teamstory-main-visual01

teamstory-text01

ITやインターネットの利用拡大に伴って高まり続けるリスク。誰もが安全に安心してITの魅力を享受できる社会をつくるために、NRIセキュアは大きな使命を担う。田中悠一郞も、その先頭に立つひとりだ。田中は入社後わずか5年で、日本初となるセキュリティ診断サービスを世に送り出した。なぜそれができたのか?そこにはNRIセキュアらしい、小さな、しかし強力なチームの存在があった。
teamstory-profile01
PROFILE

田中 悠一郎

2016年入社

Webアプリケーションのセキュリティに興味を持ち入社。“仕事を楽しく”をモットーに、新しい学びを求めて先輩や部下と切磋琢磨する日々を送る。

仕事であっても、自分が
夢中になれることに
取り組みたいと思っていた。

田中は中学で野球を、高校でテニスを楽しんだ。「スポーツが好きな普通の中学生、高校生だったと思う」と振り返る。大学で籍を置いた環境情報学部も、広く先端的な科学技術を学ぶことを特徴としていた。特定の分野に絞り込んで進学したのではないという意味では、ここでも「普通の大学生」だったといえるかもしれない。しかし、1年次から研究室に所属できるという特色を持つ大学で、田中は「何となくおもしろそうに感じて」情報セキュリティを扱う研究室に進んだ。それが田中の針路を決めることになった。「セキュリティの世界にはまりました。これとこれを組み合わせると突破できるとか、まるでパズルを解くような面白さがあったんです」。
広範囲にわたるセキュリティ分野の中でも、Webアプリケーションのセキュリティに興味を持ち、その脆弱性や攻撃手法について学んでいった。大学での年次を重ね、やがて始めた就職活動も「情報セキュリティ」をキーワードに行い、研究室の先輩が働いていたNRIセキュアの存在を知った。
「多くの社員が自主研究をするなど、自由に働ける雰囲気を感じました。CTFと呼ばれる、セキュリティ技術を競い合うコンテストがあって、それにも業務とは関係なくチームをつくって取り組んでいた。技術的なことに関心のある人が多いのは良いなと感じました。仕事であっても、自分のモチベーションが上がるもの、楽しめるものをやりたいという気持ちが強かった。NRIセキュアならそれができそうだと思いました」。
teamstory-rolemodel01-1-sp
teamstory-rolemodel01-2-sp

田篭 照博

2008年入社

Cyber Security Services Department

入社3年目に出会った先輩が
ロールモデルになった。

配属はサイバーセキュリティサービス一部(当時)だった。学生時代から馴染みがあったWebアプリケーションのセキュリティ診断を担った。業務にはすぐに馴染むことができ、お客様のWebアプリケーションに直接触れる楽しさも味わった。しかし2年目に入って扱う業務量が増えるにつれ、田中はこのままで良いのかと思うようになった。
「数多くの案件をこなすことで手順にも慣れ、概ね1人でこなせるようになりました。一方で、1年目に上司から「仕事の中で自分なりのバリューを出すことを考えろ。まだ誰もやっていないことに挑戦し、その分野で第一人者になれ」と激励され、自分でも大きな目標としていただけに、現時点での自分とのギャップが辛かった」。
その田中が改めて前を向くきっかけを得たのは、年次が3年目に上がりサイバーセキュリティサービス二部(当時)に異動したことだった。新たに所属したチームでは、主業務がセキュリティ診断であることは変わらなかったが、Webアプリケーションだけでなくスマートフォンのアプリケーションも対象としていた。また、実際に内部へ侵入を試みてそれが成功するかどうかを検証するペネトレーションテストや、最先端のブロックチェーン診断など、今まで自分が取り組んだことのない新たなテーマへの対応も求められた。学ばなければならないことも多い。新しい刺激が、田中には心地良かった。中でも、NRIに入社後、セキュリティを専門的に学びたいとNRIセキュアに異動して業務に就いていた田篭照博との出会いは、田中の大きなターニングポイントになった。田篭のセキュリティエンジニアとしての実績は群を抜いている。ブロックチェーンなどの新たな領域へ積極的に研究の幅を広げ、多忙な業務の傍らブロックチェーンとビットコインについて、それぞれ入門的な解説書も上梓していた。楽しく学び続けながら仕事をしたいと思っていた田中にとって、田篭はまさにロールモデルというべき存在だった。その田篭が隣の席にいた。

スマートコントラクトに対する
攻撃の成功が切り拓いた
未知の世界に挑戦する面白さ。

異動と共に、Webアプリケーション診断に加えさまざまな仕事が始まり、田中は入社当時のフレッシュな気持ちを取り戻していた。しかしすぐに田篭と同じプロジェクトを担うことはなかった。しかも田篭には自分の世界があり仕事のペースがあって、無駄話をするようなタイプでもない。田中はやや距離を置いて田篭のことを見ていた。
そんなある日のことだ。仕事の手が空いた田中の様子を見て、田篭が「悠ちゃん、このプログラム組んでくれる?」と頼んだ。それをきっかけに、2人は日常的に言葉を交わすようになり、ブロックチェーンのセキュリティ診断の案件が田篭に持ち込まれると「一緒にやろう」と田中を誘った。会話こそ少なかったが、田篭もまた隣席の田中のことはよく見ていた。「真面目な性格で、作業の基本動作がしっかりしている。技術に対する探求心もあり、僕の本も読んでくれていたようです」。
この時田篭が田中に求めたのは、スマートコントラクト※1というブロックチェーン上で動くプログラムをWeb経由で攻撃できるのではないか、それを試してほしい、というものだった。「当初診断していた対象システムでは、スマートコントラクトは直接攻撃できないと認識されていました。もしこれが可能なら、セキュリティ上非常に大きな脅威になります」。
しかし攻撃は簡単ではなかった。ブロックチェーンについてはもちろんのこと、暗号技術についての高度な知識も欠かせない。いったんは諦めかけた田中だが「できるでしょう」と田篭に言われて改めてチャレンジ、丸1日費やしてツールを開発し、見事攻撃に成功した。
「危険度の高い攻撃に成功するということは、非常に価値が大きい。まだ誰も扱っていない領域を自分で開拓し、セキュリティに関する新たな価値を提供することは、エンジニアとしてこの上ない喜び。田中はそれが分かる人間だったから、もう少し頑張れの一言で粘ってくれた。良い経験になったと思います」。
スマートコントラクトへの攻撃の成功は、田中の前に新しい世界を拓いた。もう少し広く、未開拓の分野にも挑戦したいと思うようになった。それはまもなく、再び田篭との二人三脚で実現する。

※1スマートコントラクトとは、プログラム化された自動的に実行できる契約のこと。事前に実行条件と契約内容を定義しておき、条件に合致した取引が発生すると自動で実行される。証券決済、不動産取引、シェアリングエコノミーを始め、契約を伴うさまざまな領域での適用が検討されている。

teamstory-image01-1
teamstory-superior01-1
上司からのメッセージ
teamstory-superior01-2

京山剛大

DXセキュリティ事業二部
部長(当時)

私のほうが後から部に加わった形で、田中さんはすでに高い専門性を発揮しながら業務を進めて成果を出していました。普段は寡黙で冷静沈着ですが、決して控えめということはなく、新たな技術や業務機会へのチャレンジ意欲は非常に高いものを持っていました。北米駐在の田篭さんとのコンビは素晴らしかったし、実際、大きな成果を上げました。私は各人が高い専門性をもち自身にとってのチャレンジを続けること、それが顧客に訴求できる価値活動につながること、そしてその経験が自身へのフィードバックとなりさらに専門性が高まること、このループを続けていくことを意識して部の運営を行っていましたが、まさに2人はそれに応えてくれた存在です。

コンテナオーケスト
レーションシステムの
診断サービスを開発
日本初となる商品をリリース。

入社4年目を迎えた田中たちの所属部署はDXセキュリティ事業二部と名称を変え、田篭は北米支社の所属となって日本を離れた。日本を離れてまもなくして、米国の田篭から手伝って欲しいことがあるという依頼が舞い込んだ。ブロックチェーンで世界的に知られたある企業のエンジニアが、田篭に直接持ち込んだ案件だった。
「田篭さんからの依頼は、コンテナオーケストレーション※2ツールの代表格であるKubernetes(クーバネティス)を利用したシステムのセキュリティ上の問題点を明らかにしたい、というものでした。当時、Kubernetesを対象にしたセキュリティ診断の実施実績はありません。しかし利用は急拡大している。重要な仕事だと思いました」。当時新たに着任した部長の京山も、2人の専門性が活きるこのプロジェクトを全面的にバックアップしたいと考えていた。
実際に手を付けてみると、難問だらけだった。まずKubernetesそのものを深く理解しなければならない。さらにそのセキュリティに関するドキュメントは世界に分散しており、対策として示されているものが有効か確認するため、疑似環境の下で、この脆弱性にはこういう攻撃ができると手を動かしながら、一つひとつ確かめる必要がある。しかしもともと田中は新しいことを学ぶのが好きだ。難しければ難しいほど集中力が増した。田篭とは半日を超える時差がある。日本の日中の時間で整理した情報や問題点を、北米で朝を迎える田篭に伝え、やがて夜を迎える田篭が田中にバトンを渡すという作業が続き、まもなく田中は問題点を田篭に示した。
「Kubernetesの不備を巧みに突いて、クラスタ全体を完全に掌握していたことに驚きました。対象のシステムでは特殊なライブラリを使っていて、設定によっては容易に攻撃できてしまうということを田中はひとりで見つけたんです。クライアントも強い感銘を受けていました」。 その後、田篭は「この診断を商品化しよう」と田中に確認。日本版は田中が、北米版は田篭が作業を進めることに決め、日米両国でリリースすることにした。まもなく、日本初となるコンテナオーケストレーションに特化したセキュリティ診断サービスが誕生した。

※2コンテナは、より少ないコンピュータリソースで仮想化を実現するためにOS上に構築されたアプリケーション実行環境のこと。コンテナオーケストレーションは、コンテナのデプロイ(運用環境への配置)やスケーリング(拡張)などを自動的に行うもので、その代表的なツールにKubernetesがある。

積極的に守備範囲を広げ
自分のバリューを高めていく。

2020年春、田中はそれまでのDXセキュリティ事業二部から同一部に移った。主業務がセキュリティ診断であることに変わりはなく、入社以来のWebアプリケーション診断も継続しているが、さらに複数のサービスのプロジェクトオーナーとしてサービスの品質向上に取り組んでいる。田篭が北米に移った今、ブロックチェーンに関連するセキュリティ診断の多くは田中が捌き、実績のないセキュリティ診断にも取り組む。
「最近では、アプリケーション間の通信に使われる比較的新しい技術に関係する診断の依頼がありました。診断手法が確立されているものでもなく、NRIセキュアでも実施実績はなかったのですが、もう田篭さんに頼ってばかりではいられません。新たにたくさんのプログラムを書く必要があったので、プログラミングに長けた後輩に声をかけ、2人で診断に取り組みました。試行錯誤の結果、なんとかやり抜き、それを従来の診断メニューの中に組み込みました」。
入社以来田中は、自らのキャリアステップを、漠然とだがWebアプリケーションのセキュリティの専門家として、と考えていた。しかし今は、積極的に守備範囲を広げ、自分のバリューを高めていこうとしている。
「やはり技術者としては、手を動かしながら新しいことを発見し覚えていくという経験が楽しいですね。基本的にセキュリティ診断は中身が見えない仕事です。これを入れたらこういう動きをする。ではこれだったらどうだろう、と試しながら考えていくしかない。手を動かさなければできない仕事であり、その結果、思ってもいないものが発見できる面白みがあります。田篭さんとの案件ではいつもそういう経験をさせてもらいました。良い意味で仕事ということを忘れて夢中で取り組むことができた。ワクワクする仕事こそ優先しろといわれたこともあり、実際にそういう機会を与えてもらった。感謝しかありません」。
今、田篭は北米に滞在を続け、AIのセキュリティという新たな課題に、世界の最前線で取り組んでいる。
「ブロックチェーンからは少し離れていますが、そこは田中がいてくれるから心配はしていません。僕は新しい領域に挑戦しながら、ひとりのエンジニアとして先進領域でまだ世の中にないサービスを開発していきたいと思っています」と語る。そして田中にはこんな言葉を残した。
「とがったスペシャリストとして活躍してほしい。セキュリティの世界でジェネラリストになる道ももちろんあります。それも価値がある。しかし、コアスキルを持ちながら、常に現場で進化していくスペシャリストが絶対に必要であり、田中はそういう存在になれると思います。これからは今まで以上に、自分からこうしたいとスタンスを定め、自ら機会をつくって成長していってほしい。田中なら絶対にできますよ」。


それをチームと呼んでいいのかどうか分からない。ある目的のもとにアサインされ、プロジェクトリーダーの下、業務を整然と分担し打ち合わせを重ねながら工程表に基づいて動くのがチームだとすれば、田中と田篭、それを見守った京山の3人をチームとは呼びにくい。しかし、互いの知識や技術力をリスペクトし、判断や疑問をぶつけ合いながら新たなサービスの開発に向かった2人のスペシャリストと、それを後ろで支えた京山は間違いなくベストのチームだっただろう。自立したスペシャリストが、切磋琢磨しながら夢中になれることを見つけ、やり抜く。そして一歩も二歩も成長しながら、次の目標に向かっていく。それはNRIセキュアらしいチームだ。次は田中が、新たなチームを引っ張っていく。

teamstory-image01-2

NRI SecureTechnologies, Ltd.

PAGE TOP