日々最新の攻撃手法を学び、セキュリティ診断サービスで企業の情報システムの安全を守ることに従事する坂梨元軌。NRIセキュアテクノロジーズに入社して4年目、現在は株式会社ユービーセキュアに出向する彼が、「正義のハッカー」として働くことの魅力を語りました。
セキュリティ分野なら、常に新しい刺激を受けられる
大学では、セキュリティとはあまり関係のない「Malbolge(マルボルジェ)」という難解なプログラミング言語の研究をしていました。コードを書くこと自体も好きだったので、システム開発のアルバイトもしており、セキュリティに興味をもったのも開発者として必要なセキュリティの勉強をしていたことがきっかけです。開発者が想定していないポイント(脆弱性)を突いて行われるサイバー攻撃の手法が、技術として面白いと感じました。
就職活動では、「エンジニアとして楽しく働けること」「マネジメント中心ではなく手を動かし続けられること」を軸に企業を選んでいました。そこで当初は、プログラムを書き続けられる仕事としていわゆるWeb系ベンチャーの開発エンジニアを志望し、内定をいただけた会社もありました。
現場で働き続けられることを重視していたわけですね。NRIセキュアは何がきっかけで知ったのでしょうか?
その後就職先を考える中で、年次が上がるにつれてマネジメント業務が増えるイメージがあって敬遠していた大手IT企業も、「中を見ずに選択肢から外してしまうのはよくない」と考えるようになったんです。そして、「とりあえず話だけでも聞いてみるか」と軽い気持ちで参加した野村総合研究所(以下、NRI)の説明会でNRIセキュアを知りました。
説明会では、エンジニアが楽しく働いている雰囲気が強く伝わってきました。特に、お客さまのシステムを疑似的に攻撃して脆弱性を発見し、改善策を提案するセキュリティ診断業務に興味を持ちましたね。OB訪問でも、社員がエンジニアとして楽しく働いていると実感し、「ここしかない!」と決意。そこからはひたすら企業研究をして、内定獲得に向けて突き進みました。
なぜ開発ではなくセキュリティ分野への就職を選んだのでしょうか?
開発は個人の趣味でもできますが、セキュリティは個人では携わるのが難しい分野と考えたからです。お客さまがセキュリティ診断を受ける目的の一つに「この診断を受けたからこのシステムは安全です」という「箔(はく)付け」があり、その「箔」、つまり診断自体が信頼できるものである必要があります。一個人で、企業より大きな信頼を得ることは難しいと考え、就職するなら個人ではできないことをやろうとセキュリティ分野を選びました。
「正義のハッカー」として、お客様のシステムの穴を探していくという業務内容にも興味をそそられましたね。また、セキュリティ分野は常に新しい攻撃手法が出てくるなど変化が激しい分野なので、「知的な刺激を受け続けられて楽しそう」とも思いました。
とことん調べる癖で獲得した知識・技術がサービス価値に直結
2019年の入社から現在までに担当してきた業務を教えてください。
入社前の希望通り、セキュリティ診断業務を中心とする部署で働いています(※)。手を挙げればどんどん挑戦させてくれる環境なので、Webアプリケーション診断を中心として、ソースコード診断・ブロックチェーン診断・ペネトレーションテストなど、さまざまな診断業務を経験してきました。
※インタビュー時点。現在は株式会社ユービーセキュアに出向し、セキュリティ診断の知見を活かして診断ツールの開発に従事。
NRIセキュアに入社してから、ワクワクした業務のエピソードを教えてください。
実際の攻撃者の視点に立って悪用シナリオを考え、システムの脆弱性を利用してどこまでそれらのシナリオが実現できるかを確かめる「ペネトレーションテスト」の中で、お客さまがオフィスで使っているPCをお預かりしてテストをしたときのことです。
攻撃者はハッキングをする際に、まずPCの管理者権限の奪取を試みるのが定石です。私も、与えられた一般ユーザーの権限からいかに管理者権限を奪うか、試行錯誤を繰り返しました。もちろんお客さまも強固なセキュリティ対策を行っているのですが、それをかいくぐり、管理者権限を奪取できたときには、大きな達成感がありましたね。対策がしっかり取られているシステムほど攻略しがいがありますし、攻略できたときのエンジニアとしての喜びは桁違いです。
管理者権限の奪取は全て一人で行ったのですか?
基本的に個人で作業を進めていくのですが、社内にはさまざまな技術分野で尖ったメンバーがいるので、つまずいたとき、新しい視点が欲しいときは、皆に相談しながら進めました。社内の風通しがとてもよく、社内チャットツールでいつでも気軽に質問できるんです。
高度な知識が必要になるお仕事だと思いますが、どのように自己研鑽しているのでしょうか。
仕事でもプライベートでも、気になったことをとことん調べる癖があるので、技術知識はその過程で身につけています。例えば社内チャットに最新の脆弱性情報が出ると、それがどのように攻撃につながるか、などさらに調べています。未知のことを調べて試してみること自体が楽しいんですよね。
また、業務で気になったり必要になったりした技術に関して、申請すれば会社が関連書籍を購入してくれます。直接的に業務と関係しなくても技術書であれば比較的何でも購入してもらえるので、興味がある分野の本を何冊も購入しています。このように、会社がきちんと学ぶための投資をしてくれるのはありがたいですね。
業務を通じて社会全体に貢献できる
セキュリティ診断の仕事の魅力を感じたエピソードを教えてください。
あるシステムの診断過程で、オープンソースのライブラリの脆弱性を見つけたときは、自分が社会全体へ貢献ができていると実感しました。ライブラリとは、ソフトウェアを開発するための部品のこと。その脆弱性はライブラリの開発者にも報告し、修正されました。新人として現場に配属されてすぐの出来事だったので、強く印象に残っています。
このライブラリは世の中で広く使われているものだったので、広範囲に影響を与え得る脆弱性の修正というある種の社会貢献ができましたし、「自身でも世の中に影響を与えられるんだ」という自信にもなりました。こういった規模の仕事ができるのも、セキュリティ診断業務の魅力だと思います。
あとは既に述べたように、脆弱性という穴を見つけ出して攻撃するという、宝探しゲームのような感覚で仕事ができるのも診断業務の魅力のひとつです。
NRIセキュアならではのやりがいはありますか?
セキュリティ専業企業としては国内大手に入るので、世の中で広く使われているシステムのセキュリティ診断を担当することもあります。どんなシステムの診断を担当したかは具体的に言えませんが、世間で広く使われているシステムを「自分が守っているんだ」という自負はありますね。
生涯現役を貫ける、エンジニアには最高の環境
NRIセキュアのカルチャーを教えてください。
当社はNRIの社内ベンチャーとして発足した経緯もあり、ベンチャー気質も残っています。説明会で感じた通り、 技術が好きという共通点のもと、上司も部下も関係なくわいわい盛り上がる雰囲気で、エンジニアとして楽しく働いています。コロナ禍の前は、ランチや飲み会の場で最新の攻撃動向や先端技術の話題で盛り上がることも多かったですね(今は社内チャットにその場を移しています)。
どんな人と一緒に働きたいですか。
「技術が好き」なことは外せないポイントです。私たちはツールでは見つけ出しきれない脆弱性をマニュアルで探し出すことで、より高付加価値な診断を提供しています。限られた時間内に、何をどこまでどう試して脆弱性を見つけていくのかは、診断者の腕によるところも大きいです。
腕を磨くには技術を突き詰めて考えられることが重要で、それは技術が好きだからこそできることでしょう。次々に新しい技術や攻撃手法が出てくる中で、それらをキャッチアップし、いかに自分で深めていけるかが大切と考えています。
最後に、就活中の学生へメッセージをお願いします。
セキュリティの専門家は、セキュリティ分野についてだけ詳しければ良いわけではありません。その”セキュリティ”が守ろうとしている対象にも詳しくなければ、表面的なことしかアドバイスできません。
そのため、プログラミングでもハードウェア開発でも何でもいいのですが、実際に”手を動かす”経験をして、「作り手の気持ち」が分かるようになっていることが大事だと思っています。
作り手の気持ちが分かるようになることで、例えば診断業務であれば、ある程度プログラムの中身を想像しながら「こういう実装なら、この攻撃で突破できるのでは」と推測を立てることができるようになります。ですので、皆さんがいま興味を持っている技術分野を無我夢中で突き詰めていってもらえればと思います。
NRIセキュアは生涯エンジニアとして現役でいられる環境が整っているので、技術が大好きな方々と切磋琢磨しながら一緒に働けるのを楽しみにしています。
