NRIセキュアでは、高度なセキュリティ業務の現場をリアルに体験できるインターンシップ「セキュリティエキスパートコース」を実施しています。インターンシップ参加後に入社した岸本 和理が、その魅力とNRIセキュアでの現在の業務について語ります。
インターンではペネトレーション業務を担当。高価なツールの検証環境を構築することに
大学時代は情報系を専攻し、大学院に進学して主にネットワーク・情報セキュリティ関連の研究室に所属していました。セキュリティ関連の職業を体験したいと、2020年にNRIセキュアのインターンシップに応募し、10日間(※)のプログラムでセキュリティ診断業務を体験しました。
※ 2024年現在は8日間の開催としています
セキュリティ診断業務とは、診断対象のセキュリティホールを事前に発見して対策方法を提案することで、情報セキュリティに関する事故を最小限にとどめることを目的としている業務です。セキュリティインシデントを未然に防ぐという観点で業務にあたります。
セキュリティ診断業務にはさまざまな種類があります。たとえば、Webアプリケーション診断やプラットフォーム診断、APIなどを対象としたAPI診断、スマートフォンアプリ診断、ペネトレーションテストなどさまざまな種類のシステムを診断します。
その中でも、インターンシップでは主にペネトレーションテストに関連する業務に従事しました。ペネトレーションテストは、攻撃者目線でお客さまのシステムを対象に疑似攻撃を行うことでシステムの安全性評価を行います。私は、このペネトレーションテストで使用するCobalt Strikeというツールの検証作業を行いました。
Cobalt Strikeというツールは、ペネトレーションテスト/レッドチーム演習などで使用するC2フレームワークです。C2フレームワークとは、攻撃対象のPCを遠隔操作したり、侵入拡大などを容易にできるように機能が整備されたものです。Cobalt Strikeは、PCにBeaconと呼ばれるプログラムを埋め込むことでさまざまなプロトコル経由で遠隔操作できたり、スクリーンショットやファイルのダウンロードなどの攻撃モジュールを簡単に実行できるようにするためのツールです。年間費用が高額なので、普段なかなか触る機会はなく、インターンシップならではの経験だったと思います。
技術面での学びだけでなく、社員との関わりが持てるのが最大の魅力
▲ペネトレーションテストの概要図。お客さまのシステム環境(顧客環境)に対して、疑似攻撃をしかけて安全性を評価する
インターン1日目は、Cobalt Strikeの検証環境の構築から始まりました。検証環境上に構築したCobalt Strikeを操作しながら、社員の指導のもとでツールの理解・使用方法を学びました。
私自身、Cobalt Strikeのような有償のC2フレームワークになじみがなかったため、まずはC2フレームワークで何ができるのかというところから始めました。また、Cobalt Strikeの機能が膨大にあり、すべての機能を検証することは難しいため、ペネトレーションテストで使用を想定している機能について社員にヒアリングを重ねつつ重要機能をピックアップして検証を進めました。
部の打ち合わせにも参加させてもらい、お客さまに対する診断結果の報告など業務内容を深く知ることができ、とても新鮮でいい刺激になり一番楽しい時間でした。
検証作業が進み、Cobalt Strikeの使用方法を理解しツールとして使えるようになった段階で検証結果をドキュメントにまとめ、誰でもペネトレーションテストで使えるよう情報の整理を行いました。最終日には、会社の役職者や受け入れ部署の社員に向けて、インターン期間中に取り組んだ内容を報告。参加者も多く、社長からも質問があったのでとても緊張しました。
インターシップは、技術面での学びだけでなく、社員との関わりが持てる機会が多くあり、とても貴重な機会となりました。昼食時には、指導してくれるインストラクターの方が他の社員を誘ってくれて、いろんな話を聴くことができました。普段の業務内容ややりがい、就職活動の経験談などWebサイトや説明会だけでは知り得ないことをたくさん教えてもらいました。
NRIセキュアのエキスパートコースには、3つの特長があると思います。
1つめは入社後働くイメージができるという点です。周りの社員は普段通り業務に取り組んでいるので、普段の働きぶりを間近で見ることができます。また、打ち合わせへの参加は、実際の業務内容を深く知ることができ、セキュリティ診断について明確なイメージを持つことができました。
2つめは、実際の業務に近い体験ができるという点です。学生では触ることのできない最先端のセキュリティ製品を使用でき、インターンシップで作成したドキュメントが実際に採用されました。
そして、3つめは社員と過ごし話す時間がたくさんある点です。経験豊富な多くの社員と会話する機会があり、普段聞けない話を聞けるのでいい刺激になり純粋に楽しめました。
入社後は、診断業務のほかに脅威動向や改善活動にも従事
セキュリティエキスパートコースでの経験が印象に残り、就職活動もNRIセキュアを希望しました。NRIセキュアの社員は、野村総合研究所(NRI)に入社してNRIセキュアへ出向という形で業務に携わります。私は、2022年にNRIに入社しNRIセキュアに出向、現在のセキュリティ診断業務に従事しています。
2年目を迎えたいま、私の担当業務はおもに3つあります。1つめはセキュリティ診断でWebアプリケーションや顧客の社内OA環境、WiFiや医療機器などを含むさまざまなシステムや機器を診断することです。テレワークの時は、自宅からお客さまの環境へアクセスして診断します。時には、お客さまのオフィスやデータセンターに赴いて診断をすることもあります。
2つめは、脅威動向情報の提供です。お客さまに最新のセキュリティ動向を知ってもらうことを目的に、世界で起きたインシデントの概要や「どうしたら防げたのか」などを考察し、レポートとして月次で配信しています。
3つめは、セキュリティ診断の質的向上を目的とした改善活動です。高いサービスレベルを維持するために、日々新たな情報を取り込み最新の診断方法を模索し続けています。
1日の典型的なスケジュールについて説明すると、所属しているチームが毎日9時半から朝会(チームミーティング)をしており、それに合わせて業務を開始することが多いです。そこでは、前日の進捗状況や当日の実施内容について共有します。また、最新技術や出会った特殊な状況などについて情報共有する内部情報共有会に参加したり、上司との1on1(1対1の面談)があれば近況や業務状況について共有し、困っていることを相談したりします。
午後には、診断結果の読み合わせを行い、診断結果に誤りがないかなどの品質担保のための認識合わせを行います。改善活動の一環として、診断作業に関する手順書の更新や打ち合わせなどの改善活動を行うほか、顧客への報告会を実施して診断結果を報告することもあります。
診断業務も午後に行うことが多いです。裁量労働制のため、時間が柔軟に使えるので途中で子どもをお風呂へ入れたり、病院へ連れて行ったりすることもあります。
達成感に加えて成長を実感。常に新鮮な気持ちでいられるのが診断業務の醍醐味
私自身、NRIセキュアでの仕事は3つのやりがいがあると思っています。1つめは、若手でも責任ある業務ができる点です。1年目から担当を任され裁量を持って進めることができ、業務の一連の流れ(案件の営業→顧客調整→診断実施→報告書作成→報告会)すべてに関わるので達成感を得られやすく、成長を実感することができます。
また、セキュリティ診断の業務特性上さまざまな案件に関わるため、常に新鮮な環境で働いていると感じます。1つの診断業務の期間はだいたい3日~2週間かかり、1カ月に3~4件担当します。今週はWebアプリケーション診断、来週はプラットフォーム診断、再来週はペネトレーションテストなど、仕事内容が日々変わります。攻撃手法も技術も絶え間なく変化するので、セキュリティの最新情報を把握した上で診断にあたらなければならないという意味では、飽きることなく新鮮な気持ちで働いています。
2つめは、社会の安全を守っているという実感が持てる点です。自分が診断を担当した顧客企業のサービスやゲームなどを、日常生活で利用することがあります。実際に利用していると、見えないところで社会を守っている実感が湧いてきます。
3つめは、同期や先輩の誰もが優秀で、そのような環境が自分にとってとても刺激になっていることです。自分も頑張ろうという気持ちを、常に持つことができます。多くの社員は自己研鑽にも時間をかけていて、会社の後押しもあります。
たとえば、私が入社してこれまでに取得した資格にはCiscoやRedHatに関する資格に加えて、国際的な資格でもあるGIACなどがあります。NRIセキュアでは資格取得に掛かる費用を会社が負担してくれるため、今後も学び続けていきたいと考えています。
NRIセキュアという会社は、業務内容ほぼすべてがセキュリティに通じるので、セキュリティ漬けの毎日が送れます。「セキュリティが好き」、「セキュリティの仕事がしたい」という人にとても良い環境で、1年目から案件を任されるので、若いうちからさまざまな経験をしたい人にもおすすめです。実際の業務を学生のうちに先取りして経験できる貴重な機会ですので、ぜひ「セキュリティエキスパートコース」のインターンにチャレンジしてほしいです。
※ 記載内容は2024年3月時点のものです
NRIセキュアの採用情報を見る
