2024年サイバーセキュリティ月間の寄稿コラム
趣味の脆弱性報告から脆弱性診断士へのキャリアチェンジ
三井物産セキュアディレクション株式会社 テクニカルサービス事業本部
セキュリティサービス開発事業部 新規サービスグループ
セキュリティエンジニア 東内 裕二
1.お仕事の内容を教えてください。
三井物産セキュアディレクション株式会社というセキュリティ事業会社でWebアプリケーション脆弱性診断に関する業務を行っています。Webサイトの脆弱性診断では依頼されたWebサイトに対し調査を行い、どのような攻撃を受ける可能性があるかを網羅的に探しています。脆弱性診断を直接行うだけでなく、他の診断者の報告書レビューやフィードバック、評価や人材育成に関することなども行っています。
2.現在のお仕事の魅力、やりがいはなんですか?
診断で脆弱性を探せること自体が魅力であり、重大な脆弱性を発見できたときにはやはりやりがいを感じるのですが、それ以上に脆弱性診断により脅威を発見し報告することで、お客様の重要なデータやシステムの安全性と保護に直接貢献できる点が大きな魅力です。指摘した脆弱性が修正されていることを確認できると、私たちの診断によって安全性を高める貢献ができたという実感を持てます。
3.難しい点、苦労しているポイントを教えてください。
同じように見えているWebサイトでも内部ではクラウドやAIなど新たな技術が使用されるようになっており、使用される言語やフレームワークなどの環境の変化も起こっています。それらに対する知識を取り入れるだけでなく、新しい攻撃や防御手法を学び診断にフィードバックする必要があります。継続的に情報を収集し知識を共有していくことは重要ですが難しい点だといえるでしょう。
4.現在のお仕事に就いたきっかけ、経緯を教えてください。
この業界に入る前は出版業界で主にIT関連の編集、原稿執筆、イベント運営、資格試験の問題作成などを行っていました。ある日代打でWebアプリケーションの攻撃手法を解説する原稿を書くことになったので、オープンソースのWebアプリケーションを参考に単純な脆弱性のあるアプリを作り、それをもとに解説しようと思い、検索で最初に出てきたオープンソースのWebアプリを手元で動かしてみました。するとログイン画面にSQLインジェクションがあったのです(CVE-2010-1331)。こんなすぐに脆弱性が見つかるのであれば、他にも見つけられるのではないかと思い、探し始めたのがきっかけです。そして、これを仕事にしたいと思うようになり、診断の仕事に携わることになりました。現在でもプライベートで脆弱性報告やバグバウンティを続けています。JVNの脆弱性レポートで私の名前を見たという人がいるかもしれません。
バグバウンティはその会社のWebサイトやアプリケーションの脆弱性を見つけて報告すると報奨金やその会社のグッズがもらえたり、脆弱性報告者としてサイトに掲載されたりします。ルールはそれぞれの会社によるのですが、誰でも他社のWebサイトの脆弱性を合法的に調べることができることは大きな魅力です。もちろん脆弱性を報告することで報奨金をもらえるのも魅力ですのでチャレンジしてみるのもいいと思います。
5.最後に、コラムを読んだ方にメッセージをお願いします。
脆弱性診断は仕事として実際のWebサイトを攻撃できますが、ただ攻撃することが好きなだけではなく、継続的な技術のアップデートや防御手法に関する知識、そして高い自制心も求められます。大変なことも多いですが、インターネットを攻撃する側の視点で見ることが好きな人にとってはとてもやりがいのある仕事だと思っています。
最近はセキュリティを考慮した作りになっている安全なWebサイトが増えている一方で、管理されていないようなWebサイトが攻撃されている事例をまだ多く見かけます。インターネットに公開されているWebサイトは等しく攻撃者に狙われています。安全に気をつけて運用を行ってください。