ウィズセキュアの目黒潮です。当社はフィンランド・ヘルシンキに本社を持つサイバーセキュリティのサービスプロバイダーで、全世界では200人を超えるセキュリティコンサルタント(ハッカー)が在籍しています。
本連載はセキュリティコンサルタント/ハッカーの業務について、インタビューをもとに紹介していきます。ハッカーというとサイバー攻撃を仕掛ける犯罪者のイメージが強いかもしれませんが、コンピュータについての高度な知識を持つ者を指す曖昧な単語です。
この連載では「ハッカー=セキュリティのスペシャリスト」と定義しています。そのため、パーカーを着て暗い部屋に閉じこもり、緑の文字を叩くキャラクターよりはもう少し普通の会社員に近いイメージになるかもしれません。
SF映画のような興味は沸かないかもしれませんが、仕事内容をより深く見ていくと、その仕事が非常にエキサイティングなものであることは伝わるのではと思っています。よろしくお願いします。
人はどうやってセキュリティコンサルタントを目指すのか。大学を出てからすぐにトレーニングを積むだけがその道筋ではありません。連載第1回目では、当社コンサルタントのHeikki Stark(ヘイッキ・スターク)とのインタビューを通じて説明していきます。
残念ながらヘイッキ・スタークは9月末でWithSecureを退職してしまいました。このインタビューは退職前におこなっています。
セキュリティ業界に入ったきっかけ
--自己紹介と現在の業務について教えてください。
ヘイッキ:私はヘイッキ・スターク、30歳になります。WithSecureでセキュリティコンサルタントを務めています。他業界での仕事を経て、25歳の時にサイバーセキュリティ関連の職に就きました。
当社のコンサルティング部門ではインターン、ジュニアコンサルタント、コンサルタント、シニアコンサルタント、プリンシパルコンサルタントという階層になっており、私は無印のコンサルタントです。
現在、主にクライアントのセキュリティチームの一員のような存在として、セキュリティ設計においてポリシーの立案など、さまざまなことを行っています。クライアントとシームレスなプロジェクトを実施する戦略的なパートナーとして活動しています。
--セキュリティ業界に入ったきっかけはどのようなものでしょうか?
ヘイッキ:子どものころから、コンピュータや家電製品にとても興味がありました。すべてのものの中を見ないと気が済まないといいますか。例えば、デジタルテレビ用のセットトップボックスをいじって、UI(ユーザーインタフェース)をできるだけ派手にしようとか、とにかくたくさんのデバイスをいじっていましたね。
高校卒業後に、自分が何をしたいのか決められず、とりあえず店でレジ係として働き、その後フィンランドの南西スオミ県にあるトゥルク市の応用科学大学に入学しました。ビジネス寄りの内容かと思いましたが、その中にペンテスト(実際の環境を攻撃して侵入するセキュリティテスト)のコースがあり、すっかり夢中になりました。卒業後に1年間KPMGの研修生として過ごし、もう1社を経てWithSecureに入社しました。
--大学でのペンテストの授業はどのようなものでしたか?
ヘイッキ:基本的かつ最も重要だったのは、ハッカーのようにシステムを覗き込むための方法論や思考プロセスに慣れることでした。キルチェーンの考え方に基づき、まずは偵察活動をする。
そして、システムにアクセスできる場所を考え始める。侵入できたら次に何をすべきか、そういったことを考えていくのです。ツールの使い方だけではなくプロセス全体を知ることが非常に重要でした。
学校はレガシーなものを調べたりするのに最適な場所だと思います。それから、ハッキングの世界に入るための楽しい方法としてCTF (Capture The Flag) がありますが、フィンランドでも多くの学校が独自のCTF環境を構築しています。ユヴァスキュラ市では、学生たちがフィンランド政府関係者とのコラボレーションを通じて研究やリサーチをしています。
1つ印象に残っているのは、講師が「セキュリティやペンテストの分野に進むのは、本当に難しい選択になる」と話していたことです。フィンランドは非常に物価が高く、フィンランドのセキュリティ企業にペンテストを依頼する企業は少ないのです。多くのプロジェクトを抱えて残業しているときでも、いつもこの言葉がなかなか頭から離れません。
クールなものを見つけるのはいつだって楽しい
--日本では、「コンプライアンス (法令順守) から始める」という企業が多いですね。「セキュリティが必要だと言われたから」や「ISOに準拠したいから」という点からセキュリティ対策をする。攻撃者のマインドセットやアプローチから始めるという考え方は、全体像を理解するのに役立ちますね。話は変わりますが、ハッキングはクールなもので、ブラックハット的なことをやらなければ自分のスキルを発揮できないし、ハッカーとしての楽しみを味わえない、やりがいも得られないという認識もあるようですが、ブラックハットとして自分のスキルを試し、ダークサイドで生計を立てたいと思ったことは一度もないものなのでしょうか?
ヘイッキ:ブラックハットモード全開でやっていけるとはとても思えなかったです。友人から「君ほど倫理観の高い人間に会ったことがない」と言われていますし、ブラックハット的な活動をするのは私の性分に合いません。
そもそも今の仕事自体、レポート作成を除けばクールなことだらけです。クールな環境やクールなシステムにアクセスさせてもらっていますし、クライアントから「おい、最悪なことをやってみろ!」というお墨付きまでいただいている。
クールなものを見つけるのはいつだって楽しいものです。最後にクライアントに「マジか!?それどうやったんだ!?」と言ってもらうのは最高にクールです
--他の職種を経験した後でセキュリティ業界に入るのは難しかったですか?ある程度の年齢に達した後でもできることなのでしょうか?
ヘイッキ:できますが、少なくとも技術面では本当にクリエイティブでなければならないと思います。
セキュリティコンサルタントやセキュリティテスターになるには、まずテクノロジーを理解し、その上でセキュリティをどのように適用するかを理解するべきですね。でも、高度な技術を持っていない人たちでも、リスク管理などの分野では優れた能力を発揮することができます。
--セキュリティコンサルタントとして、得意とする分野や楽しいと思える分野は何でしょうか?
ヘイッキ:Webアプリケーションとクラウドセキュリティを専門としていますが、私は基本的に何でも屋であり、何事にも精通していないとも言えるかもしれません。スペシャリストというよりはジェネラリストです。
でもそのおかげで、本当に面白いプロジェクトができるということもあります。というのも、Webやクラウドをやっていると、それ以外のさまざまなプロジェクトに参加していても、似ている部分が見えてくることがあるからです。
--クライアントのセキュリティチームの一員として仕事をしていますが、セキュリティへのアプローチの変化に伴い、こうした働き方は増加しているのでしょうか?
ヘイッキ:増加していると思いますし、私たちの大きなクライアントはこういった形式にとても興味を持っています。
例えば、最近セキュリティはデザインプロセス全体の一部となっていますので、クライアントはモバイルアプリケーションをリリースする2週間前ではなく、それより前の段階からセキュリティについて考えるようになっています。
--シームレスに業務を進めるうえで、何か大きな問題はありましたか?
ヘイッキ:他の業務も並行してこなさなければいけないので、時間の制約が大きな課題ですね。セキュリティは月曜日と火曜日に対応する、というようにスケジュールが決まっているものではなく、一週間を通して起こることです。自分のスケジュールのやり繰りが唯一最大の課題ですね。
ただ、私たちがコンサルタントとして考えるセキュリティ上の課題というのは、スタート時にはより多くの時間を割いて注意を払うべきものだということを、クライアントは本当に大切にしてくれていると思います。
セキュリティのコミュニティなどにも参加
--コミュニティやボランティア活動にも関わっているそうですね?
ヘイッキ:フィンランドのコミュニティのサイバー対応チームで積極的に活動しています。私たちのコミュニティでは十分なセキュリティ対策予算を持っていない重要インフラに対する支援を行っています。
病院などにはセキュリティの専門家がいないためAPT(持続的標的型攻撃)グループからの攻撃には対処できませんので、少しでも役に立てるよう努力しています。個人的には、Vastaamo社のデータ流出被害者のために、時間の許す限り多くのサポートをしてきました。
同社は精神療法の治療機関だったのですが、これまでに起きたデータ流出の中でも最もセンシティブなものの1つだと言われています。事件後、多くの人からの「もう何が安全なのかわからない」という声を聞きましたし、そうした恐怖は理解できます。
メンタルヘルスのサービスを提供していた医療機関がハッキングされ、たった一度の情報漏えいのために、こうしたサービスへの信頼度が大幅に低下してしまったわけですから。
ボランティア活動については、人を助けることができるのであればそうすべきと思うからやっていますが、コミュニティの一員となることは、私にとって人と交わることとほぼ同義です。
サイバーセキュリティ分野の素晴らしいところは、コミュニティやミートアップに参加する人たちが同じ志を持った人たちだということです。誰でも歓迎されるし、私はそこで多くの友人を作りました。
--セキュリティから離れた自分の時間には、どんなことをしていますか?
ヘイッキ:副業でメカニカルキーボードと3Dプリントサービスを提供する小さな会社もやっていますが、結局のところ、家で一日中ビデオゲームをしているほうがいいですね。
--今後セキュリティのプロフェッショナルを目指す人たちに、何かアドバイスはありますか?
ヘイッキ:サイバーセキュリティ関連で、より多くの新しい人々に会うことですね。それと自分のキャリアにおいては、運転席ではなく後部座席に座って物事がどうあるべきかを語るだけなら簡単です。
しかし、物事が良くなるように変化を起こそうとするのは、かなり難しい。ですので、何においても、自分から積極的な役割を果たそうとすることが大切だと思います。
次回は少し視点を変えて、企業がどのようなセキュリティ対策を立てるべきかを、リスク管理のエキスパートとのインタビューを通じてご紹介します。