必要とされるキャリアとスキルを追う！

第13回　なぜパスワードを盗まれてはいけないのか？

長谷川玲奈（＠IT自分戦略研究所）
2007/3/15

いま、現場で求められているキャリアやスキルは、どんなものだろうか。本連載では、さまざまなITエンジニアに自身の体験談を聞いていく。その体験談の中から、読者のヒントになるようなキャリアやスキルが見つかることを願っている。

　JPCERTコーディネーションセンター（JPCERT/CC）でセキュリティインシデント関連業務に携わる、主席分析官の椎木孝斉氏。昨年（2006年）末まではCERT/CC（米国のコンピュータセキュリティインシデント対応組織）に長期出張し、マルウェアの分析に関する研究を行っていた。

　講演活動、海外の関連機関との調整などセキュリティの専門家として活躍する椎木氏だが、もともとはシステム開発を行うITエンジニアだった。いかにしてセキュリティの道に足を踏み入れたのか。

■就職活動のキーワードは「ソフトウェア」「制御」

　「大学のときからコンピュータを日常的に使っていたわけではなかったですね」と椎木氏は学生時代を語る。専攻は物理。修士課程に進み、理論物理の研究をしていた。

JPCERTコーディネーションセンター主席分析官椎木孝斉氏

　理論物理にも計算機でのシミュレーションを中心に行う計算機物理と、昔ながらの紙と鉛筆での計算を中心に行うものとあるが、椎木氏の研究室で行っていたのはどちらかといえば後者だったという。それでも「理論計算の結果を、FORTRANでプログラムを組んでコンピュータで動かしてみるということをやっていた」そうだから、一般の学生に比べてかなり使っていたといえるだろう。

　就職先を考える段階になって、椎木氏は「お金をもらうのであれば、何かモノをつくることでもらおう」と思い、電機メーカーを希望した。また、そのときに面白そうだと感じ、就職活動におけるキーワードとしたのは「ソフトウェア」「制御」だったという。

　研究室の推薦枠で、希望どおり大手メーカーの制御システムを開発する部門に就職。ここからITエンジニアとしての15年のキャリアが始まることになる。

　「ソフトウェア」というキーワードを掲げて就職した椎木氏だが、入社時にソフトウェアについてそれほど専門的な知識を持っていたというわけではなく、「ある意味、一から学んでいった」という。入社してから半年間の充実した研修で、プログラミングの知識、システム開発プロジェクトの進め方など基本知識を学んだ。「ビジネスという点でも、当時はメモの取り方など、本当に基本的なことから教えてくれる上司がいて、非常に良かった」と椎木氏は振り返る。

　この会社でまず携わったのは発電所向け制御システムの開発の仕事だった。「最初は制御に近い部分のシステムを、次は制御系と情報系をつなぐシステムを担当しました。プロプライエタリなシステムから、だんだんとオープンなシステムにかかわるようになり、それにつれて一般的なOSやアプリケーション開発などの知識を身に付けました」とのことだ。入社2年目から2年半ほど続いたプロジェクトでは、4人ほどのサブプロジェクトのリーダーを務め、要件定義から設計、開発、テストまでを経験。特にクライアント機能部分の取りまとめ役として活躍した。

　実際にシステム開発を経験して、椎木氏は「なかなか単純ではないと思いました」。また「とても複雑なシステムがきちんと動いていること、そういうシステムをつくり上げることができることに非常に驚きました」という。

■セキュリティ技術の研究所への派遣

　入社から数年がたつと、椎木氏の興味の対象はだんだんと変化してきた。「制御への興味が薄れ、ソフトウェアに対する興味が増してきた」そうだ。

　就職してからこれまでに、椎木氏には4つの転機があったという。最初の転機は、この興味の変化と同じころに訪れた。セキュリティ技術開発を行っている関連の研究所に派遣されたのだ。

　同年代の若手エンジニアが大勢いる中から、なぜ選ばれたのかについては「分からないんですよ。突然でした」という。「しかし、戸惑いや不安はなかったですね。新しいことができると思い、チャレンジすることにしました。ただ、セキュリティについてはほとんど何も分からない状態だったので、慌てて事前に図書館で調べ物をしたくらいでした」

　こうして椎木氏は研究所に派遣され、基礎技術を学びながら研究開発に携わることになった。暗号のアルゴリズムから、それを具体的に実装し、ライブラリとして組み込んでいくところを、セキュリティの基礎的なことも含めて経験することができたそうだ。「非常にいい経験ができたと思っています」

　実際の開発を行いながら学ぶことに、苦労はなかったのだろうか。「あまり大変だとは思いませんでした。新しいものが多分好きなんでしょうね、分からないことがあれば人に聞くなり自分で調べるなりしながら、楽しんでやっていました」。穏やかに話す椎木氏だが、その学ぶスピードは目覚ましかったようだ。わずか半年後にはメンバーが1～2人の開発チームのリーダーとなり、みごと成功させているのだ。

　椎木氏自身も「特に印象に残った」としているこのプロジェクトは、医療関連のプロトタイプシステムの開発をするものだった。セキュリティ機能に関して、基礎の基礎となるライブラリのようなものはできていたが、その上になるライブラリはまだ作っていない段階だったという。「試行錯誤しながらも何とか作ることができました。できた自分も驚きましたし、研究所のメンバーにも『よくできたな』といわれたことを覚えています」

　開発過程はまさに試行錯誤の連続だったようだ。「仕様が決まった後も、どのように解釈するかによって実装の仕方は何通りも考えられます」。そういう意味で、最初の実装は間違ってはいなかったものの「より幅広く適用できる、うまい実装からは遠かった」という。「研究所の人たちと話をし、行きつ戻りつしながらも、だんだんとより良いものとなるよう仕上げていきました」

　「研究所という環境なので割と余裕を持って、自由に仕事ができました。時間に追われてということはあまりなかったです。技術的に知らないことはたくさんありましたが、つらいとは思っていなかったですね。何とか自分でできるような形でやっていきました」

■自分であることを証明するパスワード

　研究しつつ学ぶ毎日を過ごすうち、椎木氏は次第にセキュリティというものに引かれていったようだ。「面白いなと思うところは、奥の深さと幅の広さです。セキュリティはとてつもなく深く、広い。けれどもいろいろなところで身近に接するもの。それを最初に感じたのは研究所にいたときです。

　普段何気なくやっている、ユーザー名とパスワードを入力するという行為。これは専門用語でいうと『識別』と『認証』に当たります。『あなたは誰なんですか？』という問いに答えるのが、ユーザー名を入力する識別。『本当なんですか？』といわれて証明のためにパスワードを入力する、それが認証に当たる。そのセキュリティ上の意味をあらためて知ったとき、『パスワードは自分が自分であることを証明するものなので、人に教えちゃいけないし、きちんと守らなきゃいけない』ということが納得できたんです」。気にも留めずにしていたことをセキュリティという観点で考えると、深い意味を帯びてくる。そのことが当時の椎木氏に新鮮な驚きをもたらした。

　「やればやるほど、非常に奥が深いということが分かり、これは面白いなと。純粋な暗号やネットワークなどの技術から、法律や社会制度までかかわるという幅の広さも、難しいけれども面白い」

　そういった話からは、椎木氏が知識を体系立てて学ぶことや研究をとても好み、また得意としていることがうかがえる。研究所への派遣メンバーとして選ばれたのもそのためかもしれない。