人気アプリを装ったAndroidマルウェアによって推計で千数百万人もの個人情報が流出したと噂される『the Movie事件』や、2013年2月末時点で4人の誤認逮捕者を出して社会問題になっている『PC遠隔操作事件』など……。最近、個人を狙ったサイバー犯罪が急増している。

PC遠隔操作事件では、警察内部でサイバー犯罪を的確かつ迅速に捜査できる体制ができていないと指摘する声も挙がっているが、この流れの中で注目を集める職業がある。それが「ホワイトハッカー」だ。

ホワイトハッカーとは、サイバー犯罪を起こす「ブラックハッカー」（悪いハッカーのこと。クラッカー、ブラックハットともいう）に対抗する、彼らと同等以上の能力を持つセキュリティエンジニアのこと。

過去のサイバー犯罪で標的とされてきたのは主に政府機関や企業だったが、上記のとおり一般人をも巻き込む犯罪へと拡大しつつある中で、ホワイトハッカーの需要は年々高まっている。

今年2月には経済産業省が競技型ハッキングコンテスト『CTFチャレンジジャパン2012』を初開催するなど、ホワイトハッカー育成の機運も徐々に高まり出した。

この『CTFチャレンジジャパン』で初代チャンピオンに輝いたのは、不正アクセス被害の解析や証拠保全技術などを手掛けるネットエージェントの若手エンジニアチーム。同社の代表取締役社長である杉浦隆幸氏は、過去にP2Pのファイル共有ソフト『Winny』の暗号解読にいち早く成功するなど、情報流出対策ビジネスの世界では名の知れた存在だ。

彼はIPA（独立行政法人 情報処理推進機構）が主催する若手セキュリティエンジニア育成イベント『セキュリティ・キャンプ』で講師を務めるなど、後進の育成にも尽力してきた。そんな杉浦氏に、ホワイトハッカーとは何者で、仕事をこなすには何が必要なのかを聞いてみよう。

必要なのは、100人の人材育成より被害を食い止める仕組みづくり

―― まずはネットエージェントのお仕事紹介を。日ごろはどのようなお仕事を？

情報セキュリティを高める自社製品やサービスの開発のほか、企業や官公庁などからの依頼で情報漏洩や不正行為の調査を行ったり、オンラインゲームやソーシャルゲームのチート（ゲーム上での不正）対策などをしています。

―― 『PC遠隔操作事件』のように警察が乗り出すような事件捜査と、御社のような民間のセキュリティ会社が行う調査の違いは何でしょう？

警察は犯人を捕まえて起訴することが目的ですが、わたしたちは企業や団体でセキュリティ問題が発生した際、「どう不正が行われたか」を詳しく調べ、問題の再発を防ぐまでをミッションにしています。

デジタルフォレンジック（電子証跡調査）などを駆使して調査を進めるという点では共通していますし、われわれ民間企業が刑事事件の捜査に協力することもありますが、警察と民間ではそもそも目指しているものが違うんです。

―― 最近、サイバー犯罪に対処できるセキュリティエンジニアが不足していると指摘する声が増えていますが、実際のところはどうなんでしょう？

セキュリティのプロに対する需要が増えているのは確かです。しかし、人手が多くなればそれでOK、という話ではありません。

これはどの世界のエンジニアリングも同じだと思いますが、多くの人月を割いたからといって、問題を解決できるとは限りません。1人の有能なハッカーは、10人～100人、もっといえば1000人のエンジニアに匹敵するものです。

だから、今問われているのは「人材不足の解消」よりも「仕組みづくり」なんですよ。

例えば、誰でも簡単に定義ファイルを更新するだけで最新のセキュリティ環境が整うウィルス対策ソフトのように、ハイテク犯罪やサイバー攻撃の被害を最小限に食い止めるための仕組みづくりが問われています。

―― その「仕組みづくり」とは、今後起こりそうな犯罪の傾向を予測しながら行うのですか？

いえ、サイバー犯罪は予測がしづらい世界ですから、あくまでも事象の発生ベースでどう対処するべきかを決めなければなりません。

ただ、この業界では「新しいデバイスやネットサービスが生まれると、大体5年以内にはそれを悪用した犯罪が一般に蔓延する」という不文律があるので、ある程度は未来を見越して行っています。

技術力があっても、倫理観や人間性がないと“ダークサイド”に堕ちる

―― 『CTFチャレンジジャパン2012』では若手エンジニアで構成されたチームで優勝されたそうですが、ネットエージェントで活躍しているエンジニアは、どんな専門性を持った人たちなのですか？

ＩＰＡが行う『セキュリティ・キャンプ』の講義内容に照らし合わせて言えば、大きく①ソフトウェア・セキュリティ、②Webセキュリティ、③ネットワーク・セキュリティ、④セキュアなOSを作る知識の4つが必要です。

ただ、新卒・中途を問わず、入社してくる人それぞれが得意分野を持っていて、約30名いるエンジニアの中で全領域を完ぺきにカバーできる人間はいません。

わたし自身の専門は通信解析と暗号解読なのですが、社内には画像解析やリバースエンジニアリングの専門家、自分でOSを作った経験がある人などもいます。「セキュリティ技術」と一口に言っても、カバーしなければならない領域は広大ですから。

昨今のサイバー犯罪は、われわれでも専門外の分野を理解するのが困難なほどの速さで高度化しています。異なる専門知識を持つエンジニアがチームでカバーしないと、新しい手口の犯罪に対応できないのです。

―― では、どんな素質を持つエンジニアがホワイトハッカーになれるのでしょう？

大前提として、数学が苦手な人には務まらないでしょう。この仕事では、10進法、16進法くらいは頭の中でできるレベルの数学力が問われます。

技術面では、アセンブラレベルの理解があるなど、低層から理解している人たちになるでしょう。リバースエンジニアリングをしっかりやってきた人も有望です。

また、こういった素質以外にも、法律・法令への理解があること、性格的に粘り強く慎重なタイプであることが大切だと思います。地頭が良く技術だけ優れていても、倫理観や人間性が備わっていないと、ブラックハッカーになってしまう可能性を否定できないからです。

―― 『スターウォーズ』でたとえると、ジェダイがダークサイドに墜ちてしまうような？

そうです。一般的に、犯罪を起こした人の再犯率は高いと言われますから、一度“ダークサイド”に堕ちてしまった人がホワイトハッカーになるのは難しいのではないかと。

―― では、よくハリウッド映画で描かれている、悪いハッカーが一転FBIのような政府機関や警察に協力するといった展開はあり得ない？

アメリカでは実際にあります。「毒を以って毒を制す」という考え方です。日本では今のところ、そういうケースを聞いたことがないですね。

―― ホワイトハッカーとブラックハッカーは、技術的なベースや素養は共通しているとのことですが、両者を分ける決定的な違いは何なのでしょう？

やはり、法令遵守できるだけの知識があるか、倫理観があるか、過去に犯罪を起こしたことがないかが境界線になるでしょう。やっていることの善悪で判断しようとすると、観念的で定義があいまいになってしまいますから。

ホワイトハッカーであれ、悪意を持ったハッカーであれ、やっている作業レベルでは地味なことの積み重ねなんです。それに、例えばアプリ開発エンジニアのように、同じことをやっている仲間は非常に少ない。

それゆえ、ハッカーは「孤独」や「問題の枯渇（＝ある問題を解決してしまうと、その後の業務や商機がなくなるという意味）」という壁にぶち当たることがよくあります。それに耐えられなくなったり、自分の能力を世の中に誇示したくなってしまった人が “ダークサイド”に堕ちてしまうのだと思います。

ネットエージェントの場合は、「組織」や「人」を守るという共通の目的を掲げ、新しい自社プロダクトやサービスを生むことで、エンジニアの孤独感や問題の枯渇を回避しています。善悪で物事を判断せず、法律や社内規定を破る人たちを「絶対値としての敵」と見なして、その敵にどう対処していくかに集中している点が、ブラックハッカーとの違いといえるでしょうね。

取材・文／武田敏則（グレタケ）　撮影／小林 正