セキュリティの仕事を極めるためのリファレンスガイド　第2回「仕事のルール」

これからセキュリティの仕事をはじめたい読者や、仕事としてセキュリティに携わる読者に向けて、一線で活躍する若手のセキュリティエンジニアに取材するインタビュー企画、今回は、会社の研修の一環としてデフコンのCTFに参加するという個性豊かな組織であるサイバーディフェンス研究所の4名に、仕事を始めたきっかけや、業務の進め方、専門のセキュリティを深く極めていくために気をつけていることなどを聞いた。

取材協力:サイバーディフェンス研究所
・中村光宏
・草場英仁
・松野真一
・ラウリ・コルツ・パルン

●安全なネットワーク、安全なWebを増やしていくために

【サイバーディフェンス研究所の松野真一は、不正アクセス禁止法以前の時代、青春を謳歌し「インタビューで言えないようなことばかりやっていた」学生時代を過ごしたという。国内大手システム会社の就職面接で、希望職種を「セキュリティ」と記し、採用面接では一貫してハッキング技術の重要性を主張、入社以来ずっとその道を歩む。2006年から現職。そんな松野に、仕事の目標を聞く。】

仕事をしていて一番うれしいときは？

─業務ではいつも世界最高品質を目指しています。何が最高なのかは、ひとつには決められませんが、診断の過程で、他の会社が見落としていた深刻なセキュリティホールを見つけることができたときは、やはりうれしい。

─でも、僕たちが見つけた脆弱性がお客さんに報告されて、たとえばWebアプリの脆弱性であれば、次回のWebのリニューアルの時などに、同様の問題点がちゃんと改修されているのを見つけたときが一番うれしい瞬間です。僕たちの仕事によって、ネットワークの穴や、Webの悪用の可能性が無くなったり減るわけですから。

●常にお客様の立場にたって

【サイバーディフェンス研究所技術部長の中村光宏は、出版社勤務経験のある文系出身。IT業界に転身後、9年間の運用と開発実績を背景に、顧客の立場に立ったセキュリティ診断業務を実施、今では国内で150を超えるウェブサイトへのペネトレーションテストの実績がある中村に、仕事を進めるルールを聞いた。】

業務の現場で守っているルールはありますか？

─わたしの仕事は企業のネットワークや、企業のWebのセキュリティホールを見つけることです。でも、単に悪いところの指摘にはならないように注意しています。脆弱性ではなく、お客さんにとって大事なその先を説明や提案するのです。セキュリティホールがあることで、どういう攻撃をされる危険があるのか、どういう理由でそのセキュリティホールはできたのか、どんな対策を打てばその危険はどの程度減るのか、お客さんの関心はそこです。それが、開発でも運用でもない第三者としての診断業務の役割です。

【執筆：編集部】
【関連リンク】
サイバーディフェンス研究所
http://www.cyberdefense.jp/
研究所メンバー紹介（スタッフの顔写真など）
http://www.cyberdefense.jp/company_profile/about.html
研究所スタッフ募集
http://www.cyberdefense.jp/wanted/
※取材協力の見返りとしてサイバーディフェンス研究所所長のジャック飯沼氏(日本人)より同研究所の人材募集を掲載する旨強い依頼があったため掲載※