2024年サイバーセキュリティ月間の寄稿コラム

Capture The Flagの経験を生かす

株式会社サイバーディフェンス研究所
技術統括部 リバースエンジニアリンググループ
前田 優人

1.お仕事の内容を教えてください。

 株式会社サイバーディフェンス研究所で、プログラムの解析(リバースエンジニアリング)が必要になる脆弱性診断を主に担当しています。例えばIoT機器の診断のような、Webインターフェースからファームウェアまで一式で入っているものを診断することが多いです。

2.現在のお仕事の魅力、やりがいはなんですか?

 私は趣味で情報セキュリティに関する技術を競うCapture The Flag(CTF)によく参加していて、そこで得られた知識や経験を活かせる点が大きな魅力です。他にも、CTFとは異なり仕事では広い分野の知識を問われるのも面白い部分です。CTFでは問題がバイナリ解析やWeb、暗号といったジャンルでラベル分けされて出題されることが多いため、趣味と同じことをやっているようで仕事ではそれらが融合した発展形を扱っている感覚になります。

3.難しい点、苦労しているポイントを教えてください。

 プログラムの解析というとソースコードや機械語を読み解いたりデバッガを使ったりして、プログラムの挙動の理解を進めていく印象があると思います。しかし解析対象の規模が大きくなってくると人力ではどうにもならなくなってしまうため、自動化のためにツールを開発することも重要です。つまり、解析能力だけではなく開発能力も問われてくるというわけです。プログラム解析の分野では特にシステムプログラミングの知識が要求されるのですが、私自身があまり経験してこなかった分野なので、慣れないことが多く大変だと感じます。

4.現在のお仕事に就いたきっかけ、経緯を教えてください。

 情報セキュリティに本格的に触れたのは「セキュリティ・キャンプ中央大会2012」です。初めて参加したCTFもセキュリティ・キャンプ内で開催されたものでした。そこからCTFによく参加するようになり、学生時代はWeb、バイナリ解析、暗号の順でCTFの各ジャンルを渡り歩きました。その後就職に際して、CTFで様々なジャンルに触れた経験を活かせる業務はないかと考えた結果、同じくCTFによく参加する知人から紹介を受けて今の職にたどり着きました。

5.最後に、コラムを読んだ方にメッセージをお願いします。

 情報セキュリティの分野はとにかく広く、そして深いです。今回はCTFプレイヤーというバックグラウンドを持ったうえでの仕事についてお伝えしましたが、この分野に関わる人それぞれで見え方が異なります。
 読者の皆さんも情報セキュリティの面白さを自分なりにぜひ探求してみてください。