この記事のポイント
- セキュリティの仕事に向いているのは「疑り深い人」
- 常に防御側が不利、だからこそチャレンジしがいがある
- セキュリティエンジニアの相手は「コンピューター」ではなく「人間」
セキュリティサービス初期には報告内容に怒り出す顧客も
まずは、根岸さんがセキュリティの専門家となるまでの経緯を教えてください。
私は大学と大学院でコンピューターサイエンスを専攻していましたので、仕事に関しては漠然と、コンピューター関連、それも研究畑よりもユーザーに直接関わることができる仕事がいいなと考えていました。
そして国内大手電機メーカーに就職してSEとなり、公共機関などの大規模なシステム構築に携わりました。その会社では何百人何千人が関わる大きな仕事に携わったのですが、その分、1人ひとりがカバーできる範囲は小さくなりがちで、自分でできることはいろいろやりたいタイプの自分には合わないと感じました。
当時は1990年代後半で、世の中にサイバーセキュリティ専門の仕事はほとんどありませんでした。とはいえ、ITの世界では「これからはセキュリティが大事だ」という意識が芽生え始めた時期で、「ちゃんとやらないとまずいぞ」という機運が高まっていました。そこで、これを仕事にしたら面白いのではないかと考えるようになり、セキュリティのベンチャーに転職しました。
そのセキュリティベンチャーで働いた後、2003年にIIJ Technologyに入社しました。当時はまだ従業員数が200~300人ほどで若い人が多かったですね。これから成長して会社を大きくしていこうというポジティブな空気に満ちていて、個人的にもとても居心地が良かったです。
通信キャリア業界全体としても、どのようにセキュリティに取り組むべきか試行錯誤していた時期でしたから、新しいセキュリティサービスを自分で企画して立ち上げるような仕事もできました。
IIJに入社した当初はどのような案件に携わっていたのでしょうか。
ほとんどがセキュリティに関する仕事です。最初の10年ほどはセキュリティ診断サービスや不正侵入事故の調査など、顧客向けのサービス提供が多かったですね。
その時期のお仕事の中で特に印象に残っているエピソードを教えてください。
たとえば、顧客のサーバーの弱点について報告するサービスを提供していると、顧客にとっては耳の痛いことであっても、ときにはお伝えしなければならないケースがあるんです。そのような場面で、顧客の中には「これでは上に報告できない!」と怒り出す方もいましたね(笑)。
一方、あるユーザー企業では、最終的な報告会の場で発表した後に、セキュリティに関する責任者の方が、「当社の現状の問題点を洗い出してくれて感謝します」と立ち上がって拍手してくれたことがありました。すると、その他の従業員の皆さんも立ち上がって盛大に拍手してくれたんです。すごくうれしかったですし、「我々の仕事にも意義があるんだ」と、強くやりがいを感じたことが今でも印象に残っています。
脆弱性診断サービスを受ける企業には、自社のセキュリティの弱点を受け止め、それを改善につなげる姿勢が求められますね。
その通りです。一方で、こちらのアドバイスが押し付けがましいものであってはなりません。良かれと思って進言したことが、顧客が求める解決策ではなかったという経験も数多くありました。その点については、あくまでバランスが重要ですね。
また、これはご自身の技術や知識に自信を持たれているお客様にありがちなのですが、こちらが脆弱性のあるポイントを指摘すると、「そんなことはあり得ない」と反発されることもありました。過去には、お客様に許可をいただいて、報告会の場で実際にサーバに侵入してみせたこともあります。このときは、すぐに納得してくれましたね。こういった顧客とのやりとりも、この仕事の面白い点の1つです。
直近の10年のキャリアについてはいかがでしょうか。
この頃になると、企業の間でもセキュリティの重要性が十分に認識されるようになり、セキュリティ専任のポストを設ける企業も増えてきました。そうした流れの中で、私自身もIIJのCSIRT(Computer Security Incident Response Team:セキュリティ事故対応チーム)に所属してインシデント対応にあたりながら、日本シーサート協議会をはじめとした外部のコミュニティでの活動や、外部に向けた情報発信を積極的に行うようになっていきました。顧客から依頼されてセミナーに登壇したり、専門家同士で意見を交わしたり、といった機会が増えてきたのもこの頃からですね。
また、私は以前からアノニマス(Anonymous)に代表されるハクティビストの活動について、独自に調査を続けていました。2010年代に入った頃から世界的にアノニマスの活動が活発化し、いろいろなメディアで取り上げられるようになると、さまざまな方面からアノニマスに関するコメントを求められたり、私が続けてきた独自調査について教えてほしいと依頼されたりするようになりました。
コツコツと続けてきたことが成果となって、多くの人に見てもらえたことはうれしかったですね。この経験は、その後の活動を続けていくモチベーションになりました。
疑り深い人はセキュリティエンジニアに向いている
サイバーセキュリティの黎明期から専門家として活動されてきた根岸さんの目から見て、セキュリティエンジニアの仕事に向いているのはどのような人だと思いますか。
私がセキュリティの仕事を始めた頃は、「一匹狼タイプ」の人が多かったです。サイバーセキュリティに関することはほとんどすべて、1人のエンジニアがカバーしていた時代でしたから。
しかし現在、セキュリティの世界は複雑化し、細分化し、1人のエンジニアが実現できることは限られていますし、エンジニアをはじめとする専門家同士がそれぞれの得意分野を持ち合って協力しなければ対応できません。自分が知らないことについて、教えてくれる人がいる。それは逆もまた然りで、自分の知識やスキルが誰かの役に立つかもしれない。そうしたオープンなマインドがなければ、これからのセキュリティの世界ではやっていけないのではないでしょうか。
そもそもセキュリティというものは、本来オープンな世界なのです。みんなで調べて、考えて、より安全な結果へと導いていくことがセキュリティの本質ですから。
また、良い意味で疑り深い人であることも重要です。一般的に「こういうことはできません」といわれていたことが、実はできたりするのがセキュリティの世界です。「今はこういわれているけど、本当にそうなのかな?」と疑問を持ち、それをとことん突き詰めていけるような人がセキュリティの世界に向いていると思います。たとえ「安全・安心・大丈夫」といわれていたとしても、「どこかに危険があるんじゃないか?」と疑って、それを追求できるような人ですね。
さらにいうと、セキュリティは関わる領域がとても広い世界です。そのため、他のバックグラウンドを持っている人は、その実務経験を活かした能力開発に努めることで、自らの価値を高めていけるはずです。
そして、セキュリティが利便性を損なってしまうのは本末転倒です。セキュリティ対策と聞くと、「これもだめ、あれもだめ」といったイメージを抱かれてしまいがちですが、セキュリティとは利便性とのバランスが大切であり、そのバランス感覚は現場の業務に精通している人のほうが高い場合もあります。
これは私自身にもいえることですが、キャリアの最初からずっとセキュリティ畑で生きてきた人は、セキュリティこそすべてに優先されるべきものと考えてしまいがちです。ですから、特にユーザー企業では、さまざまな業務を経験してきた人こそ、セキュリティの世界にチャレンジしてみる価値があると思います。
常に攻撃側有利、だからこそチャレンジしがいがある
セキュリティエンジニアの仕事の醍醐味は、どのようなところにありますか。
セキュリティの仕事には、面白いポイントが3つあると考えています。1つ目は、「相手がいる」という点です。セキュリティエンジニアの相手は「コンピューター」ではなく「人間」です。攻撃側と防御側の人間は互いに相手の裏をかこうとせめぎ合っています。つまり、私たち防御側は攻撃者の心理面にまで入り込んでいくような想像力が求められます。
2つ目は、技術への反射神経が試される点です。セキュリティの領域は、企業ITの他の分野と比べても著しいハイペースで新技術が登場し、それを即座に習得することが求められます。この世界は、何もかもが固定されることなくダイナミックに変わっていきますから、常に新しいスキルや技術を身につけなければついて行くことができないのです。
それは私のように、世間から「専門家」と呼ばれる立場になっても同じことです。だからこそ、常に変化し向上し続けることができ、それが自分のやり甲斐へとつながっていくのだと思います。
3つ目は、困難な課題にチャレンジできることです。セキュリティの世界では、自ら選択した手段で任意のポイントを攻められる攻撃側が有利な立場にいて、防御側は常に不利な状況を強いられます。だからといって、防御側も負け戦でばかりで良いはずはなく、不利な戦いでもどこかで勝つことが求められます。このような経験ができることもセキュリティエンジニアの醍醐味といえますね。
セキュリティエンジニアとして成長し、キャリアを積んでいくためには、どのようなことが必要でしょうか。
「常に学ぶ姿勢」。これに尽きますね。セキュリティの領域は、ITの世界の中でも特に変化が激しい世界ですから、専門家になった途端に、そこで立ち止まってしまうような人は失格です。常に学ぶ姿勢を持ち、新しいスキルや技術を身につけようとする意識が必要です。
「想定外」に対応し続けるために
最後に、根岸さんの今後のご活動について、抱負をお聞かせください。
セキュリティ対策は「うまくいって当たり前」と考えられてしまいがちです。セキュリティ担当者の日々の努力の成果として何事もなく事業を継続できていたとしても、それがわかりやすく評価されることは、まずありません。ですから私は、もっと多くの人が、「何事もない状況」を実現することがどれだけ大変であり、かけがえのないことであるかを理解できるよう、セキュリティの分野に光が当たってほしいと常々考えています。そのための情報発信もより積極的に行っていきたいですね。
これまでの自分自身のキャリアを振り返ってみると、何か明確な目標に向かって進んできたというより、その時々で興味を抱いた事柄に貪欲に向き合い、そこで得た経験を積み重ねてきたように感じています。セキュリティの世界は、想定外のことが起き得る世界であり、事前に準備しておくことが困難な側面があります。何が起きるかわからないけれど、何が起きても対応できるようにしなければならないのです。そのためにも、今後も自分が興味を抱いた事柄に精力的に取り組みながら、想定外の事象にも対応できる状態であり続けられるよう、変化と進化を続けていきたいですね。
(取材・文:小池 晃臣、写真:岩田 伸久)
最新情報をフォローする
