サイバーセキュリティ人材育成の現実

座談会～その成功のカギはどこにあるのか～

特定の企業や組織を狙い撃つ「標的型サイバー攻撃」の被害が世界中で急増しています。あらゆるモノがインターネットでつながるIoT時代では、サイバー攻撃の被害は一企業に止まらず社会全体に多大な影響を与える恐れすらあるのです。
NECはお客さまの重要な情報資産やシステムを守るため、長年にわたり多層的かつ動的なサイバーセキュリティ対策の維持・向上を図ってきました。その体制強化への取り組み、さらには高度なサイバーセキュリティ人材をどのように育成してきたのかを、最前線のキーマンたちが語ります。

遥か先にあるセキュリティの頂へ
CSIRTメンバーが語るプロの気構えと道程

NECには、多種多様なバックグラウンドやスキルを持ったサイバーセキュリティ人材が揃っている。もちろん誰もが最初からプロとしての素質を持っていたわけではない。さまざまな経験と努力を重ねながらスキルと目標を醸成していった過程がそこにはある。今回登場する二人のセキュリティエンジニアは、どのような想いで技術力と人間力を高め、サイバーセキュリティのプロフェッショナルを目指していったのだろうか。

多様な経験を積んでからセキュリティの世界へ

サイバーセキュリティの最前線に位置づけられるCSIRTで中堅・若手メンバーとして活躍する上濱導と児玉純。しかし意外にも、二人とも最初からセキュリティ畑を歩いてきたわけではない。

上濱は、大学時代にソフトウェア工学を専攻。ソフトウェア開発よりシステム構築に興味があったため、卒業後はSI企業であるNECネッツエスアイ（NESIC）に就職。セキュリティに携わったきっかけは、SEとしてネットワークインフラやテレビ会議システムなどのSI業務を担当する中で、リモートアクセスや認証の技術に触れたことだった。10年あまりSEを経験した後、何か自分の専門分野を作りたいということから、お客さまにISMS認証(ISO/IEC27001)取得をコンサルティングする業務に移ったという。

「しかしまだ経験が浅かったせいもあり、経営層や現場の方々にセキュリティに関するリスクや対策の本質を、うまく伝えられないもどかしさを感じていました。そのタイミングで会社から“セキュリティ技術強化のためNECのCSIRTでインシデントレスポンスを勉強してきてほしい”という話があり、CSIRTに移籍する形になったのです」と上濱は話す。

一方の児玉は自他共に認めるパソコンのエキスパート。情報システムやネットワークを専攻する大学・大学院で、UNIX系OSの専門教育も受けてNECに入社してきた。

「授業以外にも大学の電算室でアルバイトしていましたから、まさにコンピュータ漬けの毎日でした。eラーニングの動画配信システムを作ったり、コンテンツをWebで配信するアプリを作ったりと、いろいろなことをやっていました」と児玉は振り返る。

NECでは、最初の2年間は営業に配属された。しかし、どうしても営業職になじめず、開発への転属を希望し、グループ会社のデータセンターへ異動。ストレージシステムの評価作業や仮想環境の構築に携わった後、今度はNECのインフラ担当部門に戻り、さらにそこからCSIRTを兼任することになった。

二人とも多様な経験を積んでからセキュリティの世界に入ったが、大きな戸惑いはなかったという。

「とにかくなんでも聞いてくれという雰囲気で、非常になじみやすかった。研修や勉強会も充実していますし、日本トップクラスのプロたちが“同僚”として周りにいるわけですから本当に心強い。CSIRTはチームプレイが多いので、皆さんからいい意味でテクニックを盗めますし、セキュリティエンジニアに必要な知識を体系的に学べる環境も整っていました」と二人は口を揃える。

足りないスキルは何かを自問自答する日々

とはいえ、セキュリティの最高峰とも言える職場であるだけに、自身に足りない知識やスキルと向き合う日々が続いているという。

「私は当初、プログラム開発の経験が足りていないことが大きな壁になりました」と上濱は打ち明ける。CSIRTでは時に何万行にもおよぶ膨大なログの中から、異常な文字列を見つけ出すことでマルウェアを発見・解析しなければならない。そのためには、まずは正常なプログラムがどうなっているのかを理解しておく必要があるわけだ。「今ではある程度プログラムを読めるレベルにはなってきましたが、覚えなければならない言語の幅が広いため、日々、自分に足りない知識やスキルは何かを自問自答しながら、優先度の高いものからギャップを埋める作業を続けています」（上濱）

一方の児玉も攻撃者と格闘する日々を送っているものの、まだまだ足りないスキルだらけだと実感することが多い。だが、それが逆に刺激になっているという。

「私の周りだけでも比較にならないほどの“達人”がゴロゴロいます。そのレベルともなると、一見、無意味な文字列に見えるデータからヒントを見つけ、複数の解析手法を用いて、迅速に意味のある文字を見つけ出すことができてしまう。また世界中のセキュリティ専門家が技を競うCTF(Capture the Flag)というコンテストに出場する機会が年に何度かあるのですが、ここで出題される問題は実際のマルウェア解析に取り組むより遥かに難しい。というのも、CTFは将来的に発生すると予測される攻撃に向けた研究的な取り組みで、数年後のマルウェアを相手にしているようなものだからです。こうしたこともあって、チームを組むNECのCSIRTメンバーの中でも、私はまだ得点を稼ぐレベルに達していません。しかしいつかは同じようなレベルになりたい」と児玉は笑う。

見えない敵との対決に火花を散らす

NECのCSIRTメンバーは、お客さまへの攻撃対応を兼任することも多く、実践での対処を求められることもある。児玉は配属直後に当時流行の兆しがあったランサムウェアの解析を担当した。

「偶然にも解きやすい攻撃だったので、そこである程度の感覚を掴むことができました。その後は攻撃者が数カ月ごとにレベルを上げてきたのですが、しだいに私も相手が何を考え、どう変えてくるのかのクセを理解できるようになり、まさに“見えない敵”との対決に火花を散らしています」。

時にはお客さまの事業そのものに関わるケースもあるという。「Webが改ざんされているようなので分析してほしいというご依頼を受け調査したところ“これは危ない”と、チームメンバーと確認・相談した上で、お客さまのサービスを止める決断を下したことがあります。かなり大規模なサービスでしたので鳥肌が立つ思いがしました」と児玉は振り返る。結果的に、お客さまの被害を最小限に止めることができ、ねぎらいの言葉をかけてもらった。これまで磨いてきた技術力が発揮できたこともあり、児玉が大きな達成感を味わった瞬間だった。

一方の上濱は、NECが検知したマルウェア攻撃やインシデントレスポンス経験を活用することで、お客さまへの攻撃を多数防げていることに日々やりがいを感じているという。そうしたやり取りの中で、これまで経験してきたことが役立つことも少なくない。「リスクや対処法をご説明する際に、お客さまの理解しやすい言葉が自然と口から出てくることや、お客さまにもわかりやすいとおっしゃっていただけることもある。これは、以前やっていたSEやコンサルティングの経験が生きているのかもしれません。セキュリティの仕事に求められる素養は幅広く、これまでの知識や経験が生きる場面も多々あります。ただそれ以上に嬉しいのは、自分が1年前、数カ月前と比べ、常に成長していることを実感する瞬間です」。

社内の安全・安心を支援するスペシャリストになりたい

こうしてセキュリティの最前線に自己を研鑽する日々を送る二人だが、今後は、どのようなキャリアを描いていきたいのだろうか。

まず、児玉が目指すのは最高レベルの技術者すなわちトップガンだ。「この世界に入ったからには、やはりそこを目指していきたい。そのためにはテクニカルな部分で吸収すべきものがまだまだたくさんあります。ただし、あくまでも重要なのは情報や業務、社会の生活を守ること。そのためCSIRTのメンバー間で常に情報を共有しながらレベルを高め合い、社会全体のシステムをサイバー攻撃から守っていくことが、自分のミッションだと思っています」。

児玉がこう話すのは、「サイバーセキュリティは既に社会インフラの一部」という考えがあるからだ。悪意ある攻撃から防御する手立てが標準的に備わっていなければ、ビジネスも社会生活も成立し得ない。

一方の上濱は、経営層とセキュリティ部隊の「橋渡し人材」のエキスパートを目指していきたいという。

「そのためには、最先端のセキュリティ技術や動向に常日頃からアンテナを張り巡らせ、自らの知識やスキルとして吸収する不断の努力が必要です。お客さまも含めた経営層の方々に最新のリスクや現場状況を説明する際も、誰かの受け売りではない自分の言葉と判断で正しい情報を伝える必要があります。

もちろんマネジメントスキルやコミュニケーション力もさらに磨いていかなければならないでしょう」と上濱は先を見据える。

セキュリティの最前線はなかなか日の当たらない場所だ。しかし、世の中に役立つ仕事であるというプロとしての誇りと目標をそれぞれが胸に秘め、今日もNEC CSIRTメンバーは、見えない敵に立ち向かっている。