標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。
マイナビニュースでは、"セキュリティ三銃士"のソフトバンク・テクノロジーの辻 伸弘氏によるコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。
そこで、辻氏に"サイドライト(側光)を当てるべき人物"と対談していただき、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうというのが、この連載の狙いです。
第3回は、SCSKでセキュリティエンジニアとして働く亀田 勇歩氏です。社内で働くセキュリティエンジニアがどんな仕事をしているのか、「同じ会社で働いていてもわからない」という方が多いのではないでしょうか。亀田氏に、「企業内セキュリティエンジニアはどのような仕事をしているのか」「セキュリティエンジニアにとって大事なことは何か」をたずねます。
辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。
仕事内容は多岐にわたる
辻 伸弘氏(以下、辻氏) 亀田さんの仕事って、ずばり何なんですか?
亀田 勇歩氏(以下、亀田氏) そう言われると、正直、答えに困るんです(笑)。
辻氏 亀田さんには色々なイメージがあります。"SOCの人"というイメージがある一方で、Webのセキュリティ担当というイメージもある(笑)。
亀田氏 実は、仕事内容が多岐に渡るんです。だから、そういうイメージになるのかもしれません。肩書きとしては、「セキュリティオペレーション担当」になりますが、この"セキュリティオペレーション"という仕事の中身が幅広いんです。そのため、コミュニティ活動などの社外に出た時は「脆弱性診断の仕事をしています」と説明させていただくケースが多いですね。
 |
 |
ソフトバンク・テクノロジー 辻 伸弘氏 |
SCSK セキュリティエンジニア 亀田 勇歩氏 |
辻氏 ZAP(編集部注:Zed Attack Proxyという脆弱性診断ツール)を使いこなして仕事をしているようなイメージでしょうか?
亀田氏 社内でセキュリティ インシデントが起こった際に、「解決に導く役目」という感じですね。所属しているのがシステムインテグレーションの会社ですから、グループ会社を含めて、開発段階を含めてさまざまなインシデントが存在します。それに対処する仕事です。
辻氏 亀田さんが動き出す"トリガー"になるインシデントには、どのようなものがあるのでしょうか?
亀田氏 SOCでインシデントのログ情報から、というものが多いです。本当のインシデントなのか、そうでないのかを分析するところから始まります。
辻氏 アラートが上がった時点で分析を行い、「本当のインシデントなのか」を分析し、本当のインシデントだった際には対処を行う。そういった一連のオペレーションが業務ということでしょうか?
亀田氏 そうです。可能な限り、インシデントが起こってしまった本人の仕事に影響を及ぼすことなく、作業して問題を終息させる仕事と言うのが適当かもしれません。
辻氏 あぁ、インシデントハンドラー?
亀田氏 そうです。ただ、「本当にインシデントなのか」を分析して終了、というわけでなく、インシデントだった場合には解決まで一連の支援を行うことになるので、インシデントハンドラーだけの業務では終わらないんです。
辻氏 最初の事故のキッカケからクロージングまでの作業は、分業して行っている会社が多いため、インシデントの判別から解決まですべて担当するというのは、確かに仕事の幅が広いですね。
亀田氏 最初のアラートから、人が介入しなければならないラインまでの作業になりますから、説明しづらく......。
辻氏 仕事の範囲が広いと、誤解されたり、説明しても理解してもらえないことも多いですよね。僕はセミナーで自分の仕事についてさまざまな話をした後で、「それで辻さんの仕事って何なんですか?」って聞かれることがあります(笑)。
亀田氏 誤解されやすい仕事と思った方がいいのかもしれませんね(笑)。
辻氏 セキュリティエンジニアにも色々な人がいますが、話をしてみると"趣味の延長"のような感覚で仕事をしている人が結構多いですよね。
亀田氏 仕事の内容が幅広いため、個人でやっていることとリンクして対応することもあります。それが、悪いイメージで伝わってしまうこともあります。例えば、CTF(編集部注:デフコンなどで行われているセキュリティの模擬大会)への参加など、趣味でやっていることが公私混同のように受け止められることがあります......。
辻氏 「本来は趣味でやっていることが仕事に応用できる」という前向きな話でも、理解されにくいことが多いですよね。僕なんかは、仕事としてやっていることがエヴァンジェリストっぽい内容になることもありますし......。
亀田氏 私はテスターっぽい仕事をしているなと思うこともあれば、最終的な対策要員になっていることもあります。
辻氏 セキュリティ対策の仕事は、きちんとした縦割りが難しいので、どうしても幅広い仕事になりがちですよね。
亀田氏 技術的なスーパーアドバイザーのように、さまざまな立ち位置でアドバイスできる能力を持っていることが望まれているんでしょうね。
しんどい時にも、やりたいことは忘れない
 |
辻氏 亀田さんは何歳になるんですか?
亀田氏 2015年に30歳になりました。
辻氏 プログラマー35歳限界説や、エンジニア35歳限界説など、現場で働く限界の年齢についてさまざまな定説がありますけど、年齢はあまり重要ではありませんよね。
セキュリティの現場でいえば、「診断」は"やること"が幅広い。「その年齢になるからしんどい」ということはなくて、むしろ、色々な引き出しを持つことで、以前よりもできることが増えているんじゃないかと思っています。
亀田氏 私自身の経験で言えば、活動が広がったことで自由に勉強する時間がなくなり、「インプット時間が足りなくなった」と感じることはありますね。
辻氏 セキュリティに携わると、日々、予期しないタイミングでインシデントが舞い込んできます。そんな大変な状況でも、モチベーションを維持するためにやっていることはありますか?
亀田氏 やはり、自分自身がやりたいことを、常に頭の片隅に置いておくことですね。忙しい時ほど、やりたいことは忘れないようにしています。
辻氏 しんどい、忙しいに流されてしまうと駄目ですよね。
亀田氏 「必ずこの時間までにこれをやる」と決めたことはメモしています。落書き帳みたいなものに手書きでメモして、夜に見返すことが多いですね。疲れて寝てしまうよりも、そのメモを見直しておいた方が、仕事にもプラスかなと思います。
辻氏 疲れているからこそ"やりたいこと"を見て、思い出して元気になることもありますからね。また、仕事と趣味、その双方でパソコンを使って、この二つが相互にバランスをとっているからこそ、うまくいくのもあるかもしれません。メモに話を戻すと、書いておいた"やりたいこと"は、実現していますか?(笑)
亀田氏 全部実現することは難しいですが、一応......。
仕事を始めた経緯は?
|
|
辻氏 僕自身は、元々セキュリティのテスターの仕事をやりたいと思って仕事を始めたんですが、スタートはセキュリティではなかったんです。亀田さんは最初からセキュリティの仕事をしていたんですか?
亀田氏 いえ、初めはセキュリティの仕事ではありませんでした。学生時代はECサイト構築をしていましたし、卒業後の最初の仕事は、セキュリティではないエンジニアでした。
辻氏 幅広いセキュリティをやっていく中で、最初の仕事がセキュリティ関連ではなかったことが、セキュリティの仕事の役に立っている、ということはありませんか?
亀田氏 あります。エンジニアなど、実際に手を動かして作業している人が、「セキュリティトラブルです」と言われてどう思うか、という想像をしっかりできることですね。エンジニア目線で物事を考えることは、この仕事で重要だと考えています。
辻氏 セキュリティの仕事がしたいのであれば、色々な業務を体験することがプラスになりますよね。実際にインシデントが起こってハンドリングする中で、エンジニアとのやり取りで気をつけていることはありますか?
亀田氏 現場の調査依頼者から「調べてくれたことで、どう動いたらいいのかがわかった。知らないことを調べて、答えを出して導いてくれたのが嬉しい」と言っていただいたことがあります。こういう時は、仕事の苦労だけでなく、「やっていてよかった!」と心の底から感じますね。そういう反応をもらえる時は、機械的に指示を出すのではなく、しっかりとコミュニケーションを取り、目的を明確に示していることが大きく影響しているように感じます。「一緒に解決していきましょう」という姿勢でコミュニケーションを取れば、「セキュリティ対策の人、何しに来たんだ?」と思われることは少なくなると思います。
辻氏 寄り添って一緒に悩み、現場メンバーの一員として問題解決に取り組むことで、反応が違ってきますよね。
亀田氏 上からではなく、一緒に悩んで問題解決するということは、意識してやっています。
辻氏 僕は、セキュリティの仕事を始めて1、2年目の頃に、冷や汗をかくような失敗経験がありました。丁寧に1時間、1時間半かけて説明したあと、相手方に言われた言葉が「で、危ないの?危なくないの?」だったんです。当時は「技術的な背景を正確に、細かく説明すれば良い」と思い込んでいたんです。その経験から、「最初に相手の知りたい結論を話す」「その後、質問があればそれに答えていく」という対応に変えました。
亀田氏 ええ、まさに今の辻さんの話がインシデントが起こったあとの対応ですよね。何かが起こったことで、かかわった人は「早く直して欲しい」と思っている。「できることなら、今すぐに解決してくれ!」と相手は思っているんだけれど、解決する側は全容を調べた段階にいたって初めて解決になるので、同じ「解決」であっても、お互いに考える「解決」が、まったく違うものだったりしますよね。
辻氏 そうなんですよ。結構、ズレがありますよね。
亀田氏 ただ、提案自体がズレてしまったこともあります。パソコンがマルウェアに感染してしまったケースで、問題を100%解決するためには、パソコンを取り替えることが一番でした。でも、現場からすれば、その100%では業務に支障をきたすため「今、求めているのは100%問題解決してもらうことじゃないんだ」と"ズレ"が起きてしまったんです。
辻氏 こっちとしては、問題が100%解決する方策を提案しがちですが、100%ではない、仕事を続けられる提案を望むケースがありますね。ただ、こちらとしては「100%安全ではないけれど、こういう使い方をしないのであれば大丈夫です」という提案を行うには、かなりの勇気がいる。100%解決すべきなのか、表面的な問題が抑えられる提案をすべきなのか、判断が難しいですね。
亀田氏 こちらとしては、可能な限り納得してもらえるギリギリの提案になります。例えば、コスト優先のケースや、脅威の影響を一時的に抑えるケースなど、多面的に状況を考えねばなりません。
辻氏 一緒に悩んでみないと、答えが出てこないということですね。
亀田氏 一般論の解答では役に立たないということですね。
辻氏 改めて考えてみると、セキュリティの仕事は一筋縄ではいかないことを再認識しました。
悩んだ時にはやってみろ!と言いたい
|
|
辻氏 普段はどのように勉強していますか?
亀田氏 誰かに教えてもらうことがあれば、自分でどんどん調べていくことでようやく理解できることもあります。
辻氏 Wikipediaで調べて、体系的に理解した上で学べることがある一方で、実践で学んでいくこともありますよね。体系だてて学んだことではない、普通とは違う学び方ではあるけれど、実践したからこそ学べることは多いように感じます。
亀田氏 必ず意識するようにしているのは、脱線したとしても自分がやるべき課題に必ず戻って実践することです。自分がやるべき課題だけは、明確にしています。
辻氏 30歳というのは仕事をしていく上で一つの節目だと思います。部下を持つ年齢になり、仕事としても色々な経験を積んで周りが見えてくる年齢でもある。セキュリティとは違う仕事に手を出して、将来はどうすべきか、悩む年齢でもあると思うんですが。
亀田氏 個人的に気になっていることは、デフコンのCTFですね。数年前から携わるようになって、テクニカルな知識を学べる場としてとても参考にはなっているものの、それだけやっていても「今の仕事に役立つか?」と考えて悩んでいるフシがあります。現状認識でいえば、もっとコミュニケーション能力を磨くことが必要かなとも思います。最前線の知識を追いかけながら、自分がその知識を役立てるだけでなく、若いエンジニアに伝えたり、といった人材育成にも興味がありますね。
辻氏 学んだ技術を自分だけでなく、人にふるまう、人の口にあったものにしていく、ということも確かに必要ですね。
亀田氏 これまで「技術を伸ばす」ことは個人の課題でしたが、それだけに収まらなくなってきました。CTFでも、数年前は最前線に近いところにいましたが、今は学生がリーダー役で、それを援護する立場に変わってきたなと感じています。
辻氏 最後になりましたが、今、学生でセキュリティエンジニアになりたいと考えている人や、エンジニアとして仕事を始めて1年目、2年目という人に向けて、何かメッセージをいただけますか?
亀田氏 「やりたいことはどんどんやって」でしょうか(笑)。やるべきかどうか悩むことがあったら、まずやってみる。成功しようが、失敗しようが、それが次の機会に生きてくると思います。
辻氏 「突っ走ることができるぞ!」と思っているうちは、突っ走ってみることが必要ですね。
亀田氏 そうです。突っ走ることができる期間はそう長くないですから。
辻氏 良い言葉を頂きました。走ることができる時には走る。それが大事です!!
