エンジニアtype - エンジニアのシゴト人生を考えるWebマガジン
  • TOP
  • キーパーソン
  • 旬ネタ
  • コラボ
  • ノウハウ
  • 女子部
  • キャリア

サイバー犯罪と戦う注目の職業「ホワイトハッカー」って何だ!? ネットエージェント杉浦隆幸氏に聞く

タグ : サイバー犯罪, セキュリティ, セキュリティプログラム, ネットエージェント, ハッカー, ハッキング, ホワイトハッカー 公開

 

人気アプリを装ったAndroidマルウェアによって推計で千数百万人もの個人情報が流出したと噂される『the Movie事件』や、2013年2月末時点で4人の誤認逮捕者を出して社会問題になっている『PC遠隔操作事件』など……。最近、個人を狙ったサイバー犯罪が急増している。

PC遠隔操作事件では、警察内部でサイバー犯罪を的確かつ迅速に捜査できる体制ができていないと指摘する声も挙がっているが、この流れの中で注目を集める職業がある。それが「ホワイトハッカー」だ。

ホワイトハッカーとは、サイバー犯罪を起こす「ブラックハッカー」(悪いハッカーのこと。クラッカー、ブラックハットともいう)に対抗する、彼らと同等以上の能力を持つセキュリティエンジニアのこと。

smart-phone-image

From fukapon
スマホのような高性能デバイスの爆発的な普及も、一般社会にサイバー犯罪が広まってきた一要因に

過去のサイバー犯罪で標的とされてきたのは主に政府機関や企業だったが、上記のとおり一般人をも巻き込む犯罪へと拡大しつつある中で、ホワイトハッカーの需要は年々高まっている。

今年2月には経済産業省が競技型ハッキングコンテスト『CTFチャレンジジャパン2012』を初開催するなど、ホワイトハッカー育成の機運も徐々に高まり出した。

この『CTFチャレンジジャパン』で初代チャンピオンに輝いたのは、不正アクセス被害の解析や証拠保全技術などを手掛けるネットエージェントの若手エンジニアチーム。同社の代表取締役社長である杉浦隆幸氏は、過去にP2Pのファイル共有ソフト『Winny』の暗号解読にいち早く成功するなど、情報流出対策ビジネスの世界では名の知れた存在だ。

彼はIPA(独立行政法人 情報処理推進機構)が主催する若手セキュリティエンジニア育成イベント『セキュリティ・キャンプ』で講師を務めるなど、後進の育成にも尽力してきた。そんな杉浦氏に、ホワイトハッカーとは何者で、仕事をこなすには何が必要なのかを聞いてみよう。

必要なのは、100人の人材育成より被害を食い止める仕組みづくり

ネットエージェント杉浦隆幸氏

杉浦隆幸氏がセキュリティに関する知見を発信しているネットエージェント オフィシャルブログはコチラ

―― まずはネットエージェントのお仕事紹介を。日ごろはどのようなお仕事を?

情報セキュリティを高める自社製品やサービスの開発のほか、企業や官公庁などからの依頼で情報漏洩や不正行為の調査を行ったり、オンラインゲームやソーシャルゲームのチート(ゲーム上での不正)対策などをしています。

ネットエージェント『防人(さきもり)』sakimori

ネットエージェントの主力自社製品の一つで、標的型攻撃メール対策サーバの『防人(さきもり)

―― 『PC遠隔操作事件』のように警察が乗り出すような事件捜査と、御社のような民間のセキュリティ会社が行う調査の違いは何でしょう?

警察は犯人を捕まえて起訴することが目的ですが、わたしたちは企業や団体でセキュリティ問題が発生した際、「どう不正が行われたか」を詳しく調べ、問題の再発を防ぐまでをミッションにしています。

デジタルフォレンジック(電子証跡調査)などを駆使して調査を進めるという点では共通していますし、われわれ民間企業が刑事事件の捜査に協力することもありますが、警察と民間ではそもそも目指しているものが違うんです。

―― 最近、サイバー犯罪に対処できるセキュリティエンジニアが不足していると指摘する声が増えていますが、実際のところはどうなんでしょう?

セキュリティのプロに対する需要が増えているのは確かです。しかし、人手が多くなればそれでOK、という話ではありません。

これはどの世界のエンジニアリングも同じだと思いますが、多くの人月を割いたからといって、問題を解決できるとは限りません。1人の有能なハッカーは、10人~100人、もっといえば1000人のエンジニアに匹敵するものです。

だから、今問われているのは「人材不足の解消」よりも「仕組みづくり」なんですよ。

例えば、誰でも簡単に定義ファイルを更新するだけで最新のセキュリティ環境が整うウィルス対策ソフトのように、ハイテク犯罪やサイバー攻撃の被害を最小限に食い止めるための仕組みづくりが問われています。

―― その「仕組みづくり」とは、今後起こりそうな犯罪の傾向を予測しながら行うのですか?

いえ、サイバー犯罪は予測がしづらい世界ですから、あくまでも事象の発生ベースでどう対処するべきかを決めなければなりません。

ただ、この業界では「新しいデバイスやネットサービスが生まれると、大体5年以内にはそれを悪用した犯罪が一般に蔓延する」という不文律があるので、ある程度は未来を見越して行っています。

技術力があっても、倫理観や人間性がないと“ダークサイド”に堕ちる

―― 『CTFチャレンジジャパン2012』では若手エンジニアで構成されたチームで優勝されたそうですが、ネットエージェントで活躍しているエンジニアは、どんな専門性を持った人たちなのですか?

IPAが行う『セキュリティ・キャンプ』の講義内容に照らし合わせて言えば、大きく①ソフトウェア・セキュリティ、②Webセキュリティ、③ネットワーク・セキュリティ、④セキュアなOSを作る知識の4つが必要です。

ただ、新卒・中途を問わず、入社してくる人それぞれが得意分野を持っていて、約30名いるエンジニアの中で全領域を完ぺきにカバーできる人間はいません。

ネットエージェント杉浦隆幸氏2

サイバー犯罪の高度化によって「特定の専門スキルを持っているだけでは対処できなくなっている」という

わたし自身の専門は通信解析と暗号解読なのですが、社内には画像解析やリバースエンジニアリングの専門家、自分でOSを作った経験がある人などもいます。「セキュリティ技術」と一口に言っても、カバーしなければならない領域は広大ですから。

昨今のサイバー犯罪は、われわれでも専門外の分野を理解するのが困難なほどの速さで高度化しています。異なる専門知識を持つエンジニアがチームでカバーしないと、新しい手口の犯罪に対応できないのです。

―― では、どんな素質を持つエンジニアがホワイトハッカーになれるのでしょう?

大前提として、数学が苦手な人には務まらないでしょう。この仕事では、10進法、16進法くらいは頭の中でできるレベルの数学力が問われます。

技術面では、アセンブラレベルの理解があるなど、低層から理解している人たちになるでしょう。リバースエンジニアリングをしっかりやってきた人も有望です。

また、こういった素質以外にも、法律・法令への理解があること、性格的に粘り強く慎重なタイプであることが大切だと思います。地頭が良く技術だけ優れていても、倫理観や人間性が備わっていないと、ブラックハッカーになってしまう可能性を否定できないからです。

―― 『スターウォーズ』でたとえると、ジェダイがダークサイドに墜ちてしまうような?

そうです。一般的に、犯罪を起こした人の再犯率は高いと言われますから、一度“ダークサイド”に堕ちてしまった人がホワイトハッカーになるのは難しいのではないかと。

―― では、よくハリウッド映画で描かれている、悪いハッカーが一転FBIのような政府機関や警察に協力するといった展開はあり得ない?

アメリカでは実際にあります。「毒を以って毒を制す」という考え方です。日本では今のところ、そういうケースを聞いたことがないですね。

―― ホワイトハッカーとブラックハッカーは、技術的なベースや素養は共通しているとのことですが、両者を分ける決定的な違いは何なのでしょう?

やはり、法令遵守できるだけの知識があるか、倫理観があるか、過去に犯罪を起こしたことがないかが境界線になるでしょう。やっていることの善悪で判断しようとすると、観念的で定義があいまいになってしまいますから。

ホワイトハッカーであれ、悪意を持ったハッカーであれ、やっている作業レベルでは地味なことの積み重ねなんです。それに、例えばアプリ開発エンジニアのように、同じことをやっている仲間は非常に少ない。

それゆえ、ハッカーは「孤独」や「問題の枯渇(=ある問題を解決してしまうと、その後の業務や商機がなくなるという意味)」という壁にぶち当たることがよくあります。それに耐えられなくなったり、自分の能力を世の中に誇示したくなってしまった人が “ダークサイド”に堕ちてしまうのだと思います。

ネットエージェントの場合は、「組織」や「人」を守るという共通の目的を掲げ、新しい自社プロダクトやサービスを生むことで、エンジニアの孤独感や問題の枯渇を回避しています。善悪で物事を判断せず、法律や社内規定を破る人たちを「絶対値としての敵」と見なして、その敵にどう対処していくかに集中している点が、ブラックハッカーとの違いといえるでしょうね。

取材・文/武田敏則(グレタケ) 撮影/小林 正


編集部からのお知らせ

RANKING

エンジニアtype姉妹サイト



人気のタグ
業界有名人 スタートアップ 開発 SE 転職 エンジニア プログラマー Web スキルアップ ソーシャル アプリ シリコンバレー キャリア プログラミング Android 起業 えふしん スマートフォン アプリ開発 SIer 技術者 UI btrax Webサービス クラウド Apple スペシャリスト CTO Twitter Brandon K. Hill ギーク 英語 村上福之 Facebook Google デザイン IoT SNS ツイキャス 世良耕太 モイめし IT 30代 採用 赤松洋介 コーディング 20代 UX 勉強会 プロジェクトマネジメント Ruby ITイベント Webエンジニア 中島聡 ビッグデータ 法林浩之 ウエアラブル iOS 五十嵐悠紀 LINE ドワンゴ ひがやすを ロボット 受託開発 モノづくり IT業界 コミュニケーション イノベーション ハードウエア MAKERS tips ゲーム 女性 ソーシャルゲーム Webアプリ SI インフラ iPhone 女性技術者 高須正和 マイクロソフト 研究者 UI/UX トヨタ 自動車 ノウハウ チームラボ 息抜き システム ソニー プラットフォーム Java メイカームーブメント オープンソース 和田卓人 エンジン グローバル 開発者 教育 イベント サイバーエージェント ソフトウェア 女子会 コミュニティ メーカー 家入一真 スーパーギーク 増井雄一郎 GitHub 人工知能 IPA 40代 日産 テスト駆動開発 ソフトウエア 音楽 TDD ニュース モバイル PHP TechLION

タグ一覧を見る