最新情報をお届けします!
不正アクセス、個人情報の漏えい…。ネットのセキュリティに関わる事故が多発する中、注目を浴びる「セキュリティエンジニア」に求められるスキルやマインド、目指すべき姿とは?セキュリティエンジニアとして、最前線で活躍するアラタナCISO・松野真一氏に、疑問をぶつけてみた。
OpenSSLやDNSに、重大な欠陥が見つかった事件は記憶に新しい。猛スピードで普及を遂げ、もはや人々にとって「インフラ」と呼べるまでに身近な存在となったインターネット。その根底を揺るがす「脆弱性」が、次々と明るみになっている。そこで、にわかに注目を集めているのが「セキュリティエンジニア」という専門家の存在だ。
ただ一言で「セキュリティエンジニア」と言っても、その担い手となるのはどんなスキル・マインドセットを持つ人物なのだろうか?
今回お話をお聞きしたのは、ECサイトの構築・運営を手がける宮崎県発のベンチャー企業「株式会社アラタナ」の松野真一氏。TBS系ドラマ「ブラッディ・マンデイ」で、ハッキングシーンの技術監修を担当した経験を持つ彼は、セキュリティベンダーを経て、アラタナの取締役CISO(Chief Information Security Officer)に就任。現在は、セキュリティチームを結成し自社サービスを利用する企業をセキュリティ面でサポートしている。
松野さんのジョインとともに結成された
ECセキュリティ対応チーム「aratana-CSIRT(アラタナシーサート)」
また、大の「馬好き」で、セキュリティの仕事をする傍ら、若くして競走馬の馬主となった異色の経歴を持つ。そんな松野氏に、セキュリティエンジニアの定義や、求められる資質、これからの役割についてうかがった。
― 今、なぜ「セキュリティエンジニア」が注目され始めているのでしょう?
松野真一さん
この10年、プラットフォームは変わりながらも、インターネットは急速に普及し、生活の中で非常に身近な存在になってきていますよね。ネットショッピングやオンラインバンキングなど、ネット上でできることも増え、通信で個人情報を用いる場面も増えてきた。
ただ、あまりに急速に成長してしまったがために、大きな弊害が起こっています。それが、「セキュリティ」の部分。ここが置いてけぼりになってしまって、個人情報の漏えいやWEBサイトの改ざんなどが起こっているんです。
例えば、インターネットを道路に例えるなら…。安全が担保されないままコンクリートがざっと敷き詰められてしまって、多くの人々が一気に車を走らせる。ただ、交通整備もろくにされていないままなので、交通事故がそこかしこで多発している状態。それが今、「セキュリティエンジニア」が求められている背景だと思いますね。
― 「こうなったら安全」というようなガイドラインがあるのでしょうか?
セキュリティには大きく3つの要素があります。「機密性」、「完全性」、「可用性」です。
実は、ただ堅牢なセキュリティを築くことは、さほど難しくないんですよ。大げさに言ってしまえば、サーバをセメントで固めて、海に沈めてしまえばいいんです。ただ、それでは情報の「可用性」に問題がある。いちいち海に潜って情報を取り出す…なんて無理ですよね。
「ここは守らなければいけないけど、ここは何もしなくて大丈夫」。そんなギリギリのラインでの線引きを、いかに適切にできるかが腕の見せ所だと思います。
― 特にやりがいに感じるのはどんな時ですか?
誰も見つけられなかった脆弱性や対策を、自分が最初に見つけるという楽しさはありますね。僕自身も前職のITベンダー時代、顧客サイトの脆弱性を何度か発見し、報告したことがあります。情報の事故を未然に防ぐ結果につながったのは、大きなやりがいにつながりましたね。
― セキュリティエンジニアになるにはどうしたらいいのでしょうか?
例えば、サーバやネットワーク、データベースといった、その各分野での知識が充分にあるということが大前提だと思います。セキュリティだけ知識を深めても、ベースの知識がなければ机上の空論になってしまいますから。
逆に言えば、私自身、セキュリティエンジニアという分野はないと思っています。つまり、その分野でのエキスパートが知識を持てば、セキュリティエンジニアと呼ばれる役割を果たすことができるし、そうあるべきだと考えています。
― 松野さん自身、セキュリティエンジニアに必要な資質は何だと思いますか?
孫子の兵法で「敵を知り、己を知れば、百戦危うからず」という言葉があります。つまり、攻撃者の手の内を理解する。敵を知る。その逆転の発想で、どう守るかを考えるんです。もっと言うとハッキングのやり方を知るということですね。私自身、前職では許可を得て、お客様のシステムをハッキングした上で、安全性をチェックしていました。
― ただ、攻撃の仕方を学ぶのは、なかなか難しいですよね?
僕は学生の頃に「ICQ」というチャットツールで学びましたね。海外の顔も知らない人と会話する中で、仲間が「パソコンがシャットダウンする」などの脆弱性を攻められる。そこで、「あいつがやられた。じゃあ一緒にやり返しに行こう」と(笑)。だから、自然と身に付いていったマインドセットとスキルだと僕は思っています。
― 最近起こっている攻撃者の手法で特に注目すべき点はありますか?
優秀なセキュリティエンジニアの存在や、インフラが整備されてきたおかげもありますが、技術的なハッキングはむしろ減ってきています。ただ、その代わりに起こっているのが、「非技術的なハッキング」です。
例えば、「パスワードリスト攻撃」。あるネットショップから個人情報を盗む。でも犯人はすぐに悪用せず、その情報を「ブラックマーケット」と呼ばれる場所に売るんです。売られたIDとパスワードのリストを買った人間は、そのIDとパスワードのセットで様々なサイトにアクセスし、利用することができるようになります。なぜなら、多くの人が、様々なサイトで共通のものを使っているからなんですよ。
難しいのは、これがハッキングではなく、正当なアクセスだということ。非常に防ぎにくい攻撃ではあるのですが、敵を知り、気づきを得ることで、どうにか解決していかなければなりません。まさに、飽くなき戦いですね。
― これから、セキュリティエンジニアにはどんな未来が待っていると思いますか?
現在、この分野をけん引しているのは、ほとんどが30代中盤のエンジニアです。「不正アクセス禁止法」が施行される前、自由にインターネットを楽しめていた世代ですね。ただ、その下が育っていない。これは我々の責任も大いにありますがね。
逆に今の20歳前後の若者は、生まれた頃からパソコンやネットワークに慣れ親しんできた世代です。彼らこそ、サーバ、ネットワークのスペシャリストでありながら、セキュリティの知識も持ち合わせているという、本来のセキュリティエンジニアの形に近い存在になってくれるんじゃないかと期待しています。
もしかしたら、僕の仕事はもうすぐなくっちゃうかもしれない(笑)。でも良いんです。そうしたら、好きな馬と一緒に過ごす時間も増えるから(笑)。余談ですが、今は競走馬の馬主としてだけでなく、騎手を目指して訓練しているところなんです。愛馬の引退試合は、ぜひ自分が騎手として出走したい。そんな風にプライベートでも夢を持つことが、仕事を頑張れている秘訣ですね。
(おわり)
[取材]松尾彰大 [文]藤田浩
編集 = 松尾彰大
4月から新社会人となるみなさんに、仕事にとって大切なこと、役立つ体験談などをお届けします。どんなに活躍している人もはじめはみんな新人。新たなスタートラインに立つ時、壁にぶつかったとき、ぜひこれらの記事を参考にしてみてください!
経営者たちの「現在に至るまでの困難=ハードシングス」をテーマにした連載特集。HARD THINGS STORY(リーダーたちの迷いと決断)と題し、経営者たちが経験したさまざまな壁、困難、そして試練に迫ります。
Notionナシでは生きられない!そんなNotionを愛する人々、チームのケースをお届け。
