【セキュリティエンジニア】ヤフーの専門家を育てた「意外な経験」

2020年12月11日(金)

就職から2年後に訪れた転機

波線が左側にある時期は専門性を「広げる」経験を、右側にある時期は「深める」経験をしている

そもそも大角さんがIT分野のエンジニアになったきっかけは、学生時代に行っていた“課外活動”にある。

大阪大学〜同大学院では物理学を専攻し、発光ダイオード関連の研究をしていたが、大学2〜3年の頃から学内の計算機センターに学生スタッフとして入り浸るようになっていた。

この時期から、ソフトウェアやネットワークについて独学するようになったという。

「最初は利用者の質問に答える仕事だったものの、次第にセンター内で使うソフトウェアも自作したくなり、プログラミングの勉強をするようになりました」

また、大角さんが学生だった2000年前後は、無線LANが普及し始めた時期で、センター内のネットワークを無線LANに変更するプロジェクトを手伝ったりもしていた。

「興味を持ったことは、とことん突き詰めたくなる性格なんです。だから、なかばサークル活動のような感じで、楽しんでやっていました」

就職では、「本来の研究」の延長線上としてメーカーの研究開発部門に行く選択肢もあった。

しかし、「ネット業界のほうが面白そうだし将来性があると思い」インターネットプロバイダー(ネット接続事業者。ISPと呼ばれる)を中心に応募。国内大手のニフティに就職する。

入社後の1年間は、いわゆる修業期間として、キャンペーンサイトの申し込みシステム開発やネットワーク・サーバ構築など、幅広い仕事を担当した。

そんな大角さんに、いきなり幸運が訪れる。

2年目のある日、視察と研修を兼ねた取り組みの一環で、世界的なセキュリティカンファレンスとして知られる『DEF CON(デフコン)』に参加するメンバーに選ばれたのだ。

コミュニティに学び、貢献する

例年、アメリカで開催されるこのカンファレンスでは、その時々の先端セキュリティ技術が披露される。

DEF CONの公式Webサイト

まだ駆け出しのエンジニアだった大角さんが、当時の課長と2人で参加することになった理由は、「所属チームの中でTOEICの点数が一番高かったから」と聞かされた。

「これが本当の理由だったかは分かりませんが、若いうちにDEF CONを体感できたのは本当にラッキーでした。大学院にいた頃に出ていた学会とは違って、参加者も発表内容も本当に多種多様。『セキュリティの世界は何だか面白そうだ』と感じました」

会場には、セキュリティ関連企業のエグゼクティブから、研究者、奇抜な格好のハッカーまで、それまで接することのなかった人たちが集結していた。

そこで目にしたのは、ジャケット姿のベテランと、モヒカンやピンクの髪をした若いエンジニアが、一緒になって議論し合うような風景だ。

「各セッションの内容も、論文的な研究結果や企業のセキュリティ事例のような硬派なものから、個人が合法的にシステムをハッキングして脆弱性を発見したストーリーなどと様々で、ネットセキュリティの奥深さを感じました」

DEF CONへの参加で得たことの中で、今も仕事のベースになっているのは、「こういうコミュニティで、自分も学んだことを情報発信できる存在になりたい」という思いだ。

セキュリティ分野のエンジニアは特に、最新技術、最新事例を理解していないと仕事にならない。

「そのためには、ネットの記事やブログを見るよりも早く、対策の最前線にいる人たちと情報交換できるような人的ネットワークが欠かせません。だからこそ、まずは自分から情報を提供することで、専門家コミュニティの中で認められるようにならなければなりません」

この言葉通り、大角さんはその後、総務省系列のデータ通信協会「Telecom-ISAC(現・ICT-ISAC)」でマルウェア(※1)配布サイト回避システムの実証実験に参加するなど、社外での活動にも精を出すようになっていく。

この時参加した実証実験では、NTTやKDDIといった通信キャリアの研究員や、名だたるSIer(システム・インテグレーター)のエンジニア、官公庁の関係者など、幅広い職種の人たちとネットワークを築くことができた。

中にはコンピューターサイエンスの研究者もおり、それまでしっかりと学んだことのなかった分野について「学び方を学ぶ」ことができたと振り返る。

「例えば、過去に犯罪者たちが開発したマルウェアを研究する論文にも、その検出方法をまとめたものや、進化の歴史を分析したものなどと、様々な切り口があります。そういう事例を教えてもらったことで、自分がアウトプットする時の勇気というか、型を気にし過ぎずどんどん情報発信していかねばという思いを強くしました」

プロを目指して「攻撃する側」に

こうして、エンジニアとして基礎をつくってきた大角さんが、30歳を迎えて本気でネットセキュリティのプロになると心に決めたのも、この実証実験で出会った人たちの影響だった。

「総務省系列のプロジェクトだったので、集まっている人たちは皆、国のため、日本のためにやっているという感覚を持っていました。中でも、参加していた偉い方に『俺は自社の利益のために参加しているんじゃない、日本を守りたいんだ』といったお話を聞かされて、熱い思いになったのを覚えています」

自分も、日本のネットセキュリティのレベルを上げるために仕事をしていきたい。

当面の目標を定めた大角さんは、達成に向け着々と行動を起こしていく。

まずは、これまでやってきたシステムやネットワークを守る仕事と表裏一体の関係にある「サイバー攻撃をする側の技術」を学ぶため、日本では数少ない脆弱性診断ベンダーのNTTデータ先端技術に転職。

顧客となる企業・団体の合意を得た上で、システムへの侵入やコンピューターの遠隔操作を行うなど、ブラックハッカー(※2)が使う様々な手口を実地で学んでいった。

そして2016年、学んだ知識を再び「守る側」で活かすため、ヤフーに転職。同社を選んだのは、「日本をセキュアにすることを目標にした以上、国内最大手のネット企業で働きたい」と考えたからだ。

仕事で大切な、技術以外のこと

現在、大角さんは数あるセキュリティ対策の中でも、CSIRT(シーサート)と呼ばれる役割を担うチームに所属している。

CSIRTは「Computer Security Incident Response Team」の略で、意訳するとセキュリティ事故が起きる前提で各種の対策を行う組織となる。

担当業務はいくつかあるが、ヤフーのCSIRTが行っている仕事を大きく分けると、3つに集約される。

日々の仕事の中で、最も時間を割いているのは【1】の仕事。社員が社用PCを紛失するような小さな事故まで含めれば、セキュリティインシデントは結構な頻度で起こるからだ。

「大規模で緊急対応が必要な事故が起きてしまった時は、関係する部署の人たちに大部屋に集まってもらい、私たちが対応の陣頭指揮を執ります。なので、定期的なミーティングも含めると、社内でかかわる人・部門はとても多いです」

また、特に力を入れているのは、【3】のスレットインテリジェンスだという。

これは、複雑かつ高度化するサイバー攻撃に素早く対応するべく、国内外で起こった事故や対応する技術情報を収集、分析する仕組みをつくる仕事だ。「脅威インテリジェンス」と呼ばれることもある。

「ネットビジネスで最も多い脅威であるフィッシング詐欺を例に説明すると、スレットインテリジェンスで新手のフィッシングメールを素早く見つけ出し、送り主を突き止めて必要な対策を取る、というのが一連の流れになります」

そのためには、セキュリティベンダーが出しているニュースレターやセキュリティ関連のネット情報に目を通す他、やはり専門家コミュニティを通じて情報収集することが欠かせない。

ここで、大角さんが築いてきた人的ネットワークが活きてくる。

今もDEF CON参加時に出会った人たちと交流するなど、地道に人脈を広げ、関係を深めてきた

そして、この専門家コミュニティに貢献できる人であり続けるためにも、大角さんは「新しい技術を自分で試してみること」を心掛けている。

「年を取ると評論家めいてしまって、どこかで学びが止まってしまうものです。そうならないように、今でも時間を見つけては、若いプログラマーが使っているフレームワークを自分の手で動かしてみたり、新たなセキュリティ対策の技術を調査したりしています」

実はコミュ力が超大事な理由

こうして技術を学び続ける努力も大切だが、意外なことに、セキュリティエンジニアには高度なコミュニケーション力が求められると大角さんは続ける。

セキュリティ対策を実行に移すには、他部署にいる様々な職業の人たちと連携しなければならないからだ。

重大な事故が起きた時はもちろん、日頃の調査や脆弱性診断でも、サービス開発のエンジニア、事業企画、社内システムを使う管理部門のスタッフなどに協力を仰がなければならない。

「セキュリティ対策は、平常時には『ただでさえ忙しいのに、何で今やらなければならないの?』などと言われがちです。一方、有事が起きてしまった時は、混乱する現場の中、言った・言わないのすれ違いがよく起こります。だから、私たちセキュリティエンジニアの話し方・伝え方が、対応の成否を握るのです」

セキュリティ対策をお願いするコミュニケーションがうまくいかないとき

セキュリティの仕事の中でも、脆弱性診断など監査まわりの仕事は、基本的に人のミスを探すいわば「粗探し」をする作業です。そのため現場の社員との関係には常に気を使っています。 誰でもミスを指摘されればムッとするものですし、そこでことさら上から目線で「修正しなさい」などと言ってしまえば人間関係は壊れてしまいます。その一方で、セキュリティは譲れない線もありますから、どうしても修正してもらうために様々なコミュニケーションが必要です。 逆にこちらのミスを指摘されてしまうなど、なかなか人間関係がうまくいかない場合もあります。「ああ、こういう言い方をすれば良かったな」など、寝る前にふと考えてしまうことは多いです。 セキュリティの仕事で一番苦労するのは、意外に思われるかもしれませんが、このような人間関係です。

大角さん自身は、どんな状況でも、命令口調にならないように気を付けているという。

特に緊急対応の時は、セキュリティエンジニアが指示を出して、対応を急いでもらうシーンが増える。そんな時ほど丁寧なお願い口調で話すことで、相手をイラッとさせず、落ち着いて行動してもらえるように意識している。

また、コロナ禍でオンラインミーティングが増えた今は、話した内容や決めた施策を逐一ドキュメントに残す体制も整えた。

緊急対応時にも、議事録を取る担当者を決めて文書に残し、その後のコミュニケーションエラーを減らす工夫をしている。

「実はニフティの若手時代に、当時の親会社だった富士通が提供していた話し方研修を受けたことがあったんです。嫌々参加していたものの、あの時の研修が意外と役に立っているなとずっと思っています」

技術力と専門知識の勝負と思われがちな仕事でも、人脈とコミュニケーション力が大事になる。

加えて、「一度気になったらとことん調べたくなってしまうような性格の人が、セキュリティの仕事に向いている」と言う。

大角さんは、この性格もあってか、10個くらいの銀行口座を持っている。

ネットバンキングのアカウント管理方法やログイン手順などを調べているうちに、「まるで私がフィッシング詐欺をしている人のように(笑)」たくさんの銀行口座を開設していたのだという。

仕事の向き・不向きは、日頃の行動からも見定めることができそうだ。

取材・文:伊藤健吾、編集:佐藤留美、デザイン:小鈴キリカ、撮影:竹井俊晴