デジタルトランスフォーメーション(DX)を加速するため、アプリケーションを以前にも増して迅速にリリースし、ニーズに合わせて柔軟に機能を追加していくことが求められています。同時に欠かせないのが、セキュリティの担保です。人員が限られる中、開発のスピードや生産性とセキュリティをいかに両立するか——そんな悩みを抱く企業を、セキュリティ診断や新たな開発プロセス作りを通して支援していく領域が、今注目を集めています。今回はその最前線で活躍する二人のエンジニアに、お話を伺いました。
プロフェッショナルのキャリア①:関戸 亮介
まずは関戸さんのこれまでのキャリアについて教えてください
関戸:私が新卒で入社したのはJPドメイン名の登録・管理を行う会社で、そこでレジストリシステムの開発・運用を担当していました。ネットワークオペレーターの集まりである「JANOG」のお手伝いをする機会にも恵まれ、組織を超えたつながりを通して支え合っているインターネットの世界を垣間見ることができました。
私が転職をする前に当たる2013年ごろ、国内でも相次いで大きなセキュリティインシデントが発生し、メディアでも騒がれるようになりました。注目を集めるセキュリティ分野で、より広い範囲を支援できる仕事がやりたいなと考えました。
数々の企業の中から、「総合力」でNRIセキュアを選択
NRIセキュアに転職をした経緯を教えてください
関戸:社会人になってからNRIセキュアを知りました。いろいろな企業がある中で、ユーザー企業は特定組織に閉じてしまう一方、ベンダー企業は多くのユーザー企業を支援する立場でとくに興味を惹かれました。NRIセキュアはコンサルティングだけでなく、自社ソリューションの製品開発・販売、セキュリティ監視運用を行っており幅が広いことも魅力的でした。
現在の業務:開発者としての経験を活かし、セキュアな開発プロセス作りを支援
現在の業務について教えてください
関戸:アプリケーションは、仕様の策定から設計、コーディング、テストと脆弱性診断というプロセスを経てリリースされます。かつてはこの一連の流れを順に進めるウォーターフォールと呼ばれる方式が一般的でしたが、デジタルトランスフォーメーション(DX)が進み、Webサービスの役割が高まるにつれ、1〜2週間単位でサイクルをこまめに回し、迅速に機能追加や修正を加えていくアジャイル開発や、開発者と運用担当者が協力して開発を進めるDevOpsと呼ばれるやり方が広がっています。
ただ、その中でバグや脆弱性が作り込まれる可能性はゼロではありません。むしろ、人間が行う作業である以上、間違いはあると考えるのが自然です。その間違いを見つけ出して修正する工程をプロセスの中に組み込んで、開発者と運用担当者、セキュリティ担当者が一体となって、より迅速にセキュアな成果物を生み出せる、「DevSecOps」と呼ばれる開発プロセス作りを、アプリケーションを作る人たちと同じ立場で支援しています。
最近ではDXをにらみ、アプリケーション開発の内製化に取り組むお客様が増えています。ただ、お客様企業には、アプリケーション開発の知識は持っていても、セキュリティまでわかる方となるとやはり人数は限られています。そこで、セキュリティの専門家で、かつ開発もわかる立場からさまざまなアドバイスを行っています。開発者の立場に寄り添う上で、Javaやパブリッククラウドを用いて開発を行った際の経験が生きています。
具体的な事例を申し上げると、パブリッククラウドで個人情報を預かる際にどのような暗号化を施して情報を保護するかご相談頂くことがあります。そうした、利用する側からは見えない部分についても、設計、開発段階から相談を受け、どうすべきかをお話ししています。
「DevSecOps」が必要な理由
関戸:DXに向けてアジャイル開発が取り入れられる中では、「要件定義が終わったら共通のセキュリティチェックを行いましょう」とか、「開発作業が終わった後に診断をして、すべてを修正したらリリースしましょう」といった、セキュリティを担保する従来の仕組みがフィットしなくなってきました。
従来は1回の開発量が大きかったため相対的にセキュリティ対策の負担が小さかったです。
これがアジャイル開発のように少ない開発量を繰り返し行うプロセスに変化していることから、相対的にセキュリティ対策の負担が大きくなっているためです。
そのためセキュリティ対策の効果を維持したまま負担を小さくする取り組みを進めています。従来のセキュリティゲート型では手戻りの負担が大きいことから、開発のスピードとセキュリティを両立するのに、企画・設計から開発、その後の運用までを見据えて、DevOpsに適したセキュリティの考え方やツールを取り入れています。
赤崎:セキュリティ診断を行うレッドチームの立場からお話しすると、DevSecOpsの取り組みが進んでいない場合、セキュリティ診断で非常に多くの脆弱性が検出されます。
「ここを直してください」と申し上げる箇所がたくさん出てきて、現場が突貫で頑張ることになったり、すぐに直すのが厳しいためにリスクが残存したりします。
コストやスケジュール、人員を考えると、その事情もわかるんです。ですので、DevSecOpsの取り組みを進め、文化を浸透させ、基本的なセキュリティを押さえた上で診断を行うことで双方の負担を減らす流れが必要とされていると、診断を行う側からも思います。
DevSecOpsはまだ企業には浸透していませんが、なぜでしょうか?
関戸:やり方がわからない、という要因が大きいように思います。スクラム開発のやり方を示し、チームメンバーに伝えていく「スクラムマスター」のように、最初に形を整え、やり方を示す人がいれば、DevSecOpsも進んでいくのではないでしょうか。そこが私たちの仕事でもあります。
赤崎:今までのやり方を変えることになるので、浸透するのにある程度時間がかかるのはやむを得ないことだと思います。少しずつですが、DevSecOpsの必要性を訴えていくことで変わっていくと考えています。
お客様の実情に合わせた支援で、各部署の「橋渡し役」に
実際の支援・提案で心掛けていることは何でしょうか?
関戸:お客様の実情に合わせ、どこでどうするのが一番効果的かを考えながらやり方を提案しています。一方で企画や設計の工程でご相談いただきますので、方式を見直していただける印象です。
また、必要に応じて、私たちがお客様に代わりツールの評価や導入支援を行って、お客様はセキュリティを確保した状態でアプリケーションを開発できるような支援もしています。
現在は、B2C企業の統合ユーザー基盤のセキュリティ設計・開発支援を行っています。
コンシューマー向けのサービスを展開しているため、攻撃者による悪用を防ぎつつ、エンドユーザーの使い勝手とのバランスを保ちながら、アプリケーションを設計する必要があります。
また、お客様の中にもさまざまなステークホルダーが存在します。開発にもさまざまな方々が関わる中で、誰がセキュリティ設計やリスク評価を行うかが曖昧になることもあるため、そこを私たちが整理し、「このように検討していきましょう」とお話ししています。
赤崎:いろんな部署にまたがるプロジェクトの旗振りをしつつ、各部署の橋渡しを行う立場でもあるので、大変だと思います。
プロフェッショナルのキャリア②:赤崎 英之
赤崎さんのこれまでのキャリアについて教えてください
赤崎:最初はシステムインテグレーターでネットワークエンジニアをやっていました。セキュリティアプライアンスのサポートやネットワークの設計、構築といった業務です。
サポート業務では、セキュリティアプライアンスで何かトラブルが起きたら設定ファイルを送ってもらい、トラブルの原因を切り分け、回答します。
その業務の中で、トラブルと直接関係はないものの、脆弱な設定を見つけたら「ここはこう直した方がいいですよ」とお伝えすることもしていました。現場からすればトラブルさえ直ればいいので、あまり活用されませんでしたが……。ただ、その当時の、不備を報告して直してもらいたいという思いは、今のセキュリティ診断という仕事につながっているかもしれません。
わくわくする環境を求め、異業種の「セキュリティ分野」へ挑戦
セキュリティ業界に転職をしてきた経緯について教えてください
赤崎:実は、就活の時からセキュリティ分野に興味があり、携わりたいと思っていました。ただ、セキュリティと言っても幅が広いので、何か一つ「これができる」という武器がないと戦えないんじゃないかと考えて、大学での研究も踏まえ、ネットワークとセキュリティの両方ができる会社に入ったんですね。
もともと、ネットワークとセキュリティの研究に興味を持ったのは、自分が学生の時に、「Blaster」というマルウェアが流行ったことがありました。実は自分のPCも感染してしまい、「いったい何でこうなるんだろう」と調べ始めたのがきっかけと言えるかもしれません。
ただ、いざセキュリティの部署に異動を希望したら、社内ルール上できないと言われて……それで転職活動を始めました。
数ある選択肢の中からNRIセキュアを選んだ理由について教えてください
赤崎:面接時に業務内容を伺って、一番わくわくしたことが大きな理由です。他社の面接では、後ろ向きの説明も多かったのですが、NRIセキュアでは「疑似マルウェアを使ってペネトレーションテストをしたりしてるんです」といった具合に、面白そうな、わくわくするような内容を伺えたのが大きいです。
セキュリティ分野は幅広いですし、日々新しいものが出てきます。常に成長が求められるし、成長できる分野だということも魅力でした。システムインテグレーターにいた当時より求められる幅が広がったことで、成長できた部分は大きいと感じます。
現在の業務:幅広い分野のシステムへの脆弱性診断
現在の業務について教えてください
赤崎:脆弱性診断では、システムの動作を確認し、「こんな脆弱性が見つかったので対応してください」とレポートを作成してお客様にお伝えする流れは、他社と大きくは変わらないと思いますが、サービス品質の高さに関してはアピールできるポイントと考えています。診断対象は、Webアプリケーションもあればプラットフォームもあり、限定はしていません。自動車や制御機器、ブロックチェーンを利用したシステムに対するテストの依頼もありますね。
「できません」ではなく「こうやればできます」という提案を
実際の支援・提案で心掛けていることは何でしょうか?
赤崎:お客様の状況や環境によって、たとえばサーバの数が多すぎたりして「今すぐには対応できないんだけれど、どうしたらいいでしょう」と相談を受けることもあるんですね。そんなとき、一緒に代替案を考えたり、緩和策を提案したりと、お客様の状況をくみ取って丁寧に提案するようにしています。
面白いところでは、お客様が独自に作成したプロトコルを用いたアプリケーションを診断してほしいという依頼がありました。そのときは、その独自プロトコルに合わせて任意のリクエストを投げられるツールを作成し、動作を確認したりしましたね。
基本的にNRIセキュアには「これはできません」とは言わない文化があります。代わりに「これならできます、こうやればできます」という方法を常に模索しています。
プロトコルの仕様を理解するという点では、ネットワークエンジニアとして働いていた当時、機器同士がうまく通信できないときにはRFCを読み解いて、どちらの機器にプロトコル違反があるか調べることもありました。今の仕事でもそれは役立っていると思います。
直接RFCを読み込むのはつらい部分もありますが、その結果「あ、ここが原因だな」とわかると、パズルが解けたときのようなうれしさが感じられますね。
また、お客様から見える部分は報告書しかありません。つまり、報告書を見て判断を下すことになるので、なるべく読むだけでわかるよう、丁寧に作っています。
世の中全体を安全にしていくために、セキュリティの専門家としてできること
「安全な社会を作っている」という実感がやりがいに
仕事のやりがいや成長を実感できる瞬間はありますか?
関戸:アプリケーションを作る能力とセキュリティに関する知識、両方の専門性を生かし、広く、複数のお客様を支援できることです。
この仕事を通じて世の中のいろいろなところで使われているシステムが安全になり、ひいてはそのシステムを利用する方々に安全を提供できる、世の中全体を安全にしていける仕事には、とても大きな意味があると思います。
赤崎:一技術者として脆弱性を見つけたときには、パズルが解けたときのようなうれしさがあります。それから、やはりお客様から感謝されるのは非常にうれしいですね。
システムインテグレーターにいたときは、お客様と対面することは数えるほどしかなかったのですが、この仕事では、直接お話ししてお客様のニーズを拾いながら、提案や解決策を模索できます。その結果として直接感謝の言葉をいただけると、本当にやりがいがあります。
自己学習でも成長できる部分はあると思いますが、実際の案件の中から得るものが一番大きいと思います。NRIセキュアの場合、お客様の幅も案件の幅も広いため、いろんな業務を体験できることが、成長に密接に結びついていると思います。
先輩に教えてもらいながら、営業をするときのスタンスも身につきました。以前は、「営業はやりたくないな」くらいに思っていたんです。けれど、提案や見つかった脆弱性の対応指針を相談する際、お客様のニーズを拾って話を組み立てる面白さが、だんだんわかってきた感じです。
新しい技術もどんどん出てくる中、脆弱性情報を追いかけ続けるのは大変ではないか?と言われることもありますが、新しい技術に触れられるのは成長の機会だと捉えています。同じことの繰り返しにならないのは、むしろいいことですね。
例えば、家庭で使う監視カメラの診断ができないかという相談を受けたことがありました。お話を聞いてすぐに、私の自宅に設置しているカメラの通信内容を見て、変なIPアドレスと通信したりしていないかチェックしました。
最近ではペネトレーションテストの一環で、物理的なセキュリティを気にされるお客様もいます。今後、物理的な侵入の穴をチェックしたいという要望を想定して、鍵屋に必要なスキルを習得する研修を何人かの同僚と一緒に受け、資格を取りました。NRIセキュアにはそういう人が多いかもしれませんね。
専門家集団であることの強み
NRIセキュアの強みは何でしょうか?
関戸:開発技術のトレンドやセキュリティの知識、法規制の動向のキャッチアップは、個人でやろうとしたら苦労すると思いますが、セキュリティベンダーであるNRIセキュアのいいところは、社内に各分野の専門家がおり、誰に聞いても芯のある答えが返ってくることです。相互にサポートしてもらえる組織って、やっぱり強いと感じます。
先日話題になった脆弱性もそうです。私がアプリケーションでの再現テストを行う一方で、広く情報収集を行ってきれいにまとめてくれる人もいれば、お客様をサポートしてその情報を伝えてくれる人もいます。一人だとできないことが、専門家が集まる組織だからこそできるという強みは、NRIセキュアのいいところだと思います。
赤崎:NRIセキュアは、前々から優秀な人が多そうだなと思っていたのですが、実際その通りです。互いに得意分野を生かして助け合ったり、切磋琢磨しているところがイメージ通りでした。
皆さんそれぞれに得意分野を持っています。だからこそ、自分も何か得意分野を持ち、そこを伸ばしていかないと、周りに貢献できないなと感じます。
今後の展望:脆弱性管理を高度化するための仕組み作り
今後、業務でどのようなことに挑戦をしていきたいですか?
赤崎:現在、お客様の脆弱性管理の高度化を考えています。たとえば、サーバ内にあるプロダクトのバージョンを管理し、新しく脆弱性が出てきたときに自動で判断し、パッチ適用などの対応をするという一連の流れを支援する仕組みです。
これは終わりのない永遠の課題のようなもので、今は手作業でされているお客様が多いと思いますが、それをなるべく自動化し、どうすれば効率的に、あまり手間をかけることなく進めることができるのかを考え、いずれはサービスとしてリリースできればと考えています。
今も診断を行って、「これは古いバージョンなのでバージョンアップしてください」と報告書に書くことが多いのですが、実際にお客様がそれをやろうとすると大変だと思います。こうした仕組みが1つの解になればと思っています。
もう1つ、お客様ごとに異なってくると思いますが、どんな脆弱性ならば対処すべきかを判断するトリアージの基準も決めていきたいですね。最近ですとLog4Jの脆弱性、昔ならStrutsの脆弱性の時のように、最悪の場合はサーバを止めるかどうかの判断を迫られることになります。あらゆる事態も想定して、承認フローや体制を日頃から用意しておくのも大事だと思います。
