インターネットを安全にしたい――「セキュリティ人材の不足」という課題を深掘りすると見えることとは：ITmedia Security Week 2022 秋

2022年9月、「ITmedia Security Week 2022」で、セキュアスカイ・テクノロジーの取締役CTOであり、若手育成で大きな役割を担うセキュリティ・キャンプ協議会の代表理事に就任した長谷川陽介氏が、「インターネットを安全にしたいんだオレたちは！」と題して講演した。本講演では、これまで＠ITでHTML5や各種Webブラウザの特徴的な挙動を追いかける連載を続けていた同氏が、なぜこれまで、そしてこれからも“インターネットを安全にしたい”と考えているのか、個人的な思いも含めた熱いトークが繰り広げられた。その熱量を伝えるべく、講演をレポートする。

[宮田健，＠IT]

「プログラマーになるつもりじゃなかった」

セキュアスカイ・テクノロジー 取締役 CTO 長谷川陽介氏

　講演タイトルにもなっている「インターネットを安全にしたい」は、現在長谷川氏が所属するセキュアスカイ・テクノロジーのミッションステートメントでもある。しかし、長谷川氏は最初からセキュリティに興味があってこの世界に入ったわけではなかったという。

　「プログラミングができれば楽しいとは思うが、その行為よりは『何かができると楽しい。何かを改善でき、手作業だったものが大きく効率アップできる』という点に興味がある」（長谷川氏）

　長谷川氏は当初、産業用電子回路の設計に従事していたという。工場や発電所などで使われる制御機器の電子回路、つまり電源やセンサー、A/D（アナログ／デジタル）変換などの設計だ。この設計の過程では、回路図の検証や部品リストの作成などを手作業する必要がある。その作業を、長谷川氏はプログラミングで省力化しようと試みる。これがうまく効率化につながり、長谷川氏のスキルを特徴付けることとなったという。

　産業用電子機器はノイズや違法無線など、環境が悪い場所でも使われる。入力に異常値があった場合、ハードウェアで対処するよりはソフトウェアも組み合わせた処理で対処する方が効率が良い。外部からの予期しない入力に対して、リトライや信号処理などを通じて、どうやって処理を安定化するか。「実はそれを調べていくと、今のセキュリティの対策につながってきた」と長谷川氏は述べる。安定稼働を脅かす“バグ”は、セキュリティの世界において“脆弱（ぜいじゃく）性”といえる。

　長谷川氏は自身を「設計のプロでもなく、ソフトウェアプログラミングのプロにもなれなかったが、それらを組み合わせたら勝負ができる」と評価していた。その頃ちょうどセキュリティコミュニティーが各地で動き始めており、長谷川氏はそういったコミュニティーに積極的に参加してセキュリティの技術やWebブラウザの挙動などに興味を持ち始めた。

　「特にブラウザは独自挙動が多く、Webアプリに発生する脆弱性の扱いは難解を極めていた。『不具合ではなく仕様』とされるものも多く、このままでは知っている人だけ攻撃に悪用できてしまう。知っている人だけが知っているのは良くないが、かといって誰にも公表できないこともあり、コミュニティーに何度も相談した」（長谷川氏）

　いま、長谷川氏はセキュリティ業界の中心地にいる。ただ、その頃の経験から、「セキュリティのコミュニティーに育ててもらった。だから恩返しをしたい」と考えている。

セキュリティの専門性は深化している――キャリアの悩みと採用の悩みへ

「ITSS+」におけるセキュリティ領域一覧（長谷川氏の講演資料から引用）