自身の地平線を越えよ、Nessus開発者が持ち続ける「エンジニアとしての信条」:Go AbekawaのGo Global!〜Renaud Deraison編(後)(1/2 ページ)
「悪さをするより新しいシステムを作る方が楽しかった」というTenable共同設立者 兼 CTOのRenaud Deraison氏。10代から現在に至るまでセキュリティへの情熱を持ち続ける彼の目にエンジニアの未来はどう映っているのか。
世界で活躍するエンジニアの先輩たちにお話を伺う「GoGlobal!」シリーズ。前回に引き続き、「Tenable Network Security」(以下、Tenable)の共同設立者 兼 CTO(最高技術責任者)であるRenaud Deraison(ルノー・ディレイソン)氏にご登場いただく。後編ではセキュリティ教育の大切さや日本のエンジニア不足問題への解決策などを伺った。
オートメーションがエンジニアリング不足解決の鍵?
阿部川“Go”久広(以降、阿部川) 世界的にエンジニアが不足しているといわれていますが、2020年の東京オリンピックでも20万人が不足するという試算があります。もしあなただったらこのエンジニア人材不足をどのようにして解決しますか?
ディレイソン氏 サイバーセキュリティに関するエンジニアリング不足に対応するには、オートメーションを最大限、活用することが重要だと思います。
この数年DevOpsが世界的に広がり「全てのプロセスをオートメーション化する」ことが改めて注目されています。従来はマニュアルでしかできなかった多くのことが自動化でき、速く、効率的に処理できるためです。
セキュリティも同様です。難しいタスクだとは思いますが、やはりコンピュータの得意技である「自動化」が一つの答えだと思います。それによって、多様な分野を同時にカバーできるような方策を考えることが大切です。そのためには最適化を随所に施さないといけないため苦労するとは思いますが、できないことではないと思います。
セキュリティ教育で学んでほしい「悪事より楽しいこと」
阿部川 次はセキュリティ教育について伺います。日本ではあるゲームソフトが、いわゆる「DDoS攻撃」(※注)を受けたことがあります。背景には、このゲームに対して「1時間DDoSできる権利」が闇の市場で売買されていたという事実がありました。このような現実をどのようにお考えですか。
※編集注:「Distributed Denial of Service attack」の略称。複数のコンピュータから標的のサーバに、ネットワークを介した大量の処理要求を送ることでサービスを停止状態にさせてしまう攻撃
ディレイソン氏 攻撃をした人は、以前楽しくゲームをしようと思っていたのに、何かの不具合に出くわして嫌な思いをして、その報復をしたかったのかもしれません。こう言ってしまうと「嫌がらせや当て付け」といった解釈をされてしまいますが、実態はもっと重大な問題が隠れています。
それは、ハッキングによってデータを盗み、不正を行って究極的にはビジネスの基盤そのものを危険にさらすことが、簡単にできてしまうということです。ハッキングの世界では、15年ほど前にハリウッド映画の中だけで描かれていたようなコンピュータの悪用や犯罪が現実に起こっている、大変恐ろしい事態になっています。
阿部川 以前は高度な技術を持った人しか扱えなかった技術が、誰にでも手に入れられるようになったということでしょうか。そうなれば必ずしも技術的な問題ばかりではなく、感情的な問題やモラル、教育、学習などの問題も含まれます。結局のところ、ネットワークやコンピュータを正しく利用しなければ問題は起こるということですね。
世界中に優秀な子どもたちはたくさんいますが、間違った動機付けによって、単なるお金もうけなど犯罪に手を染めてしまうことも残念ながらあります。20年前、ディレイソンさんにもそうした選択肢があったと思いますが、正しい道を選び、ご自身の能力を正しい方法に用いられた。なぜそのような選択ができたのですか。
ディレイソン氏 大変良い質問です。コンピュータのセキュリティについて知識を持つと、それがどれほど大きなパワーを持っているかが分かります。私は幸いなことに、システムに侵入して何か大きなことを「しでかす」よりも、純粋なプログラマーとして新しいシステムを「作る」ことの方が楽しいと感じました。
もちろんおっしゃる通り、大変懸念される状況ではあります。というのもオンラインに関する全ては「理解の成熟度」といったようなものに起因すると考えられるからです。今、学校などでオンラインやソーシャルメディアの世界で「やって良いこと」「悪いこと」を教えるようになりました。それも現時点でそう判断できることであって、今後どう変化するかは分かりません。ただ、そうした教育の中で「悪事を働くよりも楽しいことがある」と知ってもらうことが大切だと思います。
できればプログラムの楽しさを知った優れたエンジニアが1人でも多く増えてほしいと思います。何といっても20万人のエンジニアが必要ですからね(笑)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
脆弱性検査ツール「Nessus」開発者が考える、セキュリティが成し遂げるものとは
セキュリティへの関心がまだ低かった約20年前、画期的な脆弱(ぜいじゃく)性検査ツールを発表した若きエンジニアがいる。ユーザーコミュニティーの多くの支持を受け、成長を続けている企業を先導する彼が考える「セキュリティが成し遂げるもの」とは?
金融業界の考え方を取り入れた「サイバーエクスポージャー」とは――テナブル
@ITは、2018年2月15日、大阪で「@ITセキュリティセミナー」を開催した。本稿では、テナブルネットワークセキュリティの講演「サイバーエクスポージャー:サイバーリスクを把握し、効果的に対処するための新たな手法」の内容をお伝えする。
脆弱性(vulnerability)とは
「JIS 27000:2014」における定義を採用するならば、脆弱(ぜいじゃく)性(vulnerability)とは「1つ以上の脅威によって付け込まれる可能性のある、資産または管理策の弱点」である。
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。