プロアクティブなセキュリティ対策を。脅威インテリジェンスを担うアナリストの挑戦

脅威インテリジェンスグループでは、システムやアプリケーション、ソフトウェア上の脆弱性、権利侵害、脅威アクターの動向などに関する情報を、セキュリティの最新技術に精通したアナリストが取りまとめ、お客様や社内のコンサルタントやエンジニアへと展開しています。

単に脅威情報を収集するに留まらず、集めたデータを整理・加工した上で、われわれの分析や評価を加えて実用的な脅威インテリジェンスへと昇華させ、具体的なセキュリティ対策につながる価値ある情報を提供することが私たちの役割です。

また、すべての脅威に対応するのは困難なため、サイバー攻撃の対象となりうるIT資産や攻撃起点、攻撃経路を集約し、対策の優先順位を付けるのに役立つ情報提供も行っています。

セキュリティ診断や監視サービスのほか、セキュリティ製品を開発する部署と同様、お客様のセキュリティ強化を支援することがミッションですが、どちらかというと後方でサポートするのが私たちの立ち位置です

ソフトウェアやシステムのセキュリティ上の弱点を特定し、その原因や影響、悪用される可能性を調査し評価することが主な業務です。また、データを暗号化し、身代金を要求するランサムウェアと呼ばれる攻撃を仕掛ける犯罪者たちが、情報交換や企業への恐喝を行っているダークウェブ上のサイトにアクセスして、脅威に関する情報収集も定常的に行っています。

加えて、セキュリティ施策の意思決定を担う、顧客企業の責任者や経営層を対象とした月次レポートの発行も私の担当業務の1つです。サイバー攻撃の手口の種類や被害事例、脆弱性に関する情報から業界の動向まで、お客様にとって有用と思える情報を提供しています

大学で所属していた研究室にセキュリティ研究に携わる人々が多く、自然と興味を抱くようになりました。セキュリティ業界を志したのは、ドラマや映画で描かれるホワイトハッカーの活躍に魅了され、ワクワクできることを仕事にしたいと思ったからです。セキュリティを扱う企業の中でも、NRIセキュアの優秀な人材が集まっている環境に強く惹かれ、入社を決めました

CTFとは、セキュリティの知識や経験を学習・活用しながら、隠されているFlag（答え）を見つけ出し、時間内に獲得した合計点数を競うハッキングコンテストのことです。ソフトウェアの内部の詳細を分析・調査するバイナリ解析や脆弱性の仕組み等の深い知識がないと解けない難易度の高い問題ばかりで、初めて参加した時、1問も解くことができずとても悔しい思いをしました

セキュリティ対策、とくにマルウェア分析やリバースエンジニアリング^（※）においては、『0』と『1』で構成される機械語に近いアセンブリ言語の習得が欠かせません。難易度の高い言語であるため、これを正しく理解するにはかなりの時間を要します。

CTFは業務外の活動なので、コンサルタントとしての業務と並行して学習するのは簡単ではありませんでした。今も毎日、10分でも隙間時間があればCTFの勉強に充てるなど自己研鑽を続けています

定期的に勉強会を開催しているほか、週末にまとまった時間を使ってメンバーと共にCTFに取り組むなど、地道な努力が実を結び、とある国内の大会で上位に入賞することもできました。かつて遠く思えた目標に手が届くようになり、手ごたえを感じています

異動して感じているのは、CTFでの経験が業務に活かされる場面が多いということ。もちろん、CTFで得た知識がすべて役立つわけではありませんが、たとえば、脆弱性が見つかった際の、仕組みの理解やPoC（攻撃実証コード）の検証においては、CTFで培った知識やスキルが生かせる場面が多々ありました。

普段から趣味のように取り組んでいることが新たな業務に挑戦する上で心理的なハードルを下げている点も、CTFのメリットだと感じています

以前、レポートで取り上げたテーマが、当時あるお客様が憂慮していた問題とちょうど重なったことがあったんです。同業他社で同じアクシデントがあり、自社のセキュリティ対策に不安を感じていたお客様から、『タイムリーに情報提供してもらって助かりました』と、感謝の言葉をいただきました。

若干のタイムラグが生じることはありますが、レポートでは有用と思えるトピックを優先して取り上げているので、タイミング良くお客様に刺さるケースは少なくありません。貢献できている実感があり、やりがいにつながっています

思わぬところでセキュリティホールを見つけるパズル的なおもしろさがあるのは、セキュリティならでは。一般的なシステムエンジニアとはまた違った点で技術上の知的好奇心を刺激される仕事だと思います。

また、正義の名のもとで悪人と対峙する仕事はそうありません。ホワイトハッカーとして働けることに高揚感がありますし、とても挑戦しがいのある仕事です。

そして何よりセキュリティへの需要は、今後も高まるばかりです。国家とつながりのあるハッカー集団が存在する現実を踏まえると、私たちのお客様である国内企業が攻撃を受ける脅威が今後なくなることはありません。AI技術が飛躍的に進歩し診断業務などが自動化されたとしても、人が対処すべき事柄は多いため、長く働き続けられるのは魅力です

ペンテスターとは、セキュリティの弱点を発見するために意図的にコンピューターシステムやネットワーク、アプリケーションにペネトレーションテスト（侵入テスト）を実施するエンジニアのこと。単に脆弱性を診断するだけでなく、ハッカーの目線でセキュリティ対策の効果を評価し改善点を特定する、セキュリティ分野でもとくに専門性が高い職種のひとつです。

私がペンテスターをめざす理由は2つあります。まず、ペネトレーションテストは、セキュリティに関するさまざまな知識を駆使して行う、いわば総合格闘技であること。高い技術力だけでなく、セキュリティ人材としての深みも求められるため、大きな成長が期待できます。

また、ペネトレーションテストと脅威インテリジェンスは親和性が高いのが特徴です。とくに近年、脅威ベースのペネトレーションテスト『Threat-Led Penetration Testing』がトレンドになっていますが、攻撃側のシナリオを作成する際に脅威インテリジェンスで得られた情報を活用するケースが増えており、ペンテスターになることでこれまで培った経験も活かせると考えています。

そうやって業務やCTFで得た知識を組み合わせながら、 新しい価値を創出できる人材になることが今の目標です

CTFチームの活動の一環として、これまで学生向けにCTFを開催してきました。学生の皆さんに当社への関心を高めてもらおうと私が発案した取り組みですが、設問を考える過程で得られる洞察や学びが多く、自己研鑽につながっています。

現在は学生さんだけを対象としていますが、いずれは間口を広げ、一般向けに実施していけたらと考えています