文:斉藤 健一(日本ハッカー協会 監事)
●コロナ禍と情報セキュリティ業界
新型コロナウイルス感染症(COVID-19)の拡大によって、世界の状況は一変した。ヒトの移動が制限されることで経済活動は停滞し、日本もかつてないほどの景気の落ち込みを記録するなど、その影響は多方面にわたっている。
一方で、コロナ禍は社会全体のデジタル化を押し進める推進力にもなっている。リモートワークの急速な普及はその最たる例だといえる。コロナ禍による影響が小さいといわれるIT業界の中でも、とりわけセキュリティビジネスへの需要は堅調のようだ。政府が推奨する「働き方改革」や、企業が取り組み始めた「DX(デジタルトランスフォーメーション)」などから、クラウドへの移行が加速し、それに伴い情報セキュリティの重要度も増している。
●シリーズ「ハッカーと仕事」
情報セキュリティへの関心が高まるにつれ、この業界を目指す人たちも増えている。
一口に情報セキュリティの仕事と言っても、その幅は広い。例えばECサイトのセキュリティとスマートフォンアプリのセキュリティとでは、求められる知識やスキルに大きな違いがある。セキュリティとは何かに付帯して成立するものであり、社会インフラにITが浸透すれば、それに応じた新たなセキュリティ技術も必要となってくる。
また、情報セキュリティに対する考え方や体制も、組織によって異なっており、求められる人材も多様だ。それ故、セキュリティ業界に入るための道筋や業界内でのキャリアアップについても定まったものがあるわけではない。
前置きが長くなってしまったが、今回から「ハッカーと仕事」と題して、セキュリティ業界で活躍するハッカーたちを紹介していこう。
この業界には、さまざまなバックグラウンドを持つ人たちがそれぞれのキャリアを歩んでいる。彼らはどのような仕事に就き、どのようにスキルを磨き、そして仕事に対してどのような考えを持っているのだろうか。インタビューを通じて浮かび上がるハッカー共通の気質を感じ取ってもらえたなら筆者としても幸いだ。なお、記事中のハッカーという言葉は当協会の定義(※1)に基づいている。
●セキュリティエンジニア、未経験からの転身
今回インタビューしたのは、未経験からセキュリティ業界に飛び込んだ佐藤竜さん(25)だ。ゲーム好きということもあり、高校では情報系の学科に進み、プログラミングなどを学んだ。卒業後は学んだことが活かせる開発の仕事を志望していたが、就職した人材派遣会社で配属されたのは、客先に常駐する形での運用・保守の仕事だった。
システムが安定稼働していれば、運用・保守の業務はルーチンワークが中心となる。開発の仕事を志望していた佐藤さんは「技術的に成長できない」と焦燥感を覚えるようになった。職場の先輩たちはみな年齢が一回り以上も離れており、派遣社員という自分の立場を考えると、仕事の悩みを相談することはできなかった。
佐藤さんはそれでも目の前の仕事を着実にこなした上で、会社に対して派遣先の異動を願い出るが、聞き入れられることはなかった。
そこで、意を決して転職エージェントを通じて同業他社に転身、一度は開発の職に就くものの、契約は短期で終了し、また運用・保守の仕事へと戻ることとなった。この時「開発とはいえ、好きではないものを作るのは楽しいことではない」という自分の正直な気持ちと向き合うこととなり、佐藤さんは悩む。
そのような中、転機が訪れる。客先のシステム内でマルウェアに感染したPCを佐藤さんが発見し、適切な対処をしたことで周囲から褒められたのだ。この件がきっかけでセキュリティに興味を持つこととなった。
それからはセキュリティエンジニアを目指して勉強を開始した。「当初は訳もわからず、セキュリティと名のつく勉強会に片っ端から参加したり、ネットのドキュメントを読みあさったりしていた」と当時を振り返る。
その後、「CTF(キャプチャー・ザ・フラッグ)に参加するなど勉強を進めるうちに、自分が何に興味を持っているのかが見えてきた」といい、脆弱性診断に関する仕事に就きたいと考えるようになった。
日本ハッカー協会の存在を佐藤さんが知ったのもこの時期だった。当時は「怪しい団体」くらいにしか思っていなかったが、調べてみると人材紹介事業も行っており、さらに未経験者でも応募できる求人があることも知った。そして2019年5月、ハッカー協会の人材紹介事業を通してブロードバンドセキュリティに入社した。新卒で就職したのは2014年のこと、セキュリティエンジニアを目指し始めてから約2年が経過していた。「経験者を優遇する他の転職エージェントだったらこの職には就けなかったと思う」と率直に感想を述べてくれた。
佐藤さんは現在、脆弱性診断の仕事に就いている。文字通り対象システムに脆弱性がないか、攻撃者の視点から安全性を徹底的に調査する仕事だ。佐藤さんが担当するのは、Web、ネットワーク、スマートフォンアプリなどだ。診断はサービス開始前のシステムに行うことがほとんどで、検証環境が用意されていることも多い。対象規模に応じて人員が配置され、作業は主にリモートから行われる。
セキュリティエンジニアというと、最先端のスマートな仕事をイメージするかもしれないが、実際の診断は網羅的に行う必要があり、手動で行う場合などは地道なローテク作業の連続となる。
脆弱性診断という仕事のやりがいについて聞いてみたところ、「リスクの高い脆弱性を発見できたとき」と答えてくれた。佐藤さん自身は研究熱心であり、個人の時間を使って脆弱性探しもしている。実際、いくつか発見しておりCVE(脆弱性情報データベース)にも登録され、発見者として名前が記載されている(※2 ※3)。
仕事でもプライベートでも地道な作業をコツコツと続けられるのは、それが「好き」だからという理由に他ならない。こうした仕事に対する真摯な姿勢が社内でも評価され優秀社員として表彰されている。
佐藤さんにとって仕事とは何かを質問した。「趣味として楽しんできたことが結果として社会に職業として認知されたもの。そして人の役に立つもの」というのがその答えだ。自らの向上心を保ち、情報セキュリティの仕事を通じて社会に貢献したいという熱意が強く感じられるインタビューであった。
「石の上にも三年」ということわざがある。忍耐力を説くときに使われる言葉だ。確かに、仕事をはじめ物事の醍醐味を実感できるようになるまで、ある程度の時間を必要とすることも理解できる。もちろん、ことわざ自体を否定するつもりなど一切ない。ただ、自分の「好き」を自覚して、それを「追求」する人にはこの言葉はあまり意味をなさないかもしれない。若手エンジニアがさまざまな仕事にチャレンジできる流動性の高さも多様性の1つであり、「働き方改革」の1つではないだろうか。筆者はそう考えている。
【脚注】
※1 https://www.hacker.or.jp/association/
※2 CVE-2020-5667
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000070.html
※3CVE-2020-5638
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000079.html