こうしてセキュリティに限らず、アプリの実装や社内インフラの整備などさまざまな経験を重ねるうちに、徐々に当初の「脆弱性診断に特化したキャリアパス」という志向に変化が起きてきたと鈴木氏は言う。特に大きなきっかけとなったのが「自動テストツール」、例えばJenkinsのプラグインのような形で、「継続的インテグレーション(CI)」と呼ばれるシステム開発サイクルの中にセキュリティテストを“埋め込む”ようなツールとの出会いだ。こうしたツールの存在を知った鈴木氏は、「人手で脆弱性診断を行うよりも、自動で、もっと安価にセキュリティを実現できるシステムを構築することの方に興味を持つようになった」という。
また、自動テストツールと同時に、Webサイトなどの脆弱性を自動で見つける「脆弱性診断サービス」の存在も知った。「自分が以前行っていたような、人力で脆弱性を探したり、ログを分析したりする時代から、セキュリティの世界も自動化に向けた変化が始まっている」、そう実感した。
さらに、鈴木氏がかねてセキュリティと並行して関心を持っていたのが、「ビッグデータ」や「機械学習」といったキーワードだ。以前から「これらの技術をセキュリティに応用できないか」と考え、自己学習を行ったり、勉強会に参加したりしていたが、2015年に参加したCODE BLUEで、クラレンス・チオ(Clarence Chio)氏による「機械学習を使ったアノマリ検知」に関する講演を聞き、大きな衝撃を受けた。「自分が想像していた技術が既に実現され始めていると知り、とても刺激を受けました」(鈴木氏)。
こうして、「自動テストツール」「自動脆弱性診断サービス」「機械学習による攻撃検知」といったさまざまなテクノロジーに触れ、複数の関心分野を好奇心の赴くままに学習しながら、それぞれのアイデアを組み合わせて考えていくことで、鈴木氏は自分の目指す方向性についてのイメージを固めていったという。
「今はまだ想像しているだけなので、大きな声で言うのは恥ずかしいのですが」と前置きした上で同氏は、「例えば機械学習を使って、特定の業界に特化したアノマリ検知の仕組みが実現できないかなどと考えています」と語った。業界に特化することで、「各種ベンダーが提供する『汎用的なふるまい検知型製品』などと比べて、より『動作が軽く』『安価で』『高精度な』セキュリティを実現できるのではないか」と思い描いているのだという。さらにそうした「業界特化型のアノマリ検知システム」をプラットフォーム化し、業界全体で共有することでさらにセキュリティと利便性を高めることができるのではないかとも考えているそうだ。
※注:本構想は鈴木氏個人のもので、マネーフォワードが公式に発表しているものではありません。
最後に鈴木氏に、今後のキャリアプランについて聞いたところ、以前のような「脆弱性診断に特化したキャリアパス」を意識しなくなったことに加え、開発側の経験などを積んだことで、「セキュリティのためにシステムはこうあるべき」というセキュリティ側の視点だけでなく、「セキュリティはあくまでサービスの一部」というサービス視点を強く持つようになったのだという。
「先のことは分かりませんが、自分は興味の幅が広いので、テクノロジーだけでなく、セキュリティとサービスを両立させ、かつビジネスとのバランスも考えられるCSOのような役割を担いたいと今は考えています」と自身の将来像について語る鈴木氏。その背景には「この業界は長谷川陽介氏など、『すごいエンジニア』の方が多いので、技術だけではなく、自分ならではの立ち位置を模索していきたい」という思いもあるのだという。どんな状況にあっても、好奇心の赴くままにさまざまな分野について学び続け、自身の活路を見出していこうとする鈴木氏。アクティブで粘り強い同氏の今後の活躍に期待したい。
Copyright © ITmedia, Inc. All Rights Reserved.