セキュリティの仕事を極めるためのリファレンスガイド 第1回「セキュリティは人間臭い仕事」 | ScanNetSecurity
2024.03.29(金)

セキュリティの仕事を極めるためのリファレンスガイド 第1回「セキュリティは人間臭い仕事」

これからセキュリティの仕事をはじめたい読者や、仕事としてセキュリティに携わる読者に向けて、一線で活躍する若手のセキュリティエンジニアに取材するインタビュー企画、今回は、会社の研修の一環としてデフコンのCTFに参加するという個性豊かな組織である、サイバーデ

特集 特集
これからセキュリティの仕事をはじめたい読者や、仕事としてセキュリティに携わる読者に向けて、一線で活躍する若手のセキュリティエンジニアに取材するインタビュー企画、今回は、会社の研修の一環としてデフコンのCTFに参加するという個性豊かな組織である、サイバーディフェンス研究所のペネトレーションテスター4名に、仕事を始めたきっかけや、業務の進め方、専門のセキュリティを深く極めていくために気をつけていることなどを聞いた。

取材協力:サイバーディフェンス研究所
・中村光宏
・草場英仁
・松野真一
・ラウリ・コルツ・パルン

●システムではなく人間を相手に仕事をしたかった

【企業向けの技術セミナーの講師や、ペネトレーションテストのエンジニアを務めるサイバーディフェンス研究所のラウリ・コルツ・パルンはエストニア出身。地元のタリン工科大学でLinuxネットワークの管理者を経て、国際的なハッキングコンテストで与えられたミッションを史上最速でクリアした実績を持つ。彼がセキュリティの仕事を始めた理由はなんだろう。】

どうやってコンピュータの腕をみがきましたか?

─最初にコンピュータに出会ったのが中学のコンピュータクラブで、その後、高校のコンピュータの授業や、フィンランドで開催されていたアセンブリコンテストにも参加したかな。自由に活動している人たちの中で、楽しんで一緒にやっていたらいつの間にか、それが仕事になっていました。

─zone-h という団体が開催しているハッキングの課題を解いた後は、そのzone-hから、研修の講師の声がかかり、世界各国でハッキング研修の講師をするようになりました。いまのサイバーディフェンス研究所にもそんな雰囲気はあるのですが、おもしろい人が集まって、お互いに最高にクールな技術を見せ合うことをいつも考えていました。

なぜセキュリティの仕事をはじめたんですか?

─大学のネットワークの管理以外にも、Webアプリケーションの製作なども仕事としてやっていたんですが、もっと人と関わる仕事をしたいと考えていました。管理や開発よりも、セキュリティはとても人間臭い仕事なんです。ユーザーの心や、攻撃してくる悪い人たちの気持ちも考えなければならないですから。

●一人よがりのエンジニアにはなれない

【サイバーディフェンス研究所の草場英仁は、国産ファイアウォールの開発や、ISMS導入などの実績を持つ一方、FreeBSD等のオープンソースのコミュニティに深く関わる。また、東京大学CCRセキュリティプロジェクト運営委員の活動の他、多数の媒体に執筆を行う。草場がセキュリティのエンジニアとして成長していくために、日頃から心がけていることはシンプルな方法論だった。】

技術者としてスキルを伸ばしていく良い方法は?

─環境が大事だと思います。時間を有効に使えることや、優秀な人たちと仕事が一緒にできることなどです。サイバーディフェンス研究所では、Chris GoggansやJeff Fayなどの国際的なセキュリティ専門家と一緒にペネトレーションテストをする他、Dave AitelやRoberto Preatoniなど海外からその道の先端の講師を招いて有料セミナーとして販売していますが、そういったセミナーの目的には、まずわたしたちが彼らから主体的に技術を学びとりたいという気持ちがあります。ですので、提供するセミナーは先ずわたしたちが知りたい技術に特化してますし、セキュリティに関連していれば内容も講師も全くの自由です。

─スキルは、環境で伸ばしていくことはそれほど難しくないですが、エンジニアとしての前進のためにはセンスが不可欠だと思います。そのセンスのひとつとして、わたしは、「人に見せる」ということが大事だと考えています。オープンソースの良い点が、みんなに研究成果を見せることで前に進んでいけるところにあるように。

─わたしがやっている仕事のひとつである、企業のネットワークやWebアプリの診断という仕事は、「仕事の結果=自分の技術」という関係が他の業務よりもハッキリ出やすい。自分の技術を人に見せ続けて、いい評価も悪い評価も受け続ける。

【執筆:編集部】
【関連リンク】
サイバーディフェンス研究所
http://www.cyberdefense.jp/
研究所メンバー紹介(スタッフの顔写真など)
http://www.cyberdefense.jp/company_profile/about.html
研究所スタッフ募集
http://www.cyberdefense.jp/wanted/
※取材協力の見返りとしてサイバーディフェンス研究所所長のジャック飯沼氏(日本人)より同研究所の人材募集を掲載する旨強い依頼があったため掲載※

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る