セキュリティの仕事を極めるためのリファレンスガイド 第2回「仕事のルール」 | ScanNetSecurity
2024.04.18(木)

セキュリティの仕事を極めるためのリファレンスガイド 第2回「仕事のルール」

これからセキュリティの仕事をはじめたい読者や、仕事としてセキュリティに携わる読者に向けて、一線で活躍する若手のセキュリティエンジニアに取材するインタビュー企画、今回は、会社の研修の一環としてデフコンのCTFに参加するという個性豊かな組織であるサイバーディ

特集 特集
facebookLINE
これからセキュリティの仕事をはじめたい読者や、仕事としてセキュリティに携わる読者に向けて、一線で活躍する若手のセキュリティエンジニアに取材するインタビュー企画、今回は、会社の研修の一環としてデフコンのCTFに参加するという個性豊かな組織であるサイバーディフェンス研究所の4名に、仕事を始めたきっかけや、業務の進め方、専門のセキュリティを深く極めていくために気をつけていることなどを聞いた。

取材協力:サイバーディフェンス研究所
・中村光宏
・草場英仁
・松野真一
・ラウリ・コルツ・パルン

●安全なネットワーク、安全なWebを増やしていくために

【サイバーディフェンス研究所の松野真一は、不正アクセス禁止法以前の時代、青春を謳歌し「インタビューで言えないようなことばかりやっていた」学生時代を過ごしたという。国内大手システム会社の就職面接で、希望職種を「セキュリティ」と記し、採用面接では一貫してハッキング技術の重要性を主張、入社以来ずっとその道を歩む。2006年から現職。そんな松野に、仕事の目標を聞く。】

仕事をしていて一番うれしいときは?

─業務ではいつも世界最高品質を目指しています。何が最高なのかは、ひとつには決められませんが、診断の過程で、他の会社が見落としていた深刻なセキュリティホールを見つけることができたときは、やはりうれしい。

─でも、僕たちが見つけた脆弱性がお客さんに報告されて、たとえばWebアプリの脆弱性であれば、次回のWebのリニューアルの時などに、同様の問題点がちゃんと改修されているのを見つけたときが一番うれしい瞬間です。僕たちの仕事によって、ネットワークの穴や、Webの悪用の可能性が無くなったり減るわけですから。

●常にお客様の立場にたって

【サイバーディフェンス研究所技術部長の中村光宏は、出版社勤務経験のある文系出身。IT業界に転身後、9年間の運用と開発実績を背景に、顧客の立場に立ったセキュリティ診断業務を実施、今では国内で150を超えるウェブサイトへのペネトレーションテストの実績がある中村に、仕事を進めるルールを聞いた。】

業務の現場で守っているルールはありますか?

─わたしの仕事は企業のネットワークや、企業のWebのセキュリティホールを見つけることです。でも、単に悪いところの指摘にはならないように注意しています。脆弱性ではなく、お客さんにとって大事なその先を説明や提案するのです。セキュリティホールがあることで、どういう攻撃をされる危険があるのか、どういう理由でそのセキュリティホールはできたのか、どんな対策を打てばその危険はどの程度減るのか、お客さんの関心はそこです。それが、開発でも運用でもない第三者としての診断業務の役割です。

【執筆:編集部】
【関連リンク】
サイバーディフェンス研究所
http://www.cyberdefense.jp/
研究所メンバー紹介(スタッフの顔写真など)
http://www.cyberdefense.jp/company_profile/about.html
研究所スタッフ募集
http://www.cyberdefense.jp/wanted/
※取材協力の見返りとしてサイバーディフェンス研究所所長のジャック飯沼氏(日本人)より同研究所の人材募集を掲載する旨強い依頼があったため掲載※

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  3. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  4. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  5. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  6. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  7. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  8. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  9. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  10. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

ランキングをもっと見る
ホーム 特集 特集 記事
TOP