2024年サイバーセキュリティ月間の寄稿コラム

ホワイトハッカーとして学び、育てる

株式会社日立ソリューションズ セキュリティソリューション事業部
セキュリティサイバーレジリエンス本部
マネージドセキュリティサービス部
青山 桃子

1.お仕事の内容を教えてください。

 日立ソリューションズのホワイトハッカーとして、セキュリティ診断チームのリーダーと、セキュリティ人材育成の業務を兼任しています。ホワイトハッカーとは、セキュリティに関する高い専門性を持ち、その能力を悪用しない倫理観を持った技術者のことです。

 私たちの提供するセキュリティ診断サービスは、お客さまのサーバやネットワーク機器、Webアプリケーションなどに脆弱性がないかどうかを検査する仕事です。弊社のセキュリティ診断には、主に脆弱性診断とペネトレーションテストという2つのメニューがあります。
 脆弱性診断は、一つ一つのサーバや機器、アプリケーションに対して検査を行うものです。それに対してペネトレーションテストは、実際の攻撃を想定した一連のシナリオを作成し、それに沿って検査を行います。お客さまの目的によって適切なメニューをご提案しています。

 セキュリティの人材育成については、主に技術トレーニングやセミナーの講師などを行っています。社外向けには、小中学校でセキュリティに関する講演をしたり、YouTubeに出演したりすることもあります。
 中でも力を入れているのは、弊社と日立ソリューションズ・クリエイトが共同で年に一度、社内および一部の日立グループ会社向けに実施しているセキュリティコンテストです。コンテストはCTF(Capture The Flag)形式で、クイズのような問題に取り組むことで、自然に知識や技術が身につくような仕組みにしています。参加者に楽しくセキュリティに触れてもらえるよう、運営メンバーが毎年趣向を凝らした問題を作成しています。

セキュリティコンテストの様子

2.現在のお仕事の魅力、やりがいはなんですか?

 1つめは新しいセキュリティ技術を学べることです。情報技術は日々新しい成長があり、それに対する知識を素早く手に入れる必要があります。学ぶことが好きな性格なので、学ぶことが尽きないのは魅力的です。また、手に入れた知識を人材育成の取り組みの中で伝えていけるのもやりがいの一つです。
 2つめは、攻撃者視点の考え方が身につくことです。セキュリティ診断の現場では、攻撃者視点で考えて検査を行う必要があります。セキュリティ対策を考える上でもその考え方は重要で、現場での知識は様々な場所で活きています。
 3つめは、困っている人の助けになれることです。あらゆる情報システムがサイバー攻撃の標的となりうる現代において、セキュリティは必要不可欠なものとなっています。しかし、セキュリティの専門知識を持った技術者はそれほど多くありません。どうすれば良いか分からず困っているお客さまや社内の技術者を助けるため、自分の力を活かすことができます。

3.難しい点、苦労しているポイントを教えてください。

 一番のポイントは、セキュリティに100%はないことです。セキュリティ対策において、これだけやれば大丈夫、という線引きはどこまで行ってもありません。どんなにしっかり対策をしても、サイバー攻撃を受けてしまう可能性は消えません。それは、絶対安全な対策を求めているお客さまにとっては、受け入れづらいものなのかもしれません。
 絶対安全を保証することはできません。ですが、守りたい情報資産の重要度や対策コストに応じて、妥当なセキュリティ対策をご提案することはできます。それをお客さま自身が把握して、納得していただけるように努力しています。

4.現在のお仕事に就いたきっかけ、経緯を教えてください。

 子供のころからコンピュータが好きで、システムエンジニアをめざしていました。大学時代はセキュリティを専攻し、就職してからもその知識を活かしてセキュリティ業務に従事しています。
 2016年に、社内で専門性の高いセキュリティ人材を育成しようという取り組みがあり、ホワイトハッカーチームが発足し、その立ち上げメンバーに参加しました。そこから、社内のセキュリティ人材育成や、セキュリティ技術支援などに取り組み、現在も継続して活動しています。

5.最後に、コラムを読んだ方にメッセージをお願いします。

 サイバー攻撃の被害にあわないためには、一人一人のリテラシーの高さが大切です。セキュリティに興味を持ちましょう。自分自身を守りましょう。そのための知識を身につけましょう。
 セキュリティのお仕事や技術に興味を持ち、より知識を深めたいという方は、セキュリティコンテストに参加することをおすすめします。ある程度知識のある人は腕試しになりますし、今はまだ自信が無くても参加するだけで多くの学びがあります。ぜひ挑戦し、セキュリティの世界に触れてみましょう。