必要とされるキャリアとスキルを追う！

第13回　なぜパスワードを盗まれてはいけないのか？

長谷川玲奈（＠IT自分戦略研究所）
2007/3/15

■セキュリティはシステムだけでは機能しない

　研究所での1年間の実習を終えた椎木氏は元の部門に戻り、公共向けシステムのセキュリティ機能の設計や開発を担当。比較的小規模のアプリケーション実装やファイアウォールの設計・構築、ある程度の規模のシステムのセキュリティのデザインなどに、主にリーダーとして携わった。「そもそもお客さまの実現したいシステム、インターネットに接続したいとかサービスとして公開したいとかといった要件があり、それを実現するためにどのようなセキュリティ機能が必要なのかを考えて設計して具体的にするという形ですね」

　研究所で行う開発と実際の顧客を相手にしての開発では、どのくらいの違いがあったのだろうか。「要素技術としてのセキュリティとシステムのセキュリティということで対象範囲が異なりますし、実際のお客さまの要件に見合うものを考えないといけません。責任も大きく、研究所との違いを感じながらやっていました。ネットワーク機器の設定などは研究所ではあまり経験しなかったので、これもまた新しい分野で知識を得ることを楽しんでやっていました」

　こうして数年間、セキュリティシステムの経験を積んでいった椎木氏だが、少しずつ違和感を覚えるようになっていったという。「システムだけではセキュリティは機能しない、人の側面や管理的な側面を考えないといけないのではという思いが出てきました。各省庁でセキュリティポリシーが策定されるとともにISMSの枠組みがつくられ、認証制度が始まりつつあるという背景もあり、ますます重要になるセキュリティにもっと深く携わりたいと思うようになりました」

　そこで希望を出し、システム開発部門からセキュリティサービス専門の部門に異動。セキュリティポリシーの策定やISMS認証取得支援といった、セキュリティに関するコンサルティング業務を行うようになった。これが2番目の転機だった。

　「システム構築をしていたときより、一段と深くお客さまとかかわるようになりました。目的を達成したときに喜ばれたり、ありがとう、よくやってくれたといってもらえたり。逆にダメなときはダメだ！と直接いってもらえる。そういうフィードバックをダイレクトにもらえることが非常に大きなやりがいでした」という。

　セキュリティについても、「幅広く見ることができるようになりました」。「特にセキュリティを、企業がビジネスを進めていくために必要なもの、活用するものとしてとらえるという意識を強く持つようになりました。そのためには人的側面や管理的な側面も重要であり、どれだけのセキュリティ機能を持たなければいけないのかというシステム的な側面も同じように重要となります。そういった幅広い意味でセキュリティをとらえることができるようになりました」

■セキュリティ分野で国際的に活躍したい

　椎木氏はこのようなやりがいを持ってセキュリティ関連のコンサルティングに携わっていたが、一方で業務が固定化され、幅広く行うことができないとも感じていた。また、以前から「国際的に活躍してみたい」という希望があり、いまの環境ではなかなか難しいとも感じていた。加えて「個々の企業だけでなく、第三者的な立場、中立な立場で果たすべき役割もセキュリティには重要ではないかという漠然とした思い」があったという。

　もっともっと自分の幅を広げたい、希望を実現したいと思った椎木氏は転職を考え始めた。「セキュリティに特化してコンサルティングからシステムまで担当でき、国際的に活躍できるということをポイントに、転職エージェントに登録して案件紹介を受けました。セキュリティベンダ、コンサルティング会社、監査系の会社などです。案件を検討している段階で、『セキュリティならこういうところも募集しています』と紹介されたのがJPCERT/CCでした。名前や活動概要は知っていましたが、人材を募集しているとは思いもしなかったので、『そういうチャンスがあるならここしかない』と考えました」

　JPCERT/CCは政府機関や企業から独立した中立機関であることも含めて、まさに椎木氏の希望にぴったりだったといえる。結局椎木氏が応募したのはJPCERT/CCだけだった。「選考は面談が中心。厳しいところと柔軟なところがそれぞれありました。また面談を通じて、普通の営利企業とは違う、技術者の集団だなという雰囲気を感じました」と当時の印象を語る。

　転職活動を始めて3カ月で内定をもらい、引き継ぎ期間を経て2005年6月に入社した。この転職が第3の転機だ。

■尽きないセキュリティの魅力

　転職後、椎木氏はグループマネージャとして、脆弱（ぜいじゃく）性情報の取り扱いに関する国際的な調整業務に就いた。「日本では、経済産業省主導で定められた脆弱性情報の取り扱いのスキームがあります。そのスキームではIPAに届け出られたソフトウェアの脆弱性について、JPCERT/CCは調整機関として、製品開発者に対応をお願いしながら、公表の時期を調整して情報を公開していく業務を行います」

　調整が海外に及ぶ場合もある。脆弱性の発見が海外でなされた場合や、逆に日本で発見された脆弱性が海外の製品に影響する場合などだ。例えば脆弱性の発見が海外でなされた場合には、CERT/CCなど協力関係にある機関からの連絡を受け、日本の製品開発者に影響があるかどうかを調査し、同様に調整を行う。

　以前の会社と大きく異なると感じるのは、業務のスピード感だという。「会社の規模、行う業務内容の両方に由来するところだと思いますが、意思決定や業務の進め方が非常に素早い。それから、コミュニケーションが非常に密で柔軟です。決められたことを決められたとおりにやることが多かった業務から、少ない人数でフレキシブルに進めていく業務に変化し、違いを感じました」

　「日本の制度も含めて、セキュリティに根幹の部分からかかわる組織なので非常にやりがいがあります。また調整機関であることから、業務で多くの方にお会いしてお話をすることができ、非常に刺激になります。いい環境だと思います」

　そして入社から1年後2006年7月、椎木氏は4番目の転機を迎えた。冒頭で触れたように、マルウェア分析業務のためCERT/CCに長期出張をしたのだ。

　「マルウェアが高機能化するにつれ、中身を分析して特徴や機能を詳しく知ることの重要度が増してきました。分析に関して高度なスキルを持っているCERT/CCから学び、国内の分析スキルを高めていくというミッションがあり、短期の出張では難しいということで、長期出張の対応者が求められていたのです。そこに立候補しました」

　椎木氏はCERT/CCで実際の業務に携わり、分析手法やツールについて学んだ。隔離された環境でマルウェアを動作させ、挙動を分析したり、コードを読んだりということも行う。「分析に関する情報は、まとまって公開されているような情報ではなく、内部にたまっていく情報。それを実際に担当者からいろいろ教えてもらいながら、一緒にやっていく経験は非常に充実していたし、楽しかった」という。

　いまの一番のやりがいを聞いた。「技術的な能力を発揮することができ、さらにチャレンジできること、国際的な活躍ができること、重要な立場でセキュリティにかかわれること」とのことだ。転職の目標はすべて達成できたといえるだろう。

　「分析業務は、情報に信頼性を与えるために必要なものだと思います。JPCERT/CC が、より積極的に信頼性の高い調整業務や情報発信を行うためにも、分析業務は重要と考えています。当面は、海外との連携や国内に分析コミュニティをつくるといった活動を含め、現在の分析業務を中心にやっていきたいですね。そして業務を進めていく中で、また新しいもの、興味が持てるものを見つけ、対応していくことになるのではと思っています」

　椎木氏はIT業界について、「変化の激しい世界なので、1つのものだけにこだわっていると長くはやっていけない。基本的に何にでも興味を持てることが大事なのでは」という。自分自身も、セキュリティのほかに興味を引くものが見つかれば「ほかのことをやるのかもしれない」と語る。

　しかし、新しい知識を体系立てて学ぶことを好む椎木氏は、「幅も広く奥も深い」セキュリティというフィールドに出合い、その魅力から離れられないようだ。「まだまだセキュリティの中で新しいもの、やらなければいけないところがたくさんあります。当面はセキュリティにかかわっていくと思います」とのことだ。