力も大事で、「いかにわかりやすく、正確に問題を報告できるか」が大切なのかと思います。セキュリティ診断って、場合によっては対象システムに影響を及ぼす場合もあったりするので、事前の説明などは、きっちりやったりします。それ以外にも、システム担当者と密接にやりとりしなきゃならない場面が沢山あります。
だから、コミュニケーション能力はすごく大事ですね。
後は報告の場で、こっちが「こう直してください」という提案をしても、その通りに直してくれないことなんてことも"ざら"にあります。「諸事情で出来ない」と言われるんですよね。
まあただ、蓋を開けてみると諸事情の中身は割と単純なものが多いですね。「アップデートしたらアプリが動かなくなる」とか「改修にかけるお金や時間がない」とか。
こういう根本的な改修が出来ない場合とかに、暫定対策やリスク軽減策などをどれだけ提示できるかってこともすごく大切だと思います。それには当然、経験や知識が必要だと思うので、やはり自分で手を動かして調べたり、色々検証などをしてみることが重要ですね。後はやはり、ある程度の言い切りも必要じゃないでしょうか。
本当にヤバいものについては「しょうがないけど、やらないとダメです」と言い切って、そのままにした場合のリスクを淡々と伝えます。本当に対処しなければならないヤバいものと、まあちょっと時間が経ってから対処しても大丈夫なものを区別して、提示してあげる"さじ加減"っていうのも重要ですね。
辻氏
「放置はダメだけど、これだけは」というところを伝えることですね。ものには優先度がありますし。技術や知見だけじゃなく、診断は、その優先度を適切に伝えるところにポイントがあると思っています。
相手がいる話なわけだし、知識量があり、技術力を持っていたとしても、訴求力がないとこの仕事は成立しないですよね。
洲崎氏
そうですね。
辻氏
知識や技術は、時間をかけることで身につくけど、訴求力は時間じゃ解決しないと思うけど、やっぱり場数でしょうか?
洲崎氏
自分の経験からすると、場数ですかね。ひたすら報告会に行きました。診断って難しいじゃないですか。"診断サービス"と、ひとことで言っても、営業の方だけでは、なかなか事象を詳しく説明できませんし。
だから、営業の場にエンジニアが引っぱり出されるケースが多いのではないかと思います。プリセールスエンジニアがいる会社もあるけど、最初の会社ではそういうエンジニアじゃないのに週5とかで、お客さんのところへ行ってましたね。
辻氏
そこだけ見れば、もはや営業職ですね(笑)。
洲崎氏
ホント、その時は通常作業ができなくて困りました......。説明だけでなく、提案しなきゃいけないわけですからね。
お題が出ていて「これだけやってくれ」という案件なら楽だけど、「ノープランで金額はこれくらい。とにかくやって」と言われると、いくつもの要件の中から、ベストなものを提案しなくちゃいけない。
色々しんどかったですが、今思えばあの経験で、そうしたコミニケーション系のスキルを得られたのかなと思っています。
あと、よくあるケースだと、「開発ベンダーを連れてくるから説明してほしい」って展開ですね。
これは問題点や修正内容が開発に伝わり易かったりするので、良いことでもあるのですが、脆弱性を報告する側としては、正直色々と大変なんですよね。
辻さんももちろんご存知だと思いますが、状況によっては修羅場になったりしますよね(笑)。
辻氏
もちろん、何度も経験しています(笑)。開発ベンダーからすれば、あら探しや、お客さんの前で恥をかかされているというように考える方も以前は多かったように思います。
"診断"という仕事の大変さ
辻氏
やはり日々忙しいですか?
洲崎氏
今の仕事は、社内及びグループ会社で開発・構築したアプリやシステムに対するセキュリティ診断を実施しています。実業務としては、グループ会社に対して提供するセキュリティ診断の取りまとめを担当しています。社数が多く、診断案件の引き合いも多いので、そこそこ忙しいですね。
辻氏
普段は何時頃帰ってるんですか?
洲崎氏
過度な残業はしてません。実作業については、基本的に他のセキュリティエンジニアの方々が担当していて、厄介なケースや判断が難しいものとかが、自分の所に回ってくる感じですかね。
辻氏
仕事をやっていて、「もう嫌だな」と思ったことはありますか?
洲崎氏
最初の会社で2年目くらいに診断が嫌になって、転職しようと思ったんですよ。「ビジネスでアプリケーションの開発・構築をやったことがない中で、それらの診断をやることが、ちゃんとしたキャリアパスじゃないな」と思ったんです。だから、「ちゃんと診断と向き合うなら開発を経験した方が良いな」と思ったんです。
辻氏
診断スキル伸ばすためには基礎部分やらなきゃと思った感じでしょうか?
洲崎氏
そうですね。
だけど、最初の方でも話しましたけど、「とりあえず自分だけでシステムを作ってみるところから始めよう」と思ったんです。それからずっとこの職種をやっていますが、「自分でこの道を選択した」という気持ちが芽生えたし、今は楽しくやっています。
結局、なんだかんだで「診断」が好きだったんだなと。
辻氏
色々紆余曲折あったと思うけど、モチベーションは何でしょうか?
洲崎氏
「クライアントが直してくれて良かった」とか、「脆弱性見つけて楽しいな」とかですかね。
辻氏
スカッとする感じですか?
洲崎氏
何なんですかね?(笑)
辻氏
適性ですかね?
洲崎氏
自分で推測して、脆弱性があるかなと突いてみたら見つかった時に、感じるものですかね。なんだろう(笑)。
辻氏
そこは(いわゆる"ハッカー"と)勘違いされやすいかもしれませんね。ただ、こちらも診断という仕事をずっとやってきた自負がある。
セキュリティ事故が起きた時に、会社が出くわしてしまう難儀なことに、遭う人をできる限り減らしたいですね。
僕は「仕事をする」ということは、何かしらの社会貢献だと思っていて、それを通して「一つでも悲しみを減らしたい」んですよね。脆弱性を見つけた時の楽しさは、ある面から見れば不謹慎に映るけど、自分たちには上手くマッチしてるから仕事を続けているし、嬉しいと感じることと、人のために役立てることが両立している、そういう感じですよね。
洲崎氏
その通りですね。見つけて面白いし、褒められることもある。「いいコトしてるよな」ということなんですよ。脆弱性を見つけると、担当者によっては「余計なものを......」という反応をされる方もいらっしゃいますが、間違ったことをやっているわけではない。
「見つけてくれてありがとう」と言うお客さんに出会うと、「やってて良かった」と思いますね。
さっきは、コストとかの問題で根本的に直さないといけないもので対応してくれないケースがあると言いましたが、「これは難しいかな......」と思っていたら、根底から直してくれるケースもありましたね。
例えば、認証の実装、根本的な仕組み自体に欠陥があったというような感じで、客観的に見て、完全に作り直さなきゃいけないような状態のアプリを過去診断したことがありました。
ちょっとした改修とかだと、一部のコードを変更するだけで済むようなものですが、あの場合は根本がダメだから、ほぼイチからの作り直しだったのではないかと思います。
それを、自分が問題点を指摘した後にすぐにちゃんと改修してくれた時は、本当に嬉しかったですね。
辻氏
たまにごっそりやってくれるところありますよね。
洲崎氏
全部やってくれると嬉しいですね。
若手に伝えたい想い
辻氏
この先に"野望"はありますか?
洲崎氏
まだ明確なビジョンが見えてないってのが正直なところですね。色々悩んでます。ただ、新卒の若い子とか、自分より若い世代を盛り立てたいってのはありますね。
自分がわかっていることはどんどん伝えて、どんどん自分を超える人材に育ってほしいですね。まあ、人材自体が少ないって問題があるとは思いますが......。
それ以外だと、同じくらいの年次の方とかとセキュリティ業界を盛り上げたいなっていうのもあったりします(笑)。
あと、最近はセキュリティ業界内のことだけではなくて、例えば開発とか他の業界の動向を知らなくてはいけないのかなと強く思ったりしています。だから、個人的にですけど、外部の業界の勉強会やイベントへ足を運ぶってことを、最近積極的にやっているつもりです。
セキュリティ業界内だけで固まってしまっていると、古い知識だけになってしまうのかなと思ってしまうので、流行の技術などを知るためにアプリ開発者やインフラ構築者の方ともっと交流したいですね。他の業界の方がどういう風にセキュリティに対して考えているのかも知りたいです。
あと、僕らも情報を知りたかったりしますが、他業界の方もセキュリティに関する情報について知りたがっている方がきっといらっしゃると思うんですよね。だから、そういう方とも交流するために足を運ぶようにしています。
辻氏
セキュリティ業界にはある種の閉鎖的なものを感じることもあります。
Webアプリのプログラム作ってる人はWebサーバーとDBに触れているのに、セキュリティは本来、広い分野を知らないといけないのに、セキュリティだけで集まっている。そうい点は不健全かもしれないと考えています。
結果的に、ほかを見ないでセキュリティのみを優先させるよう「安全の押し売り」というか「セキュリティファースト」みたいになってはダメですよね。「健康の為なら死ねる」みたいな。
洲崎氏
そうですね。だから他を知りたいし、自分で出せる情報はどんどん出していきたいですね。それが最近やりたいことですかね。
イベントや勉強会へ行った時に、座って人の話を聞くだけじゃなくて、懇親会に行って友達作りすることとか、どうせなら思い切ってライトニングトーク(短いプレゼン)しちゃうなんて勢いも重要だと思います。
僕は30歳になるまではあんまりそういうことをやらなかったので、最近もっと早くやれば良かったなと思っていたり......。若い世代の人で、そういう場に参加されたことがないのであれば、是非一度飛び込んでみてはいかがでしょうか?とアドバイスしたいですね。
辻氏
行きやすいところだけじゃなく、普段接することができない人たちに、という感じですかね。
洲崎氏
そうだと思います。
辻氏
運用・構築の方からすれば、当たり前じゃない考え方を伝えているかもしれないし、もちろん逆もある。
「こういう脆弱性があるから、直してほしいのでアップデートして」と言っても、そのパッチでシステムが動かなくなることもある。適用する修正プログラムだけで見れば個数は1つでも、当てるべきサーバーが100台あるなら、すぐに当てることはできない。修正プログラムを適用すると一言で言ってもその後にはシステムを再起動して、正常に稼働しているかというチェックもあるわけです。
だから、「やられたらダメだからとにかくやれよ」という態度ではいけないですよね。敵は外にいるわけで、仲間同士で理解し合わず、揉めてしまうような形はダメですよね。
洲崎氏
そうですね。伝える相手の気持ちを理解したいっていうのがあるので、気軽に質問できたり、色々ご意見いただけるような他業種の知り合いの方の存在とかは非常にありがたいです。
例えば、脆弱性が発見された時に「このソフトウェアとかモジュールとかって、実際に現場とかで広く使われているんだろうか?」って疑問に思うことがたまにあります。そんな時に、「これって運用・開発の現場でよく使われてたりするの?」と気軽に聞けたりするのは大きいですね。
(改めて次の人材へのアドバイスとして)自分からできるアドバイスとしては、当たり前かもしれませんが、やっぱり「興味を持って手を動かす」ことが一番重要じゃないかなと思います。遠回りなようでそれがレベルアップしていくための、一番の近道なんじゃないですかね。
「情報を収集して、はい終わり」だけじゃなくて、やっぱり自分で実際にやってみることが大切なのかなと思います。
(セキュリティ人材の確保については)IPA(情報処理推進機構)がやってるセキュリティ・キャンプとかありますよね。
人材育成という観点でみれば、こうした試みは非常に良いのではないかなと思っています。実際自分の知り合いにも、何人かキャンプに参加された学生の方がいますが、みんな技術的に超優秀な子ばっかりですね。
ただまあ、セキュリティに興味を持つキッカケは何でも良いと思うんですよね。自分も全く予期してなかった流れでセキュリティ業界に入って今にいたっているので。
まずは「いかにセキュリティに興味をもってもらえるような機会を作るか」が重要なんじゃないかなと思います。若い世代の方でも、技術力がとんがっている方は沢山いらっしゃいます。
その一方で非常に残念なのが、「脆弱性を見つける」こととかにフォーカスしすぎていて、たまに"やりすぎ"ている人が見受けられることですかね。
診断に限らず、セキュリティエンジニアの仕事って単に技術力だけじゃなくて、コミュニケーション力や倫理観など他にも色々なことが必要なんじゃないかなと思います。なかなか難しいと思いますが、そういうことも含めて教育していくことが重要なんじゃないかなと。
やっぱりそこが、"攻撃者"との一番の違いなんじゃないでしょうか。私たちは攻撃者じゃないですし。
やってることは紙一重ですが、最終的には"人"を相手にしている職業なので、そういった観点が重要なんじゃないかと思います。