セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」 | ScanNetSecurity
2024.03.29(金)

セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

製品・サービス・業界動向 新製品・新サービス
(イメージ画像)
(イメージ画像) 全 1 枚 拡大写真

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

 以前、F森さんという優秀な技術者が海外の法執行機関を研修だか国際会議出席だかで訪れた際、彼はほんの「ご挨拶」としてその法執行機関の公式ウェブサイトにアクセス、ごく短時間でそれなりにヤバい脆弱性を発見したという。至急修正すべき旨を連絡したものの「若いアジア人が何か言っている」扱い。翌朝になってもまだそのまま。全く埒が明かないため、回りくどい書き方をあえてするのだが、その脆弱性が存在し続けることで起こりうるリスクが顕在化した場合に発生し得る事象のひとつをありありと体感していただくためにある種の行動をとったという。びっくり仰天したその法執行機関は公式サイトの脆弱性をすぐに修正したそうだ。めでたしめでたし。

 最初にこの話を聞いたときは、場所も場所だし警察署で行動を起こしたランボーみたいでかっこいいというかロックというかパンクというか世界を変えていくためには時にワイルドサイドを行くことも辞さない痛快な話として聞いたし本人もある程度ネタとして喋ってもいたが、今思うにこれは、重大な病の罹患に気づいてもいない人に往復ビンタを張って病院に連れて行くようなまっすぐな優しさや愛情がそもそもの行動の発端であったような気がしてならない。

 直近の取材で、同じようにセキュリティ業務の遂行において愛を感じたのは、クラウドストライクでインシデントレスポンスなどに従事している鵜沢 裕一(と 白石 三晃 ※編集部註)に話を聞いていたときで、同社が開始したレッドチーム演習サービスの本質についての質問をしつこく繰り返していたときのことだった。(編集部註:クラウドストライク社はメディアトレーニングを経ていない人物が取材対応することが NG となっており、本稿の発言はすべて、オフィシャルには鵜沢の発言として記載している)

 曰く、レッドチーム演習はシステムの脆弱性を網羅的に羅列する脆弱性診断や、検証範囲を限定せざるを得ないペネトレーションテストと異なり、とにかくすごいという趣旨の回答だったのだが、しかしさすがにそのままは書けない。

 何度か質問を繰り返していて徐々にわかってきたのは、成功したレッドチーム演習においては、クライアントが「全く思いもしなかった」「想像だにしなかった」攻撃パスが見つかることがあり、それを見つけるために鵜沢らは、ユーザー企業以上にユーザー企業のシステムや業務、そこで働く人々、ときにはオフィスの物理構造まで深く理解し通暁し、経験と勘をフル稼働して、なおかつ時間と幸運を味方につける必要があり、いざそれ(想像だにしなかった攻撃パス)が見つかったとき、レッドチームとクライアント側のブルーチームの間には、到達感と達成感、互いの成長を促す心の交流、すなわち上質なコミュニケーションが生まれる。直接こういう言葉を鵜沢が語ったわけでは全くないが、趣旨としては明らかにそうだった。

 レッドチームという全き他者を通じて「自分自身も知らなかった自らの姿を発見」し、そこから新たな成長に繋げていく。これはもはや恋愛というか愛ではないか。高度なサービス提供においては「非代替性(その技術者以外に替わりがいない)」という状況も発生するが、これも愛の行為であることの傍証だ。

 おそらくある種のセキュリティ技術者は皆、愛をもって仕事をしているのだろうと思う。本誌編集長の上野に聞いたら「今頃そんなことに気づいたんですか」とニヤニヤされそうだし、MBSD の国分さんになど尋ねたりしたら礼儀正しくかつ上品な冷たい視線を浴びそうである。つまりは、自らそんなことを口に出す馬鹿がいないだけである。口に出さない謙虚さがあるだけである。

 しかも今回インタビューした鵜沢は、取材で年齢を聞いてはいないものの、髪に少々白いものが混じり始めており、それなりに年を食っていることが明らかだ。写真を見るにギリギリ「イケオジ」と呼べないこともないものの、機動戦士ガンダムのギレン・ザビ総帥ならきっとこのように切り捨てるに違いない。「あえて言おう。オッサンであると」

 たとえ仕事のうえでの心構えとはいえ、オッサンが愛など語り出したら、今日日(きょうび)110番通報されても誰も文句は言えない世の中だ。だからこうしてかわりに本誌が書いた。もうここでこの記事は終わりにして構わないのだが、一時間弱の鵜沢へのインタビューと、その後の複数回にわたるメールでの質問のやり取りも含めて以下にまとめたので、興味がある人は目を通していただいて構わない。ここで言いたいことは、ユーザー企業がセキュリティ業務の発注先を選ぶときに、その会社には愛があるか、その技術者には愛があるか、それを選定条件に加えて欲しい、だがそれはごく一部の例外を除いてまず無理だろう、ということである。


《高橋 潤哉( Junya Takahashi )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. 総務省、オンライン講座「これだけは知っておきたい無線LANセキュリティ対策」開講

    総務省、オンライン講座「これだけは知っておきたい無線LANセキュリティ対策」開講

  5. クラウドサービス等の課金システムを悪用、「EDoS 攻撃」とは

    クラウドサービス等の課金システムを悪用、「EDoS 攻撃」とは

ランキングをもっと見る
PageTop