PEOPLE

INTERVIEW

インフラ・セキュリティエンジニア

技術職

Yuki.U

2016年新卒入社。脆弱性診断を通して、様々な領域のWebサイトのセキュリティ強化を支援。

ホワイトハッカー

セキュリティ強化

で、まだ見ぬ答えに挑む！

01

ホワイトハッカー×セキュリティ強化

Webサイトを守る、ホワイトハッカーとして。

「ハッキング」とは本来、Webサイトやシステムの解析や検証を指す言葉です。不正アクセスをして個人情報を盗んだりプログラムを破壊したりするサイバー攻撃を「クラッキング」、攻撃者を「クラッカー」や「ブラックハッカー」と呼びます。私はそんな攻撃者からWebサイトを守るために、セキュリティーに関する問題を診断する仕事をしています。セキュリティ強化を目的に、実際のWebサイトに疑似攻撃を仕掛けるため「ホワイトハッカー」と呼ばれたりもします。すこし気恥ずかしいですが、けっこう気に入っています。
入社以降、ずっと脆弱性診断を続けていますが、飽きることなくずっと夢中になれています。高いセキュリティを誇るwebサイトに対して「どうすればセキュリティを突破できるか」を考える時間が、好きですね。
02

現在の仕事内容

多領域におけるWebサイトの、セキュリティ強化を支援。

依頼を受けるWebサイトは、金融機関からネットショップ・Webゲームまで、さまざまです。法律違反にならないようお客様との契約内容に基づいて、対象のWebサイトに対して擬似的な攻撃を仕掛けます。
検証に必要な攻撃手法は非常に多いため、大半の攻撃は自動診断ツールで実施し、ツールでまかないきれない攻撃を自分の手で仕掛けていきます。その後、診断結果の報告と脆弱性を見つけた場合の対策を提案することで、Webサイトのセキュリティ強化を支援しています。
03

仕事のやりがい

仕事というより、ゲーム内の裏ワザを見つける感覚。

脆弱性診断は、重大な事故や事件を防ぐための、責任もプレッシャーもかかる仕事ですが、それだけではありません。少し不真面目な表現になるかもしれませんが、まるでゲームの裏ワザを見つけるようであり、「レースゲームで、ここはショートカットできるんじゃないか」といった抜け道を探る感覚に近いと感じています。
過去には、限られた管理者しか閲覧できなかったWebサイトを、あるパラメーターを操作すれば突破できるのではと考え、試してみると本当に管理者でなくても閲覧できる脆弱性を見つけたことがありました。これは、自動診断ツールでさえ見つけられなかったインシデント(脅威となる可能性)です。クライアントに深刻な影響を与えるクリティカルな脆弱性だったこともあり、自身のアイデアで発見できたことに大きなやりがいを感じました。
04

脆弱性診断の魅力

人間だからこその発想や、熟練した経験でしか見つけられない脆弱性がある。

脆弱性診断は、多様な専門知識を活かせます。セキュリティはもちろん、サーバ、ネットワーク、Webブラウザ、開発者視点から脆弱性を見つけるという点ではプログラミングの知識もあると有利にはたらきます。ただ、これらの専門知識を入社時点から持っている必要はありません。実際、私も大学ではVRを学んでいて、セキュリティの知識に関してはゼロからのスタートでした。
まだ数年しか経験していませんが、最初から専門知識を持っていること以上に、ものごとを多角的に分析しようとする姿勢が重要だと感じています。自動診断ツールは経験の浅い人でも扱える非常に優秀なツールです。ただし、完璧ではありません。人間だからこその発想や熟練した経験からでしか見つけられない脆弱性はあります。
この仕事に興味のある方にはまずツールを通じて脆弱性診断の楽しさを伝えつつ、だんだんと知識と知見と発想を広げていってもらい、「こうすれば...」「ああすれば...」と自身ならではの発想を試せる楽しさを、知ってほしいです。