1.お仕事の内容を教えてください。

　株式会社Flatt Securityにて、セキュリティエンジニアとして働いています。主な業務内容はWebアプリケーション等に存在する脆弱性について調査するセキュリティ診断ですが、その他にもシステム開発や脆弱性のリサーチ、技術広報活動等を行うこともあります。

2.現在のお仕事の魅力、やりがいはなんですか？

　業務を通じてセキュリティに関するスキルを向上させつつ、それを活かして今日の情報化社会の安全性向上に貢献できることです。セキュリティエンジニアとして活躍するためには、脆弱性の発生原理やその対策について理解しているだけではではなく、計算機科学やソフトウェア開発の方法論などの分野にも精通していることが求められます。業務を通してこれらのスキルに向上させつつ、私達の生活を便利にしてくれる様々なアプリケーションやサービスの安全性の向上に寄与できることは、技術者として、そして社会の一員として何よりのやりがいだと感じています。

3.難しい点、苦労しているポイントを教えてください。

　1つ目は、開発組織にとってどのようなセキュリティ対策が本質的であるかを考察し、提案することです。たとえば、何らかのソフトウェアに脆弱性が見つかった際、開発組織に「こういった脆弱性があったので修正してください」と伝えることは簡単です。ですが、それよりも重要なのは、開発組織のコンテキストやソフトウェア開発の方法論を俯瞰的に捉えた上で、「なぜこの脆弱性が作り込まれてしまったのか」や「どのような仕組みがあれば防げていたのか」について考察し、今後継続的にセキュアな開発を実現するための施策を提案することです。そのためにはセキュリティとソフトウェア開発双方の領域に対する深い洞察が求められるため、難易度が高いと感じています。
　2つ目は、非定型的な脆弱性の調査です。昨今のアプリケーションは、様々なユーザーの要望を満たすために多くの機能を持つ傾向にあります。そのような複雑化の流れに伴って、たとえば、本来はアクセス権限を持たないユーザーが他者の機密情報にアクセスできてしまうといった、アプリケーションの仕様に起因する脆弱性が増加しています。このような脆弱性を発見するには、細工されたデータを送ることで半自動的に検出できるSQLインジェクション等の脆弱性とは異なり、アプリケーションの仕様や、そのアプリケーションがシステム化の対象としている領域を理解しておく必要があるため苦労することが多いです。その分、脆弱性を発見できたときの達成感もひとしおです。

4.現在のお仕事に就いたきっかけ、経緯を教えてください。

　一番のきっかけは、高校生のときに取得した情報セキュリティスペシャリスト試験の学習を通して、セキュリティ領域の奥深さに触れたことだと思います。その後、大学の情報系学部に進学し、計算機科学について学びながら、主にCTFへの参加を通してスキルを身につけていきました。現在の会社は、セキュリティ系のカンファレンスで知り合ったことがきっかけでインターンを経て入社しました。

5.最後に、コラムを読んだ方にメッセージをお願いします。

　セキュリティエンジニアは常に最先端の攻撃手法を熟知しておく必要がある難易度の高い職種だと思う方もいるかもしれません。もちろんそのような知識があるに越したことはないのですが、より大事なのは、合理的かつ継続的に実施可能なセキュリティ対策を開発組織の視点に立って考え、それをセキュリティの専門家として一般化し、推進していくことだと考えています。そのためには、セキュリティのスキルだけではなく、開発スキルやコミュニケーションスキル、ひいては抽象的な問題を解決する力が必要です。セキュリティの分野が好きでそれを活かす仕事がしたいと考えている方や難しいけれど意義がある課題にチャレンジしてみたい方、ぜひ一緒にセキュリティ業界で挑戦してみませんか。