連載「セキュリティエンジニアの道」 #01 はせがわようすけ氏世界平和のためにセキュリティをやっています

岡本顕一郎(THE ZERO/ONE編集長)

December 8, 2017 08:00
by 岡本顕一郎(THE ZERO/ONE編集長)

THE ZERO/ONEの新連載として「セキュリティエンジニアの道」と題して、セキュリティ業界で活躍されている人物にインタビューしていく記事をスタートします。
記念すべき第1回に話を聞いたのは、株式会社セキュアスカイ・テクノロジーのCTO「はせがわようすけ」さんです。


 
THE ZERO/ONE編集部(岡本):はせがわさんが、サイバーセキュリティ業界に入ったきっかけは何ですか?
 
はせがわようすけ:僕がセキュリティをはじめたきっかけは、セキュリティ業界で働いていた知り合いが
「自分は世界平和のために、セキュリティの仕事をしている」
と言っていたことがきっかけですね。中二病全開なセリフですが、聞いた時はそのスケールに圧倒されてしまいました(笑)。

僕は、高専を卒業してからセキュリティ業界に入るまで、電子回路の設計をしていました。産業用の制御機器などの開発をしていて、発電所や水道といった「止めることができない」場面で使われるものを作っていました。具体的には、落雷やトラックの違法無線といった、障害やノイズが多い環境でも誤動作しない製品が求められていました。

「どんな環境でもサービスを提供しつづける」という考えは、セキュリティの目指すポイントと似ています。安定して動き続ける製品・サービスというものを探求していくうちに『自分はセキュリティに向いているのではないか?』と思い始めました。

そんな時、タイミングよくネットエージェントに誘われて、セキュリティの世界に入りました。ネットエージェントには2008年から7年間ほど、Webセキュリティを中心とした業務を行っていましたね。
 
はせがわさんは、ネットエージェントが初めてのセキュリティ業界でしたか? セキュリティに関する知識はどうやって学びましたか?

入社当時は、独学で学んだ知識だけでした。いま振り返ると、とても偏っていました。市場のニーズとか社会との結びつきがない、自分が好きなことだけを学んだ知識ばかりでしたね。

セキュリティの業務が本格化していくことで、常にセキュリティのことを考えていないといけなくなりました。仕事なので自分の興味がある部分だけでなく、自分がやりたくない・興味がないこともキチンとやる必要がありました。当然のことですが。
 
セキュリティの仕事をやり始めて楽しかったですか?

楽しいですね。これは僕の「何をやっても楽しめる性格」もあると思います。だから、セキュリティエンジニアじゃなくても、どんな仕事でも楽しんでいたと思いますよ。

セキュリティの面白さは、お客様からの「ニーズ」をダイレクトに感じられるところです。セキュリティの診断、サイバー攻撃、情報漏洩の対応など、「なんとかして欲しい!」という困っているお客様の強いニーズに応えていくのは、達成感もあり、嬉しいことですね。前職では得られなかった感覚です。

自分のアイデンティティはセキュリティではない

 
セキュリティにおいて、はせがわさんの強みや得意分野を教えてください

JavaScriptとかXSSとか、わりとイマドキのWebセキュリティ技術が得意ですね。

技術じゃなく僕自身の強みと言えるのは「セキュリティじゃなくていいや」と思えるところです。前職では10年以上電子回路の設計をやったあとにセキュリティに移りました。だから自分のアイデンティティが必ずしもセキュリティではないんです。もしセキュリティでダメなら違う分野に移れば良いと考えています。この意識を持っていると一つに固執することなく、自由に考えて動くことができます。
 
なぜWeb系のセキュリティに興味を持ちましたか?

ホント、これはたまたまですね。そもそもセキュリティの勉強を独学でスタートした際に、Webにそこまでフォーカスしていませんでした。ただ、周りにWebに強い人がいたことや、当初自分で見つけた脆弱性がWeb関連のものだったなど、そんな偶然が重なりWeb系のセキュリティをやり始めました。だから、Webセキュリティに対して強いこだわりはないんですよね。

もしWebの人気がなくなって廃れてしまったら、僕はすぐに次のトレンドに乗り換えちゃうでしょう。さっきの質問と同じような回答になっていますが(笑)。

ネットの世界は技術の進化が早いので、一つの技術にこだわり続けると、置いていかれる可能性があります。

今の会社ではどんなお仕事をされていますか?

現在は、セキュアスカイ・テクノロジーのCTOというポジションにいます。ここでは「この会社は3年後に何をしないといけないか?」ということを考えています。

株式会社セキュアスカイ・テクノロジー

現場に出て実務を行うということは減りました。だから、Facebookなどで「新しい脆弱性を見つけた」「報奨金をもらった」という投稿を見ると、素直に羨ましく思います。

11月に開催された「サイボウズ バグハンター合宿」に参加して、久しぶりに真剣に脆弱性を探したのですが、なかなか見つけられませんでした。脆弱性を見つけた参加者に話を聞くと「過去の×××という脆弱性を発見した時の手法を元に見つけた」と教えてくれました。頻繁に脆弱性を見つけていた時だと「あ、なるほど。そういうやり方か!」と反応していたのですが、今回は「そんな手法があるんだ!」と驚くレベルにダウンしていました。

ありがたい事に、今でも「Webセキュリティの『はせがわようすけ』」と言われることがあるのですが「もう僕の時代ではない」と強く言いたいですね。

小さいころからエンジニアになりたい

 
前職は電子回路の設計をされていたということですが、なぜその仕事をやろうとしたのですか?

僕自身は小学生のころから、エンジニアになろうと決めていました。ミニ四駆第一次ブームだったし、プラモデルやラジコンが大好き。ラジコンは走らせるよりも、バラして組み立てる方が好きでしたね。小さいころからモノを作り続けたい、モノを作る仕事に就きたいと思っていました。

でも僕は、努力する事が凄くキライなので、楽をしてソコソコの成果を手に入れたい、と考えていました。その結果、高専に入学することを思いつきました。中学の時に頑張っていれば、大学受験は考えなくて良い(笑)。高専に入れば比較的楽に、モノを作る仕事に就けるだろうと考えていました。

高専を卒業した後に、電子回路の設計に就きました。しかし、高専時代にしっかり勉強していなかったので、就職してからはとても大変でした。

当たり前のように制御工学の話がでてきます。微分積分とか、三角関数とかを授業で習っていた時は「どこで使うの?」と思っていましたが、これらが普通に使われている世界でした。そんなふうに勉強を疎かにしていたので、就職した後に困り、恥を忍んで高専の先生に教えてもらったこともあります。当然、仕事でも失敗をして怒られたりしていました。

最初の3〜4年は苦労しましたが、その後は何とか人並みに仕事がこなせるようになりました。
 
子供のころはパソコンとかに触れていましたか?

パソコンやネットに触れたのは高専に入ってからです。1990年代後半ですが、その頃ちょうどインターネットが一般化してきました。しかし当時僕が通っていた高専では、今のみなさんが考えるような「インターネット」には繋がっていませんでした。確かにインターネットには繋がっていましたが、UUCPで1時間に1回メールが届くような環境です。瞬間的にメールが来て、また回線が切れる。Webとかも当然見られないですね。

そんな環境なので、手元にある情報がすべて。つまり端末に入っているmanページを全部読むとか、その中にあるファイルを「これは何だろう?」と一つずつ確認していました。不自由な環境だからこそ、丁寧に調べて学んでいました。

今のようにGoogle検索一発で判明するような状態じゃなかったので、逆に好奇心が高まっていろいろ調べました。今のように自由にインターネットに接続できる環境にいたら、ここまで興味を持たなかったでしょうね。

エンジニアは言葉でなく技術で語れ

 
セキュリティエンジニアに必要なものはなんだと考えますか?

これは僕の考えですが「単独のセキュリティ産業」は存在しないと思います。つまり「何か」のセキュリティ、「何か」の品質をあげる、「何か」を強くする、といった「何か」に付随する、プラスアルファの産業だと思います。

僕の場合は、前職の電子回路設計を通じて「産業用機器」の開発経験をベースに、セキュリティのスキルを身につけました。いろんなエンジニアを見てきましたが、技術に加えて「セキュリティで世界平和を実現したい」、「Webセキュリティの攻撃は絶対防ぐ自信がある」という志を持っているエンジニアは強いです。

単純に「バイナリの解析技術が好きです」や「XSSを探すのが好きです」といった、特定の技術だけに強いのは、確かに一つの長所ではあるのですが、その技術が社会から求められなくなった時にとても弱いですからね。
 
セキュリティエンジニアにとって目指すポイントや気をつけるポイントはありますか?

セキュリティだけでなく、すべてのエンジニアに通じる部分があります。それは「社会のニーズを意識する」ことです。

例えば、性能が低いにも関わらず、立派なキャッチフレーズがついて売りにだされると「これはインチキだよね」とエンジニアは思います。しかし、その予想に反して凄く売れたりすることがあるじゃないですか。それは確かに性能が低いけど、社会から求められた製品だったからなんですよね。だから先程の「これはインチキだよね」という考えは、エンジニアの独りよがりとも言えます。

技術に特化した人間だからこその落とし穴なので、気をつけて欲しいですね。そして技術をもった人間だからこそ、自分の好奇心だけにとどまらず、そのスキルを使って社会にプラスになる活動をしてほしい。自分の技術だけに閉じこもっているのはとても勿体ないです。

僕は「技術で世界を平和にしたい」という考えがベースにあります。だから、「エンジニアのスキルで社会をどうやって良くすべきか」という問題は常に意識しています。
 
よく耳にする議論に、エンジニアは生涯現場にいるべきか、それともマネージメントをやるべきかということがありますが、はせがわさんはどのように考えますか?

それは本人の意志と能力次第だと思います。いろいろなパターンがありますが、現場にいるべきではないハッキリした事例が一つあります。それは客観的に見て、明らかにスキルとポテンシャルを失っているエンジニアです。もしかしたら、その人は過去は輝いていたのかもしれません。しかし輝きを失ったエンジニアが現場にいると、周りの若い子たちも遠慮しますし、いろいろ気も使います。これはやはり本人にも周りにもよくない影響を与えてしまうので、そういう人は真剣に自分のキャリアパスを考えるべきです。
 
鋭いコメントですが、反発もかなりきそうな意見でもありますね
 
もちろん、反対するコメントもくるでしょう。でも、エンジニアだったら反発意見を述べるなら、技術で見返せよ! 技術で語れよ! と思いますね。

エンジニアは年齢ではなく、やはり技術で評価される職業です。若い時は、多少技術が劣っていてもこれからの期待も込めて「若さ」の部分もプラスになります。ですが歳を重ねれば、技術でしか判断されなくなる。年を取ってもエンジニアでいたければ、技術で人を魅せてほしい。僕は技術で判断されるポジションから移動したので、こうやって好き放題いろいろ言っています(笑)。

お金は後からついてくる

 
最期に、給与面ですが満足されていますか?

過去に比べて、アップしており満足しています。いまのポジションも業務と給与もバランスがとれています。ただ、僕はあまり給与の額を気にしないタイプなので、どんな金額でも楽しくやっていると思います。ただ、自分が好きなことを一生懸命やっていたら、お金はあとからついてきた! というのは断言できますね。
 
これからセキュリティを学びたい、セキュリティの仕事に就きたいという人に対してアドバイスがあれば教えてください

セキュリティ以外にも「強み」があるといいですね。

例えば、ゲームが大好き、そしてセキュリティに興味があるといったら、凄く強い。インターネットを利用してゲームをするようになり、チートの対策やゲームサーバーが狙われるといった世の中なので。あるいは、経済学的なことや仮想通貨に興味がある、そしてセキュリティがやりたいというのであれば引っ張りだこですね。

何かしらセキュリティと違うところで、自分の興味分野をもっていると、組み合わせで強みが強化されますね。
 
今回はご協力ありがとうございました
 
こちらこそありがとうございました。




岡本顕一郎(THE ZERO/ONE編集長)

岡本顕一郎(THE ZERO/ONE編集長)

1976年生まれ。白夜書房から発行されていたセキュリティ雑誌『ハッカージャパン』の編集を経て、2014年よりスプラウトの立ち上げに参画。スプラウトで発行していたメールマガジン『電脳事変』、セキュリティニュースサイト『サイバーインシデントリポート』の編集を行ない、現在はTHE ZERO/ONE編集長。おちゃらけセキュリティサイト『ピンク・ハッカー』の執筆・編集も行なっている。


ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…