とかく「セキュリティ人材不足」が叫ばれるようになって久しいが、第一線で活躍する人材にせよ、普段の業務に必要なリテラシーを身に付けた人材にせよ、何もないところからは生まれない。日々の業務やコミュニティー活動を通して、この困難な課題に取り組んでいる2人の女性ホワイトハッカーに、その歩みと思いを尋ねた。
世の中にはさまざまな仕事がある。それぞれ世のため人のためになる仕事だが、中でもセキュリティに関わる仕事は重要な仕事といえるだろう。さまざまなサイバー攻撃から人々を守る「ホワイトハッカー」もそんなやりがいのある仕事の一つだ。
セキュリティ技術を学び、正しく生かしつつ、その楽しさ、面白さを広げるコミュニティー活動に携わるホワイトハッカーの2人、中島明日香氏(日本電信電話 セキュアプラットフォーム研究所 サイバーセキュリティプロジェクトセキュリティインテリジェンスグループ)と、青山桃子氏(日立ソリューションズ セキュリティソリューション本部 セキュリティプロフェッショナルセンタ アナリスト)に、その醍醐味(だいごみ)を尋ねてみた。
――お二人がセキュリティの仕事に携わるようになったきっかけは何でしょうか。
青山氏 私がセキュリティに興味を持ったきっかけは大学生のときです。研究室の紹介で、先生が「地球防衛軍に入らないか、人を助ける仕事をしてみないか」と呼び掛けたことが印象に残り、ネットワークとセキュリティを研究する道に進みました。大学院卒業後に日立ソリューションズに入社し、7年目になります。ファイアウォール製品の検証や拡販をはじめ、脆弱(ぜいじゃく)性診断サービスに関する業務などを経験し、現在は「ホワイトハッカー」として、顧客企業へのコンサルティング支援や自社製品の開発支援、自社の人材育成などを担当しています。
中島氏 私がセキュリティの世界に入ったきっかけは、高校生のときに読んだ小説『Project SEVEN』(七瀬晶 著、アルファポリス 刊)です。「女子高生ハッカーがPC1つでサイバーテロリストから世界を救う」という内容に感激し、セキュリティを学び始めました。そして慶應義塾大学の環境情報学部に入学し、入学4日目には不正侵入検知システム研究の第一人者である武田圭史研究室の門をたたいてセキュリティについて研究してきました。
その間、研究だけではなく、セキュリティキャンプに参加したり、「Hardening Project」や「SECCON CTF」「DEFCON CTF」などさまざまなセキュリティの大会に参加したりと、4年間のびのびとセキュリティに携わることができました。大学卒業後はNTTセキュアプラットフォーム研究所に入り、セキュリティの研究、特に脆弱性の発見や対策について研究しています。ついこの間も、ニュージーランドで開催された国際会議で発表してきたばかりです。
――お二人は「CTF for GIRLS」という女性のみのセキュリティコミュニティーで活動なさっているんですよね。
中島氏 はい。CTF for GIRLSは2014年、私が入社2年目のときに発起人となって立ち上げました。本来セキュリティ技術の習得に男女の違いは関係ないはずなのに、周りを見渡すと男女比がかなり偏っています。勉強会などに行くとほとんどが男性で、その中に私が乗り込んでいくと、良い意味でも悪い意味でも目立ってしまうんですね。そこで女性にとっての心理的、社会的なハードルを下げることができないかと考え、まずCTF(注)を題材として女性限定のセキュリティワークショップを開催したのが始まりです。
※注:Capture The Flag。セキュリティの知識や技術を競うコンテストの総称
最初は参加者だけでなく運営側の中にもCTF経験者はほとんどいなかったため「CTFってこんなもので、こんな感じの問題が出ます」というところから伝えていきました。女性限定のワークショップ自体初めてだったので「どんな方向性にすべきか」「何を教えるべきか」など皆で議論し、一から築きました。周りの手助けがあるからこそ、これまで続けられています。当初から持続的なコミュニティーにしたいと考えていたこともあり、少しずつ組織作りを進めました。今は約30人の運営メンバーがいます。
青山氏 私は、その第1回のワークショップを参加者として受講しました。女性のエンジニアだけ、それもセキュリティに絞っているのにこんなに多くの仲間が集まるんだと、うれしく、とても新鮮に感じました。それでぜひ仲間に加えてほしいと思って、第2回ワークショップから運営に参加し、講師を務めたり、問題を作成したりもしています。ネットワークを専攻していた知識を生かし、ワークショップでは会場のネットワークインフラを担当して、トラブルなく受講できる環境を作っています。そういうところも含め、全部女性でやっているのがCTF for GIRLSというコミュニティーの意義だと思っています。
――お仕事の方ではどのような業務に携わっていますか?
中島氏 私が所属しているNTTセキュアプラットフォーム研究所は、NTTグループの業務だけではなく、お客さまに役立つようなサイバーセキュリティ技術を研究、開発しています。プライバシー侵害につながる恐れのある脅威について研究し、発表したり、攻撃の解析を容易にする技術を開発したり……と幅広く活動しています。
私もその一員として研究活動に携わり、また業務の一環として人材育成や執筆活動なども行っています。私が研究しているのは脆弱性発見、対策技術で、今は特にIoT(モノのインターネット)機器の脆弱性を対象としています。
グローバルに販売されているIoT機器の中には、各国の支社経由で脆弱性を修正するパッチを配布していることが少なくありません。ところが、国によってWebサイトでのパッチ公開時期に差があったり、ときにはサポート終了と明示しているわけでもないのに提供されなかったりすることを、カーネギーメロン大学との共同研究で突き止めました。攻撃者は公開済みの国からパッチを入手して解析し、攻撃コードを作成し、まだ公開されていない無防備な国のIoT機器を簡単に攻撃できてしまいます。そういったリスクがあることを、7月7日〜12日(現地時間)にニュージーランドで行われた「ACM ASIACCS 2019」という国際会議で発表しました。
その他に、脆弱性をテーマとした書籍やCTFに関する記事を執筆してセキュリティの啓発に努めたり、「Black Hat Asia」の査読員をはじめ、委員として活動したり、内外の高度人材育成プログラムで講師を務めたりと、さまざまな人材育成活動も行っています。研究をメインとしつつ、私個人の裁量に任せていただく形です。
青山氏 私の部署には、他にも数人のメンバーがいてホワイトハッカーとしてさまざまな活動を行っているのですが、メンバー全員が一同に集う象徴的な業務としては、DEFCON CTFの予選やSECCON CTFへの出場があります。事前に社内で勉強会を開催し、CTFの問題をベースにしたセキュリティ関連の知識を共有するようにしていて、徐々にCTFの順位も上がってきました。この勉強会には、セキュリティに興味を持つ従業員も参加でき、社内の人材育成にもつながっていると思います。
ホワイトハッカー部隊は高度なセキュリティスキルが求められる業務に特化していますが、そこで得られたスキルを全社に還元する目的で、グループ会社の日立ソリューションズ・クリエイトと共同でCTFを開催し、全社員やグループ会社の社員のセキュリティ意識を高める活動も行っています。
また私が所属するセキュリティソリューション本部は「秘文」といった自社開発の製品だけではなく、コンサルティングやサービスの提供、保守なども含めて、日立ソリューションズとして高いセキュリティをワンストップで提供する「トータルセキュリティソリューション」を展開しています。もともと日立グループには品質を大切にする文化があり、セキュリティもその一部と考え、取り組んでいる形です。
――ところで、そもそもホワイトハッカーとはどういう人を指すのでしょうか。
中島氏 日本では「ホワイトハッカー」という言い方をしますが、これは日本独自で、英語では「White Hat Hacker」ですね。Google Trendsで見てみると、日本でホワイトハッカーという言葉が使われ始めたのは2010年前後からです。それ以前、主に技術者の間では、高い技術力を持ってそれを良い方向に使う人を「ハッカー」、悪い方向に使う人を「クラッカー」と定義していました。
ところが、なぜかメディアや一般の方々には、「ハッカー」=「悪さをする人」という印象、誤解を持たれがちです。今のセキュリティキャンプの前身に当たる「セキュリティ甲子園」というイベントが、「ハッカー甲子園」などとやゆされ「ハッカーを育てたら、犯罪を誘発するんじゃないか」と物議をかもし、中止になったこともあります。そういった悪いイメージを払拭(ふっしょく)するために、ホワイトハッカーという言葉ができたのではないかと私は推測しています。
ただ私自身について言えば、そもそもセキュリティの世界に足を踏み入れたきっかけが、ハッカーを主人公とした小説を読んだことというのもあって、今も昔もかっこいい「ハッカー」という人たちが大好きです。言葉がどうであろうが、中身があれば関係ないと思っています。
青山氏 確かに、日本ではあまりハッカーという言葉になじみがなく、先入観として悪い印象を持ってしまうところがありますね。印象を払拭することも重要ですが、それ以上に「ホワイトハッカーは技術的に長けたものを持ち、世の中を良くするために活動しているんだよ」と、その活動内容が知れ渡れば、自然と言葉の扱いも良くなっていくのではないかと思います。
中島氏 今、私の一押しのハッカーはジョージ・ホッツさんですが、日本にも世界レベルの腕を持った方がいます。日本でホワイトハッカーが信頼されるようになるには、しっかりとした技術力があるのは前提として、自分自身の取り組みをきちんと説明できることが重要だと思います。「セキュリティ上の問題を発見した、これは大変だ」と言いっぱなしにするのではなく、何が問題で、それを直さないとどんな問題が発生するのか、そしてどう直せばいいのかを真摯(しんし)に説明することが大切です。
同時に、その話を聞くベンダー側にも、ホワイトハッカーが言っていることを理解する技術力や想像力が求められてくると思いますし、ホワイトハッカーとコミュニケーションを取りながら修正していく体制が重要です。ホワイトハッカーとベンダー、どちらの努力が足りなくてもトラブルになる可能性があります。どちらの側にも信頼を得るための努力が必要ではないでしょうか。
青山氏 ホワイトハッカーとして攻撃や脆弱性の解析を行おうとすると、ときには攻撃者視点に立ち、攻撃者の手口をトレースすることも必要になります。そこで「悪い人」という認識を持たれてしまうのかもしれません。その誤解を解くためにも、ホワイトハッカーが攻撃者目線で解析することによって「こんなことが分かりました」「こんな防御手法の有効性が分かりました」といった成果や活動内容を公開し、理解を広げていくことが必要だと思っています。そうした活動を続けていくことで、ハッカーが「悪い人」だという先入観もなくなっていくのではないでしょうか。
中島氏 攻撃の手口を知らなければ適切な守り方も分からないので、CTF for GIRLSでも攻撃系の講義をすることがあります。ただ、そのようなときは「今日ここで学んだことは、絶対に一般のサーバに対して試さないでください」と強く注意するようにしています。
青山氏 倫理面でもそうですが、知らずに法を犯してしまったというケースを防ぐためにも、必要な法的知識を理解した上で技術を身に付けていくことが必要でしょうね。
――こうした課題を踏まえた上で、ホワイトハッカーを育成し、企業ひいては日本全体のセキュリティリテラシーを向上させていくために、どのようなことに取り組んでいますか。
青山氏 セキュリティの専門家を認定する独自の人材育成プログラムが日立にはありますし、先ほど紹介した社内CTFも実施しています。技術力と同時にセキュリティへの興味関心を高めていきたいと考えています。
セキュリティを全く意識していない人がプログラミングする、開発する、サービスを提供するといったことをしてしまうと、どうしてもセキュリティホールができてしまいます。そのため「キャビネットの鍵や重要書類の取り扱い」といった物理的なセキュリティも含め、日頃から、セキュリティに関してどこに気を付けていかなければならないかを教育して従業員全体の意識を高める必要があると考えています。社内CTFで用意した問題も、できるだけ皆さんにとって身近な話題を取り上げて、興味を引きつつ、セキュリティ意識を高める気付きを与えることに注力しています。
社内CTFは過去に2回開催しましたが、中にはこの経験を通じてセキュリティへの関心を持って社内勉強会に参加してくれた人もいます。案件の中で私たちに声を掛けてセキュリティに関する相談を受けることも増えました。このような取り組みが「高度なスキルを持ったホワイトハッカー」になり得る意欲のある人材を見つけることと、社内全体のセキュリティ向上、両面で役立てばいいなと思っています。
中島氏 NTTグループも日立ソリューションズさん同様、人材育成を目的に、数年前から内部でCTFを開催しています。1日目が大会、2日目が振り返りという構成ですが、本気で勝ちにいくチームもあれば、育成を目的に若手中心で参加するチームもありますね。毎年、NTTグループから有志を募り「team enu」としてDEFCON CTF予選に参加しています。研修センターに50人くらいが集まって挑戦しており、予選突破までもう一歩というところまで来ています。さらに、セキュリティ人材認定制度を設け「初級」「中級」「上級」とリテラシー教育レベルからトップレベルの人材育成まで、各自のレベルに合わせて認定しています。
最近何かと「人材が不足している、何万人確保しろ」といった話が持ち上がります。大切なのは表面上の人数をそろえることではなく、本当に質の高い人材を育成することではないかと思います。セキュリティのことだけやっていても「応用が利かない人材」で終わる恐れがありますから、背景にあるコンピュータサイエンスについて、しっかりした知識が必要になるでしょう。そして今後重要になってくるのは「育成して増やした人材をどう活用するか」だと思います。
――CTF for GIRLSもそうした場になるでしょうか。
中島氏 確かにCTF for GIRLSは、ITに関する知識をあまり持たない人でも楽しめるように、16進数のようなコンピュータサイエンスの基礎から講義を始めています。ですが、CTF for GIRLSは人材育成を目的としたものというよりも、コミュニティーの形成を目指したものなので、ちょっと性質が違うかもしれません。
そもそも高度な人材というのは、1回の講義や1週間の合宿などで育成できるものではないと思います。中長期にわたってまとまった時間をかけ、座学だけではなく手を動かす機会がある。切磋琢磨したり、上級者と接したりする環境がある。そういった機会や環境があり、そこに本人の努力と資質が組み合わさることで初めて育成できるものだと考えます。単純に定式化できるものではありません。例えば、スポーツ業界のコーチが選手を育成する手法のように、他の業界の手法を取り入れていくのもいいのではないでしょうか。
青山氏 自分はどちらかというと自己流で学んできましたが、ある分野のコアとなる技術要素に、その分野に関して一通り学習した後に初めて気付くことが多々あります。「最初からそのコアの技術要素を抑えて学習した方がより深く理解できた」という経験から、自分が講師となって教える際には気を付けて説明するようにしています。
また、エンジニアとして成長していく上では切磋琢磨し、競い合える環境があるといいですね。CTFはまさにそういう環境ですし、CTF for GIRLSのようなコミュニティーが互いに話し合ったり、刺激を受けたりする場になればいいなと思っています。
中島氏 振り返ってみると、どこから手を付けたらいいか分からないような状態から、周りの先輩方やセキュリティ業界の皆さんに教えてもらいながらやってきた感じです。だからこそCTF for GIRLSで、自分が得た知識を還元し、教えていくことができればと思います。
――今後、お二人自身はどんな活動に注力していきますか?
中島氏 まず研究面では、世界有数のセキュリティカンファレンスで自分の研究を発表することが目標です。具体的には「Black Hat」を目指しています。コミュニティー活動については、CTF for GIRLSなど女性コミュニティーの幅を広げていくことと、CTF for GIRLSからさまざまなロールモデルとなる女性を輩出することが目標です。そのために、地方の方々に向けて講義をオンライン配信したり、海外の女性コミュニティーと連携したりと、さまざまな取り組みを始めています。2019年に開催される「Black Hat USA」では、韓国のPower of XX、台湾のHITCON GIRLSの代表者と一緒に、女性のコミュニティー活動についての発表を行う予定です。また、ロールモデルは1つに限るわけではなく、さまざまなライフイベントの中で多様な働き方をしつつ、セキュリティに携わるさまざまなロールモデルがあってもいいと思います。
青山氏 私には1歳になる子どもがいますが、もうちょっと大きくなったら親子CTFというのも面白いかもしれませんね。これからも、社外の女性エンジニアの方々とコミュニケーションが取れる貴重な機会として、CTF for GIRLSに積極的に取り組んでいきたいですし、社内でも自身の業務を進めつつ、自己研さんと後進の育成を頑張っていきたいと思っています。皆で互いに高め合っていけるといいですね。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立ソリューションズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年9月28日