インターネットを安全にしたい――「セキュリティ人材の不足」という課題を深掘りすると見えることとは：ITmedia Security Week 2022 秋

2022年9月、「ITmedia Security Week 2022」で、セキュアスカイ・テクノロジーの取締役CTOであり、若手育成で大きな役割を担うセキュリティ・キャンプ協議会の代表理事に就任した長谷川陽介氏が、「インターネットを安全にしたいんだオレたちは！」と題して講演した。本講演では、これまで＠ITでHTML5や各種Webブラウザの特徴的な挙動を追いかける連載を続けていた同氏が、なぜこれまで、そしてこれからも“インターネットを安全にしたい”と考えているのか、個人的な思いも含めた熱いトークが繰り広げられた。その熱量を伝えるべく、講演をレポートする。

[宮田健，＠IT]

「プログラマーになるつもりじゃなかった」

セキュアスカイ・テクノロジー 取締役 CTO 長谷川陽介氏

　講演タイトルにもなっている「インターネットを安全にしたい」は、現在長谷川氏が所属するセキュアスカイ・テクノロジーのミッションステートメントでもある。しかし、長谷川氏は最初からセキュリティに興味があってこの世界に入ったわけではなかったという。

　「プログラミングができれば楽しいとは思うが、その行為よりは『何かができると楽しい。何かを改善でき、手作業だったものが大きく効率アップできる』という点に興味がある」（長谷川氏）

　長谷川氏は当初、産業用電子回路の設計に従事していたという。工場や発電所などで使われる制御機器の電子回路、つまり電源やセンサー、A/D（アナログ／デジタル）変換などの設計だ。この設計の過程では、回路図の検証や部品リストの作成などを手作業する必要がある。その作業を、長谷川氏はプログラミングで省力化しようと試みる。これがうまく効率化につながり、長谷川氏のスキルを特徴付けることとなったという。

　産業用電子機器はノイズや違法無線など、環境が悪い場所でも使われる。入力に異常値があった場合、ハードウェアで対処するよりはソフトウェアも組み合わせた処理で対処する方が効率が良い。外部からの予期しない入力に対して、リトライや信号処理などを通じて、どうやって処理を安定化するか。「実はそれを調べていくと、今のセキュリティの対策につながってきた」と長谷川氏は述べる。安定稼働を脅かす“バグ”は、セキュリティの世界において“脆弱（ぜいじゃく）性”といえる。

　長谷川氏は自身を「設計のプロでもなく、ソフトウェアプログラミングのプロにもなれなかったが、それらを組み合わせたら勝負ができる」と評価していた。その頃ちょうどセキュリティコミュニティーが各地で動き始めており、長谷川氏はそういったコミュニティーに積極的に参加してセキュリティの技術やWebブラウザの挙動などに興味を持ち始めた。

　「特にブラウザは独自挙動が多く、Webアプリに発生する脆弱性の扱いは難解を極めていた。『不具合ではなく仕様』とされるものも多く、このままでは知っている人だけ攻撃に悪用できてしまう。知っている人だけが知っているのは良くないが、かといって誰にも公表できないこともあり、コミュニティーに何度も相談した」（長谷川氏）

　いま、長谷川氏はセキュリティ業界の中心地にいる。ただ、その頃の経験から、「セキュリティのコミュニティーに育ててもらった。だから恩返しをしたい」と考えている。

セキュリティの専門性は深化している――キャリアの悩みと採用の悩みへ

「ITSS+」におけるセキュリティ領域一覧（長谷川氏の講演資料から引用）

　長谷川氏は次に、「ITSS+」におけるセキュリティ分野の一覧を紹介する。ひと言でセキュリティといっても、長谷川氏が過去に経験した以上にその分野は広がっている。今でいう「セキュリティ」は、施設管理や物理セキュリティ、脆弱性診断、研究開発にまで及んでいる。切り口が広くなる上に、それぞれの専門性が必要となっているのが現状だ。

　現在では大学の学科としても「セキュリティ学科」が用意されている。しかし、エンジニアとして経験した人でも、内容によっては生かせる環境が狭まってしまうくらいに深化されている。

　「同世代のセキュリティ業界の人たちにキャリアの話をしても、当時は『セキュリティ』のひと言に何もかもが含まれていて整理されておらず、『全部やる』という印象だった。もしかしたら同世代は、いろいろなことができるとしても、専門性は高くないかもしれない」（長谷川氏）

　一方、企業が「セキュリティ人材が欲しい」と述べるときの「セキュリティ」は何を指すのかがあいまいになっている。「どういうスキルを、どの程度の深さで持っている人が欲しいのか」がはっきりしない。これを明確にしなければ、採用もままならない。セキュアスカイ・テクノロジーにおいて採用も行っている長谷川氏も、今の状況について「事業推進のビジネスドメインのスキルと、Webやマルウェア解析などエンジニアリングのスキルが不可分になりつつある。キャリアパスは永遠のテーマで、答えはないのかもしれない」と述べる。セキュリティエンジニアのキャリア形成が難しいのはまさにこの点だ。

専門性の深化はキャリア形成に大きく影響する（長谷川氏の講演資料から引用）

　そして、セキュリティは専門家だけでなく、あらゆる領域に求められるようになっている。もともとITは業務の補助のために使われてきた歴史があるが、現在ではITそのものの上に事業が存在する。クラウドサービスが止まればビジネスが止まってしまうのだ。

「プラス・セキュリティ」で自分の価値を上げる

　経済産業省が2022年6月に公開した「サイバーセキュリティ体制構築・人材確保の手引き」第2版では、事業のあらゆる領域で求められるセキュリティに関して「プラス・セキュリティ」と表現されている。普通の業務にプラスし、セキュリティを考えることができる人材という意味だ。

〇「プラス・セキュリティ」とは

　自らの業務遂行に当たってセキュリティを意識し、必要かつ十分なセキュリティ対策ができる能力を身に付けること、あるいは身に付けている状態のこと。

――「サイバーセキュリティ体制構築・人材確保の手引き」第2版から引用

　長谷川氏は「普段自分は堅い資料を見ないのだが、これはわりと良いことを言っているな」と思った。これまで電子機器を設計していた長谷川氏がプログラミングで作業効率を上げてきた歴史を振り返り、「これはセキュリティも同じ。ほんの少しセキュリティを知ると、仕事の質が上がるのではないか」と話す。

　これを裏付けるエピソードを長谷川氏は紹介する。同氏が非常勤講師を務める千葉大学では、事前に法律、倫理、技術の講習を受けてライセンスを授与した上で、学内で実稼働しているWebサイトを対象とした「バグハンティングコンテスト」を2016年から毎年開催している。この中で以前、高い成績を残したのは、意外にも「園芸学部」の学生だった。授賞式のコメントが印象に残っているという。

　「その園芸学部生は、『これまで漁業や農業はITによって効率化されてきた。林業はこれから。その時に備えてセキュリティのことを知っておきたい』と述べたのが印象的だった。特別セキュリティに興味があるわけではないが、進むべき道の先にセキュリティが求められていることを理解していた。これを聞いた私たちはみな言葉を失うほどだった」（長谷川氏）

　長谷川氏は今、セキュリティ・キャンプの代表理事に就任し、その思いをキャンプでも浸透させようと尽力している。特に力を入れたいと思っているのは、技術だけではなく、講義の幅を広げることだ。新たに「心理学の視点」「セキュリティ情報を適切に伝えること」「ハッカーの倫理」などを講義のラインアップに追加したという。

長谷川氏がセキュリティ・キャンプで行ったこと（長谷川氏の講演資料から引用）

「セキュリティ人材が不足している」をどう理解するか

　さまざまな組織から挙がる「セキュリティ人材が不足している」という事実に対して、長谷川氏は少し掘り下げて考える。この解釈はさまざまだが、長谷川氏は「今の業務の中にあるセキュリティに関してよく分からないことが多いのではないか」と推察する。これは、今までセキュリティを考える必要がなかったエリアに、セキュリティが少しずつ求められるようになったからだ。その人たちにとっては新しい領域なので、負担は大きい。しかし、それを少しでも進めることが重要だ。

「セキュリティ人材が不足している」を、もう少し深掘りすると（長谷川氏の講演資料から引用）

　そのためには、重要なのは「人材育成」だ。人材育成について長谷川氏は「一方的に知識を教えるものではない」と表現する。

　「立場を理解してもらう。相手の状況も理解する。お互いの価値観を共有し合えれば、成長ができる。そのためには、自分以外の人に対しても常に興味を持ち続けることが重要。それも、自分から主体的に！」（長谷川氏）

　セキュリティの専門性が高まり、セキュリティとして求められる領域はかつてなく広い。もはや1人ではカバーし切れない。長谷川氏は「だからこそ、チームでやる。事業ドメインが細分化、深化しているのだから、各社それぞれの得意分野も異なる。だから組織同士だってチームが作れる」と強調する。

チームで成し遂げる（長谷川氏の講演資料から引用）

　長谷川氏は「今、セキュリティに関わっていない人も、セキュリティのスキルを伸ばす必要があるだろう。相互に理解し合う形で、自分も相手も成長し、チームとして成し遂げる」と話す。これこそが、長谷川氏が述べる「インターネットを安全にしたい」という言葉の裏にある熱意であり、方法論なのだ。