本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
サイバー攻撃が激しさを増す中、それに対抗するセキュリティの「仕事」への関心も高まっています。セキュリティ業界で仕事をするには、専門に学んでいなければ難しいのではーーという先入観もあるようですが、そんなことはありません。「宇宙」という、一見サイバーセキュリティとは縁遠い分野を研究してきたNRIセキュアテクノロジーズ株式会社の神宮健とMBSDの福田美香の2人に、異なる領域を経験してきたからこそ感じる面白さや意気込みについて尋ねました。
NRIセキュアテクノロジーズ株式会社 IoTセキュリティ事業部 エキスパートセキュリティアーキテクト 神宮健
三井物産セキュアディレクション株式会社 セキュリティエバンジェリスト 福田美香
他業界から一転 セキュリティ業界で働くようになったきっかけは?
Q:お二人とも、学生時代はセキュリティ以外の領域を学ばれていたんですよね。
神宮:はい。私は元々宇宙に興味があり、大学では人工衛星の開発に携わる研究室に所属していました。その流れで電機メーカーに就職し、人工衛星を制御するアプリケーションの開発に8年ほど携わっていました。
福田:私も学生時代に理論天文学を専攻し、恒星の形成理論を研究していました。純粋な研究にも興味がありましたが、何らかの形で社会の役に立ちたいという思いもあり、卒業後は公務員として働くことを選びました。
Q:宇宙や天文という共通項があるお二人ですが、巡り巡ってセキュリティの仕事に就くことを選んだのはなぜでしょうか?
福田:最初の職場でフォレンジックを担当したことが1つのきっかけです。学生の頃から数値計算のためのプログラムを書いておりコンピュータに触れることが多かったため、上司に「パソコンに詳しいなら、フォレンジックもやってくれない?」と頼まれ、そこからセキュリティ業界に足を踏み入れました。
その後、結婚を機に家族のためになるような働き方を考え、公務員を退職してセキュリティ業界に転職することに決めました。ただ、根本にある「人の役に立ちたい」という思いは変わらないと思っています。
神宮:誰かの役に立つ仕事をしたいという思いは、すごくわかります。セキュリティも社会の役に立つ仕事といえますよね。
でも私は、アプリケーション開発に携わっていた当時はセキュリティは取っつきにくいと思っていました。ISMSやお客様との契約上求められる書類の管理といった「とにかく面倒くさい業務」というイメージがあったんです。
福田:それが変わったきっかけは何ですか?
神宮:2020年に参加した「DevSecOps Days Tokyo 2020」というイベントで、DevSecOpsというアプローチに触れたことです。米空軍の初代最高ソフトウェア責任者(CSO)を務めていたニコラス・シャラン氏が、従来のウォーターフォール方式ならば数年単位の時間がかかっていたであろうF16戦闘機のソフトウェアを、DevSecOpsによってたった45日間で、Kubernetesを用いてコンテナ化に成功した事例を紹介していました。
この講演を聴き、開発とセキュリティと運用の3つを統合し、開発ライフサイクル全体にセキュリティを組み込むことで、品質の高いソフトウェアを効率よく開発できることを知って、「セキュリティってすごい、自分でもやってみたい」と思うようになりました。取っつきにくかったセキュリティが、実は味方だったことに気づいた感じです。
まず、いろいろ試してみようと自宅に開発環境を構築してDevSecOpsの手法について研究し、知識を身につけていきました。もともと環境構築が好きなので、仮想マシンをいくつか立て、GitLabを使ってセキュリティテストツールを自動的に流したときにどんな課題が出るか、プログラミング言語それぞれにどんな特性があるか、課題は何かなどを試していたんです。その知識を生かして、第三者の立場から、物作りのルールやプロセスも含めた根本的な変革のお手伝いがしたいと考えるようになり、転職を決めました。
Q:セキュリティ業界にある多くの企業の中から、今の会社を選んだ理由は何でしょうか?
神宮:私の場合は、人が決め手でした。
転職活動をするまでNRIセキュアという会社はまったく知らなかったのですが、転職エージェントから「DevSecOpsというキーワードならばお勧めかもしれない」と聞き、受けてみることにしました。そうしたら、面接がすごく楽しかったんですよね。面接官がまさにDevSecOps事業部を立ち上げた事業部長で、1時間ほどの面接の半分以上が、好きなNode.jsのフレームワークや今の開発案件で抱えている課題についてなど、技術者同士の雑談という感じで好きな話ができました。「こういう職場もいいな」と思って決めました。
福田:一番いいパターンですね。
私の場合は、MBSDという会社自体は知っていましたが、募集中だったエバンジェリストという業務についてはよく知りませんでした。たまたま転職サイトで見かけ、「どんな仕事かな」とクリックしていったら応募してしまっていた、というのが本当のところです。ですがいざ面接を受けてみたら、こちらもすごくいい人たちで、「ぜひこの人たちと働きたいな」と思えました。
私は当時出産直後で、できるだけ在宅勤務やフレックスを活用して柔軟に働きたいと考えていましたが、そうした希望もしっかり聞いてくれ、とても働きやすそうなチームだなと思いました。当初はよくわからずに応募したエバンジェリストという仕事についても、具体的にどういった業務を期待しているのか示してくれたので、とても信頼できる会社だなと感じたんです。
もう一つ、フォレンジックの業務に携わる中で、マルウェア解析に携わる吉川さんの記事をよく読んでいました。本当にプロフェッショナリズムを感じる方で、そんな人と一緒に働けたら面白そうだなと感じたのも、MBSDに決めた理由の一つです。
神宮:転職されたのは、一人目の出産後だったんですか?
福田:そうです。子供というのは体調を崩しやすいものだと聞いていたので、休暇などが足りるかとても不安でした。実際、風邪を引いたり熱を出すこともありましたが、勤務体系が柔軟だったため、早朝と夜に業務を行うことで有休や病休を使い切ることもなく過ごせており、とても助かっています。
過去の経験や自分の強みを生かし 相手のことを考えながら支援や情報提供
Q:今のお仕事について教えてください。
神宮:IoTセキュリティ事業部で、自動車や半導体製造装置などのメーカーのお客様が、安全に物作りができるようお手伝いをしています。具体的な支援は2種類あります。1つは、お客様が作るデバイスに攻撃を仕掛け、突破できるかどうかを確認するデバイス診断です。もう1つは、お客様の製造ルールの中にセキュリティのプロセスをどう入れていくかのお手伝いするコンサルティングです。
Q:どんなところに苦心していますか?
神宮:診断業務での、「どこまでやるべきか」というさじ加減です。通常のソフトウェア開発の場合は要件定義書や設計書に基づいてテストを行うので、テストのスコープやテスト項目は比較的明確に決まります。一方、診断の場合は攻撃者の立場から、どこまでやるのが「相場」か、見いだすのが難しいと感じています。
またプロセス作成の支援では、お客さまごとの個別の事情にどう合わせていくかに難しさを感じています。業界ごとにガイドラインやルールが異なりますし、特に日本のメーカーさんは歴史も長く、過去の積み重ねの上に現在のプロセスが確立されているため、その中にセキュリティをどう差し込み、どの部署が何をするかを整理していくのがけっこう難しいですね。
ただ、そんなときに役立っているのが、過去にメーカーで勤務していた経験です。どの部署とどの部署の利害が衝突しがちかのイメージもわきやすいため、どのステークホルダーと会話し、話をまとめていくかという顧客調整に生かせています。
Q:どこにやりがいを感じますか?
神宮:あるメーカーのお客様にセキュリティテストの方法をまとめた要領書を作成し、提供したことがありました。ヒアリングし、お客様のプロセスを理解した上で「御社の製品ならば、このタイミングでこういったセキュリティテストが必要そうですね」とドキュメントと手順書をお渡し、実際にその手順に沿ってセキュリティテストを一緒にお試しで実施してもらいました。
その後の懇親会で、メーカーの若手の方々から、「神宮さん、どうやったらさらにスキルアップできますか」と尋ねられたことがありました。私たちが提供した手順をもとにお客様ご自身でもっとセキュリティに取り組み、より発展させていこうと考えておられることを知り、会社の枠組みを超えて、がっちりスクラムを組んで一つのプロセスを作り上げられたことを感じた瞬間でした。
福田:私も一般の方に情報を提供するブログを書いていますが、セキュリティの専門用語をかみ砕いて説明し、伝える難しさを日々感じています。手順書のようなオフィシャルな文書になると、さらに難しそうですね。
Q:福田さんのお仕事はどのようなものですか?
福田:私はリサーチャーとして、脅威情報の収集/発信をメインに行っています。5月に育休を終えて本格的に業務に復帰しましたが、最近はランサムウェアに関するマンスリーレポートの発信にも携わっています。広く世の中に情報を提供することを目的にしたもので、無料で閲覧可能です。今後は、ブログ発信などエバンジェリストとしての業務にも力を入れていきたいと考えています。
神宮:「脅威情報の収集」という言葉はよく聞きますが、具体的にはどのように進めていくのでしょうか。
福田:暴露型と呼ばれるランサムウェアの場合、攻撃グループが一般的にOnionサイトなどのダークウェブで、被害企業に対し「データを公開されたくなければ身代金を支払え」と要求するリークサイトを設置しています。そうしたリークサイトを監視し、どの国のどのような業種、どういった組織が攻撃されたかの統計を取り、必要に応じて追加調査も行っています。
Q:最近のランサムウェアの特徴はなんでしょう?
福田:体感として、最近はサプライチェーン攻撃が目立っていると感じます。複数の企業に対してサービスを提供している企業が攻撃を受けると、その顧客も被害を受け、一緒に情報を公開されてしまうという具合に、被害の裾野が広がっています。
また、「ヒューマンオペレーテッド型」と言われる人の手を用いたランサムウェア攻撃では、侵入先のサーバの中を時間をかけて精査し、どの情報が重要そうか判断した上であらかじめデータを窃取しておき、最後にランサムウェアで暗号化します。リークサイトの犯行声明には「こんな情報まで持っていますよ」と記され、きわどく、凶悪化しているケースも増えています。
Q:過去の経験が役に立っている場面はありますか?
福田:学生の時も、また公務員として働いていたときもそうでしたが、コツコツ我慢強く調べていくのが得意なことが、今のリサーチ業務にも生かされていると思います。ただ、時間の制約もある中でどこまで深掘りして調べるかの判断は、難しい部分ですね。特にOnionサイトは接続するだけで非常に時間がかかるため、その中でどうスピード感を出していくかは悩みどころです。
神宮:うちの部門にも、お客様のデバイスに関する脅威情報を注視しているメンバーがいます。SNSやいろいろなニュースサイトに載っている断片的な情報を総合的に判断しなければならず、どこまで調べるかは難しいですよね。調べていると時間を忘れてしまったりして……。
福田:そうなんです。何か国内で大きなインシデントがあると、グループ内で皆がリアルタイムでいろいろな情報を追いかけ、必死に調査に当たります。チームで一緒に調べていくと、いろいろなソースから得られた証拠が複合的に補強されるため、確信を持って、またスピード感を持って情報を発信できる側面がありますね。
また「ランサムウェア/攻撃グループの変遷と繋がり (Rev.2)」を公開した際には大きな反響をいただき、達成感を感じました。各攻撃グループの関係性を可視化するもので、調査にはかなり時間を要しましたが、チーム皆でこだわって作ったものがいろんな人に届いたことがとてもうれしかったです。
奇しくも再び「宇宙」とつながる業務も 楽しみながら「人の役に立つ仕事」を
Q:今後はどのようなことにチャレンジしていきたいと考えていますか?
福田:これまでは主にランサムウェアに重きを置いて情報収集・発信をしてきました。しかしセキュリティ業界は幅広いので、他の分野、それこそIoT関連のセキュリティの話もお伝えできるよう、知見を広めていきたいと思っています。
また、産休前に発信していたブログシリーズの再開や、チームとしての情報発信にも力を入れていきたいと思っています。より価値のあるコンテンツになるように専門知識を深めるだけでなく、読者の皆さまからのフィードバックを積極的に取り入れながら、より多くの方に届く情報発信を目指します。
Q:宇宙とサイバーセキュリティのブログはどんなきっかけで執筆したのですか?
福田:今でも「宇宙」や「星」という文字が付いている記事があるとついつい読んでしまうのですが、たまたまMBSDの社員が宇宙とサイバーセキュリティに関して執筆した記事を目にしたことがありました。それをきっかけに社内取材をして、宇宙でのサイバーセキュリティの重要性についてまとめました。
一般には意識することは少ないかもしれませんが、衛星もインターネットにつながって制御できるシステムの一つであり、攻撃者からもアクセス可能です。しかも悪用されれば影響は甚大であるため、ぜひ多くの人に興味関心を持ってもらいたいと思って執筆しました。地上のセキュリティとは異なる部分も多く、大変勉強になりました。
神宮:私は、やりたいことは大きく2つあります。
1つ目は、NRIセキュアの社内で、セキュリティエンジニアに開発について教えるプロジェクトです。お客様向けにはDevの方々にSecをお伝えしていますが、社内ではSecの人にDevを教える、という感じです。2〜6年目くらいの若手を対象に、PythonやJavaScriptを使って自らの手で診断に使うツールを開発し、開発手法や要件定義・テストも含めたプロセス全体について学んでもらう取り組みを進めています。セキュリティ診断では、攻撃に利用されやすいネットワークやインフラに近い下のレイヤーを見ることが多く、アプリケーションレイヤーにはあまり詳しくないこともあります。そこを教え、自分でツールを作れるようになってほしいとやっている取り組みですが、けっこう楽しく、引き続き発展させていきたいと思っています。
もう1つは、宇宙セキュリティのビジネス化です。自分としては、セキュリティ業界で10年くらい修行してから宇宙セキュリティに携われたらいいな、くらいに思っていたのですが、上司が乗り気なこともあって、思った以上に早く取り組むことになりました。ただ、一口に人工衛星といっても、規模も違えばアップデートの仕組みも異なります。どのように標準化が進んでいくかの動きもにらみながら、一般の衛星にもセキュリティ対策が求められる時代に向けて、長い目で取り組んでいきます。
Q:奇しくも、大学時代に学んできたこととつながりましたね。
福田:不思議なルートをたどっていると思います。
神宮:自分は基本的に、「何に役立つのか」は考えずに、「何がやりたいか」を考えて、自分の好きなことを勉強してきました。好きなことを仕事にすれば、いつかどこかでつながりますから。
Q:個人としては、どんな風に働いていきたいですか?
神宮:今もそうですが、エンジョイしながら仕事をしていきたいと思います。頑張りすぎず、さりとて頑張らないと面白くないのが仕事というものです。「北海道宇宙サミット」のような外部のイベントに参加したり、面白い仕事もこなしたりしながら日々取り組んでいきたいと思います。
セキュリティって、とても特殊な業界かと思っていましたが、考えてみると結局はソフトウェアの品質特性の一つですよね。今や世の中のあらゆるところでソフトウェアが使われているわけですから、幅の広い仕事であり、私が過去に工場勤務していた経験もすごく生きています。ですから、自分に関係ないことと考えず、これまで自分が得てきたものにセキュリティをプラスしたときにどんな発想が生まれるか。そう考えると、だれにでも関わりがあり、やりがいのある業界だと思います。
福田:私は今、かなり柔軟に働けています。子供が小さいうちは、もうしばらくチームに支えられながら働くことが多いと思います。もう少し先、子供が手のかからないようになってきたら、今度は私が支える側になって、色々な方々に還元できるような仕事の仕方をしていきたいと思っています。
セキュリティに関しては、やはり世の中や人の役に立つ仕事を続けていくという信念にこれからも基づいて、より多くの人にセキュリティに興味を持ってもらい、インシデントに直面している人の役に立つ記事や情報を提供していきたいと思っています。