私たちはOffensiveCyberSecurity事業部に所属し、名前のとおり攻撃的なサイバーセキュリティ技術を用いて、顧客のIT環境の安全性を守る支援を行っています。
私たちのグループはPenetration Test Groupと呼ばれていますが、ペネトレーションテストと一般的な脆弱性診断との違いは何かと言えば、脆弱性診断はあるべき正しい姿からのずれを幅広く確認するもの。一方、ペネトレーションテストは、実際に攻撃者になりきって、攻撃が成功するかどうかを試すものです
これらの資格は、ペネトレーションテスター界のデファクトスタンダードになっています。ペネトレーションテストの実施期間は、プロジェクトの規模によって異なりますが、短いものでは1週間未満、長い場合は1カ月ほどかかることも。
テスト作業は手動が中心で、顧客ごとに導入しているセキュリティ対策が異なり、それを突破する必要があるため、使用するテクニックも都度変わります。そのため、メンバー個人のスキルと経験が非常に重要なんです
私たちがペネトレーションテストを実施する上で大切にしているのは、お客様が何のためにテストを行うのか、事前にきちんと確認しておくことです。解決したいこと、成し遂げたいことをしっかり把握した上でないと、そもそも一番の価値というものをご提供できないからです。
また、お客様によっては『何のために』がはっきりしていないケースもあるので、私たちが伴走し、目的や課題を明確化するお手伝いもしています。当社は野村総合研究所グループのサイバーセキュリティ専門企業ですが、グループの使命にも掲げられているように、お客様の視点に立ち、本当に求めるものを提供できるように心がけています
大学時代は人の検知やCT・MRIなどの医療画像処理を研究していたので、その技術を活かせる職場として、監視カメラや医療サービスを展開している大手セキュリティ会社に就職しました
最初は慣れないことも多かったですが、もともとパソコンが好きだったこともあり、興味を持って楽しく取り組みました。製品開発の前段階として、脅威情報分析や攻撃技術の分析、組織を守るための研究などを行っていました
長く研究をしていると、実際の製品やサービスがどうなっているかわからなくなることがあります。そこで、実際のお客様にサービスを提供する会社で働きたいと考えました
NRIセキュアを選んだ決め手は主に2つあります。1つは幅広いセキュリティソリューションを持っていること。
もう1つは、5、6年前に参加したNRIセキュアの勉強会での印象です。社内のサークルのような集まりだったのですが非常にレベルが高く、当時社内外から100名くらい集まっていました。そこで勉強熱心な個々人が知識を共有し合う雰囲気に惹かれました
ペネトレーションテストの業務は初めてだったため、最初は先輩たちからノウハウを教えてもらいながら進めていきました。資格は持っていましたが、実際の業務ではそれ以上の経験が必要でしたね。
しかし、それまでは研究の世界に身を置いていたため、お客様に近い業務に携わることで世界が大きく広がったと感じています。実際の現場を知らなければわからなかったことがたくさんあり、日々多くのことを学んでいます。お客様のニーズや実際の課題に直接触れることで、より実践的な知識や経験を積むことができますね
当社は能力が認められれば経歴に関係なくステップアップも早いと思います。私の場合、サイバーセキュリティ領域の知見があったことと、1年目でいろんなプロジェクトやコンサルティングの動きを学んだことが評価されたのではないかと思います
私たちの仕事は、まるで謎解きのようなもの。さまざまな技術やスキルを用いて対象のシステムを突破することは、悪意あるハッカーに対して正義の立場で挑戦することも意味するので、この仕事の大きな魅力ですね
たとえばお客様に、最近のインシデントを模した手法でテストを提案することもあります。『最近こういう攻撃が流行していますが、御社のシステムは大丈夫ですか?』というアプローチで、実際にその手法を用いてテストを実施するんです。
このような提案は、お客様がまだ認識していない最新の脅威に対する防御能力を確認し、必要な対策を講じる機会を提供できるため、大きな価値となります。このような提案や対応ができるように、社内でも日々技術力の向上に努めています。最新の攻撃手法を理解し、再現できるように訓練を重ねるのは難しい取り組みですが、進化する脅威に対応するために不可欠なプロセスです
まさに『イタチごっこ』ですね。攻撃側と防御側が互いに新しい手法を開発し、対策を講じる──この繰り返しがセキュリティ分野の特徴です。時には、悪意あるハッカーが来る前に、潜在的な脆弱性を見つけて対処できることも。ホワイトハッカーとして、常に一歩先をめざして努力を続けています
あるお客様にペネトレーションテストを実施した時のことです。お客様は『テスト結果に衝撃を受けた』とおっしゃり、問題点が明らかになったことでセキュリティの重要性を再認識してくれました。そして、指摘された問題点を改善したのち、再度私たちにテストの依頼をくださったんです。
これは私たちの技術力と専門性が認められた証だと思いますし、2回目のテストでは他社と比べても圧倒的に安全な環境が構築されていました。ペネトレーションテストを通じて、お客様のセキュリティ向上に貢献できたことがとても嬉しかったですね
私たちの一番の強みは、セキュリティのトータルソリューションを提供できること。部署間の垣根が低く、互いに専門知識を共有し合える環境は非常に魅力的ですし、個々人が技術的な成長にとても前向きで、常に自己研鑽に励んでいる点も素晴らしいと思います。そうした環境だからこそ、私自身も努力を続けられると感じます。
また、NRIセキュアには高い技術やポテンシャルがあるので、もっと外部にも積極的に公開していくと良いのではないかと考えています。私自身は、研究者時代に外部発表をした経験があるので、海外のカンファレンスに参加するなど、さまざまな形で挑戦してみたいですね
サイバー脅威の増加に伴い、ペネトレーションテストの需要は確実に高まる中、稲垣はPenetration Test Groupのリーダーとして、もっと組織を成長させたいという展望も持っています。
現在のメンバーは少数精鋭ですが、サポートする人数を今後増やし、全員がペネトレーションテストを実施できるような体制を築きたいですね。優秀な人材がもっと活躍できる環境を整え、『ペネトレーションテストと言えばNRIセキュアだ』と言われる状態をめざしたいと思います
NRIセキュアでは、誰も挑戦したことがないような問題に取り組む機会が多くあります。とくにペネトレーションテストの分野については、国内トップレベルの先進的な技術で、セキュリティレベルの厳しい金融業界にも多くのサービスを提供しています。
サイバーセキュリティやペネトレーションテストの仕事と聞くと、情報系の学部で学んだ経験がないと門前払いになる……と思われがちですが、私の周囲では工学部や法律系のバックグラウンドを持つ人も活躍しています。
専門知識がなくとも、入社後のサポートや学ぶ機会が豊富なので、心配はいりません。周囲と切磋琢磨できる環境で挑戦的な仕事に取り組んでみたい──そんな方にNRIセキュアやペネトレーションテストに興味を持ってもらえたら嬉しいです
※記載内容は2024年9月時点のものです