ランサムウェア攻撃や不正アクセスが日常化する今、「ホワイトハッカー」への渇望はかつてないほど高まっている。だが、そのニーズとは裏腹に、本物の技術を宿したハッカーは“絶滅の危機”に瀕しているという。

「今の時代、エンジニアがハッカーになるのは極めて難しい」

そう断言するのは、世界最大手のセキュリティベンダー・シマンテックでアジア太平洋地域の製品責任者を務め、数々の修羅場を潜り抜けてきた西島正憲さんだ。

皮肉にもその要因は、AIやクラウドによる「便利すぎる開発環境」にある。

ボタン一つでインフラが整い、コードの大部分をAIが生成してくれる現代。システムの裏側にある「原始的な仕組み」に触れずとも、それなりのプロダクトが作れてしまう“タイパ至上主義”の裏側で、エンジニアの技術は空洞化し、牙を抜かれ、「野生の思考」を失いつつあるというのだ。

かつて、リソースの限界に挑み、1行のコードに魂を込めてシステムの深淵をハックしたエンジニアたちが見ていた景色とは何だったのか。 巨大インフラの構築現場やグローバルの最前線で「本物の凄み」を目の当たりにしてきた西島さんに、効率化という甘い毒に抗い、AIに代替されない「真のプロフェッショナル」へと至る生存戦略を聞いた。

便利さは「牙」を奪い、エンジニアを退化させる

一般には「悪意を持ってサイバー攻撃を仕掛ける人」というイメージで捉えられがちなハッカー。一方で、エンジニアの世界では「技術を突き詰めたプロフェッショナル」として、畏怖とリスペクトを込めて語られる存在だ。

だが、現代のエンジニアがその高みに到達するのは、かつてないほど困難だと西島さんは指摘する。その要因の一つが、「仕組みを理解しなくても、完成品が作れてしまう」という、テクノロジーがもたらした過剰な利便性にある。

かつてのシステム開発は、サーバーの物理的な制約、ネットワークの遅延、OSの非効率な挙動といった「低レイヤー」の格闘から逃げ場がなかった。

しかし、今のクラウド環境では、設定画面上で数クリックすれば、ミドルウェアの設定もインフラ構築も完了する。さらに生成AIの登場により、自らロジックを組み上げる苦労さえもショートカット可能になった。

西島さんはこの状況を「ボタン一つで料理を作れる自動調理器みたいなもの」と例える。

「確かに便利で手軽ですが、出来上がる料理はプロのシェフが作る一流の味には敵わない。なぜなら腕の良いシェフは、素材の選び方から材料の仕込み方、煮込む際の細かい火加減まで、調理のあらゆる工程を熟知しているからです」

「エンジニアも同様で、システムを支えるOSやネットワーク、サーバーから、その上で動くアプリケーションまで、あらゆるレイヤーの知識がなければ、品質の高いシステムやサービスは作れない。果たしてそれが一流の技術者と呼べるでしょうか？」

今の時代にハッカーを目指しにくいもう一つの要因が、コンプライアンスや規制の強化だ。

これも社会が安定や安全を保つために必要な対応ではあるが、エンジニアにとっては「自由な発想や挑戦がしにくくなる」という一面も持ち合わせている。

「私が若手の頃は、まだ世の中が大らかで、ネット上にあるさまざまなツールやファイルを興味本位で片っ端からダウンロードしては、ウイルスに感染してPCがフリーズしたり、勝手にOSが初期化されたりといった経験を繰り返していました。多少のトラブルが発生しようと、それがどんな技術かを知るのが純粋に面白かったからです」

「良いか悪いかは別として、一昔前のエンジニアはみんな似たようなことをしていたはず。遊び感覚でリスキーなチャレンジをしながら、マニアックなスキルを自覚の有無にかかわらず磨き上げていたものでした。

でも現在は規制が強化され、企業のコンプライアンスも厳しくなり、少しでもリスクがある行為は許されなくなった。『あれはダメ』『これもダメ』という縛りが増え、エンジニアが自分の興味関心を突き詰めたり、自由な発想で技術を極めたりする機会が奪われています」

社会全体としてはより良い方向へ進んでいる反面、エンジニアが技術の腕を磨きにくくなっている。これは技術革新がもたらした功罪と言えるのかもしれない。

特に低レイヤーで使われる技術やソースコードなど、原始的な要素に触れる機会がほとんどないエンジニアは多いはずだ。

巨大インフラの最前線で見た、技術の深淵

西島さんが現在の環境に危機感を抱くのは、世界トップクラスのエンジニアが集まるグローバルな開発現場に身を置いた経験があるからだ。

例えばMicrosoftのように、世界中に数千万人から数億人規模のユーザーを持つエンタープライズ製品を生み出してきた企業と、国内市場向けのニッチなプロダクトしか作っていない日本企業では、開発者に要求される技術水準にも大きな差がある。

今から20年以上前、外資系企業で携帯電話向けのメールサーバー構築に携わっていた西島さんは、まさに膨大な数のユーザーが利用する巨大システムの構築に携わっていた。その時、同じ職場にいた海外の一流エンジニアが書くソースコードを見て衝撃を受けたという。

「本物のプロフェッショナルは、これほどまでに洗練されたソースコードを書くのか。そう思いましたね。というのも、携帯電話の通信インフラは、膨大な数のユーザーがアクセスしても安定的に通信できるだけの超高速処理とリアルタイム性が求められます。しかも、当時はCPUやメモリの性能も低く、リソースが制限される中でいかに速く動かすかを考えなければいけませんでしたから」

「リソースが潤沢な現在なら、『CPUやメモリを増やせばいい』と考えるかもしれませんが、シングルコアの時代は並列処理ができず、コードで対応するしかない。よってエンジニアが書くコードもかなりシビアなものになります。

厳しい制約がある中で、極めて高いレベルのスピードとパフォーマンスを実現しなければいけない。だからこそエンジニアのスキルもおのずと磨かれ、コードも無駄のない洗練されたものになっていきました」

一方で、リソースが潤沢になり、開発効率が最優先される現代の日本において、コード1行に執着して極限まで突き詰めるような職人芸を発揮する機会は、構造的に失われつつある。

効率化の波に押され、お手本となるような深淵な技術に触れ、自ら手を動かして限界に挑む経験を積みにくくなっている。この「実戦的な飢え」の欠如こそが、国内でハッカー人材が育ちにくい一因となっているのかもしれない。

敵と同じ景色を見て初めて、守る権利を得る

昨今は大手企業から自治体、医療機関まで、ランサムウェア攻撃やDDoS攻撃を受ける事例が相次いでいる。こうしたニュースを耳にして、「防御する側の対策が不十分だったのだろう」と考える人は多い。

だが前提として、サイバーセキュリティは「攻撃者有利」の世界であることを知っておく必要がある。防御する側はシステムのあらゆる穴（脆弱性）を塞がないと敵の侵入を防げないが、攻撃する側は無数にある穴のうち、一つでも見つければ侵入できるからだ。

特に最近は、リモートワークの拡大やシステムの複雑化により、ウイルスの侵入口となる穴はますます増加している。システムのバージョンアップを怠ったり、従業員が1人でもフィッシングメールに引っ掛かったりすれば、簡単に社内ネットワークへ侵入されてしまう。

加えて「先攻有利」の側面もあり、ゼロデイ攻撃はその典型だ。使用中のソフトウエアに脆弱性が発見されても、開発元が修正プログラムやパッチを公開する前に攻撃されたら、防ぎようがない。

「これだけ穴が多いと、ハッカーが網羅的に攻撃を仕掛ければ、必ずどこかの入り口から侵入できる。しかも今はAIが自動で脆弱性をスキャンし、穴を見つけてくれるので、人間が手を動かさなくても24時間攻撃し続けられる。AIの登場により、攻撃者有利の状況に拍車がかかっているのが現状です」

このようにサイバー空間では、どうしても防御する側が不利になりやすい。だからこそ今、守る側にも攻撃者の視点や思考を理解したハッカーが必要とされているのだ。

だが前述の通り、現在の開発環境ではシステムの表層的なレイヤーにしか触れる機会がない。よってホワイトハッカーを目指すなら、攻撃者が見ている景色を擬似的に体験する機会を自らつくるしかない。

実は西島さんも、新人エンジニア時代に「ハッカーはこうやって穴を見つけているのか！」と腑に落ちた瞬間があったという。低レイヤーのプログラミングを自主的に勉強する中で、ネットワークプログラミングのバイブルとされる有名書籍を参考に、ネットワークアプリケーションのソースコードを書いていた時のことだ。

「一般的なプログラミング言語は誰でも書けるように抽象化されていますが、高速な処理能力を要求される低レイヤーでは、細かい処理を具体的かつ厳密に指示しなければいけない。普段なら『connect』の1行で済ませる処理も、何段階かに細分化して関数を作成する必要があります」

「私も書籍の解説を見ながらプログラムを書いていたのですが、その途中で『あれっ、この値を入れたらクラッシュするのでは？』と気付いた箇所があったのです。抽象化されたプログラミングを経験しただけでは、決して発見できないバグでした」

その瞬間、脳が痺れるような感覚を覚えたという西島さん。その発見を当時の上司に伝えたところ、「それがセキュリティホールだよ」と教えられたという。

この経験から「ハッカーは一般のエンジニアが目にしない細部にまで精通しているから、隠れた穴まで見つけるのだ」と痛感。その後もあらゆるレイヤーの技術に触れて知見を深めてきた。

西島さんがサイバーセキュリティ分野の第一線で活躍を続け、セキュリティ最大手のシマンテックで米国本社直属の製品戦略部門でアジア・太平洋地域の責任者を任されるまでになったのも、若手の頃からシステムの仕組みや全体像を理解する力を磨き続けてきたからだろう。

簡単にはハッカーになれない。だから目指す価値がある

現在のエンジニアが置かれた状況を理解した上で、それでもハッカーを目指したいなら、何から始めるべきか。「知識の空洞化」に抗い、エンジニアとしての野生を取り戻すための第一歩として、西島さんはC言語とC ++の学習を勧める。

「今さらC言語か、と思うかもしれません。しかし、コンテナやサーバーレスが主流の今だからこそ、その裏側で動くメモリ管理の挙動を『手触り感』を持って理解しているエンジニアは極端に減っています。この知識の空洞化こそが、今のエンジニアがハッカーになれない最大の壁なのです。

ブラックボックス化された『便利なツール』を使いこなす能力は、あくまで誰かが決めたルールの範疇で踊っているに過ぎません。一方で、ハッカーとはそのルールの隙間——つまり、『OSや言語が想定していない挙動』を見つけ出す人種です。

高級言語が自動でメモリを掃除し、クラウドがインフラを隠蔽してくれる現代において、あえて泥臭い低レイヤーに潜り、コンピュータの『生（なま）』の振る舞いを知ること。それが、AIには決して真似できない『エンジニアとしての野生の勘』を取り戻す唯一のルートなのです」

「どちらもOS開発や組み込み系に使われる原始的な言語で、JavaやPythonなどのスクリプト言語では不要なメモリ管理を必要とする。メモリの確保と解放を意識しながらプログラミングするのは面倒ですが、だからこそ低レイヤーで求められる緻密な処理とスピードを実現する方法を学べます」

もう一つのお勧めは、自分で作ったものに対するセキュリティレビューを、「攻撃者の視点」を取り入れる絶好の機会と捉えることだ。社内に専門チームがいれば積極的に評価を仰ぎ、AIエージェントによる自動診断も活用して「突かれる穴」を可視化する。

「開発担当のエンジニアは期日までにリリースすることで頭がいっぱいで、セキュリティは後回しになりがちです。しかし、脆弱性を指摘されれば『どう修正すれば防御できるか』を考えざるを得ない。その試行錯誤こそが、ハッカー的な思考回路を養う訓練になります。

仕事で向き合っているのはWebサイトだとしても、それを動かすインフラの仕組みまで潜って調べるきっかけにすればいいのです」

結局のところ、悪意あるハッカーに対抗するには「敵を知る」しかない。西島さんは、その難しさと重要性を、あるトップアスリートに例えて説明する。

「どのコースに投げてもホームランを打つ大谷翔平選手を、ただ『カーブに弱いらしい』という程度の知識で抑えられるはずがありません。過去数年間の全打席を検証し、視線の動きからバットの軌道までを研究し尽くして、ようやく勝負の土俵に立てる。サイバーセキュリティも同じです。敵を徹底的に掘り下げて理解し、彼らと同じ、あるいはそれ以上の解像度で技術を捉えて初めて、守る権利が得られるのです」

最近は、短期間でハッカーになれると謳う養成講座も増えている。だが、「そんなに簡単にハッカーになれるはずがない」と西島さんは一蹴する。

その一方で「簡単になれないからこそ、ハッカーは希少価値が高い。AIに代替されないセキュリティのプロとして、これからも必要とされ続けます」とも断言する。

憧れだけではハッカーになれない。それを知ってもなお、高い壁を乗り越えるだけの技術への強い好奇心と熱意があるエンジニアの前だけに、ハッカーへの道が開ける。

サイバー攻撃の脅威に晒されている日本社会は今、そんな人材の挑戦を待ち望んでいる。

セキュアエッジの中途採用情報はこちら type.jp

取材・文／塚田有香　撮影／赤松洋太、桑原美樹　編集／玉城智子（編集部）