ネットワークセキュリティの世界では、現在侵入検知システム（IDS）が脚光を浴びている。セキュリティ対策は大まかに「抑止」「予防」「防御」「検知」「回復」にカテゴライズされ、これまで日本では抑止、予防、防御に力が注がれていた。

　しかし、セキュリティの世界に100％はあり得ない。リスクマネジメントの観点からは、100％の安全性を求めるよりも、トラブルが発生する可能性をいち早く検知し、発生した場合に有効な対処法を施すことで回復させることに重点が移行しつつある。

　そのような状況の中で、侵入検知を専門とするエンジニアにもスポットライトが当たっている。IDSやファイアウォールによって通過するパケットやサーバなどのログを分析し、何が発生しているのか、また不正アクセスかどうかを判断（場合により対処）するスペシャリストである。この比較的新しいジャンルを目指すには、どのようなスキル、知識、資質が求められるのであろうか？

　そこで、日本におけるセキュリティ監視の第一人者であるラックの取締役本部長 西本逸郎氏に、そうした点を伺った。

――セキュリティ・アナリストには、どのようなスキルが求められているのでしょうか。

西本逸郎（にしもといつろう）　ラック セキュアネットサービス（SNS）事業本部 取締役本部長。日本ネットワークセキュリティ協会 理事。一貫して通信系ソフトウェアやミドルウェアの開発に従事。その後、オープン POS（Windows POS）の開発などを担当。現在、堅牢なシステムをいかに作り、維持していくかをテーマにセキュリティ対策にまい進中という

西本氏　侵入検知のスペシャリストだけではなく、セキュリティにかかわるエンジニア全般に求められるスキルは、「脅威を洗い出せる能力」です。

　わかりやすくいえば、想像力や仮説立案力です。ネットワークを構築し、正常なパケットだけが通ればいいようにするのであれば、極端な話ですが中学生でも覚えればできてしまう。問題は不正なパケットが通過しようとしたときに、どう対応するかですね。プロのエンジニアであればさまざまなシーンを想定して、よりセキュアに構築できなければなりません。

　最近のエンジニアは仕事が忙しすぎるのか、失敗体験を重ねる余裕がない。失敗しそうになると「こうすればうまくいく」と先輩エンジニアが教えてくれたり、あるいは成功する方法が最初から情報として示されていたりする。納期に間に合わせるのに手いっぱいな状態では、それに頼ってしまいますね。その結果、想像力が鈍ってしまうのです。「失敗する→なぜできないか→原因を探る→さまざまな仮説を立てて検証する」という流れを体験することが難しく、仮説立案力も身に付かない。

　多忙なエンジニアにとって、こういった体験を積み重ねるのは時間的に困難かもしれませんが、仮説立案力がなければコンサルティングもできません。コンサルティングのできないエンジニアは、いつまでも「便利屋」です。将来を見据えれば、想像力、仮説立案力を身に付けることは重要です。

――多くのエンジニアには耳の痛い話かもしれません。それでは、仮説立案力を身に付けるには、どうしたらよいのでしょうか。

西本氏　セキュリティに関するエンジニア、特にセキュリティ・アナリストの場合には、通常のエンジニアとは考え方を180度変える必要があります。通常のエンジニアは、より優れたシステムを構築しようと知恵を絞ります。

　ところがセキュリティ・アナリストは、「どうすれば悪いことができるか」を考えるのです。一般的には、セキュリティに関するエンジニアは防御方法を勉強すると考えられがちですが、防御ではなく攻撃方法を考えるのです。あるシステムがあれば、その開発者も運用者も、導入するクライアントも、だれもが思いつかないような攻撃方法を考え出す……。

　この発想の転換が大切です。それによって、だれも気が付かなかったリスクを早期に洗い出すことができ、仮説を立案できるコンサルティングが可能になります。

　当社では新人エンジニアに、まずは不正アクセス技術を徹底的に教えて勉強させます。攻撃手法を掘り下げてから、どうやったらセキュアに構築したり侵入検知ができるかを学ばせるのです。

――セキュリティ・アナリストの大前提には仮説立案力があるのですね。それ以外のスキルでは、どのようなものが大切ですか？

セキュリティ・アナリストは、注意力と洞察力が大切だという西本氏

西本氏　注意力と洞察力ですね。トップアナリストなら見つけ出せる不正パケットでも、経験の少ないエンジニアでは見逃してしまう場合がよくあります。セキュリティ・アナリストはログを参照しながら、ネットワークがどういった脅威にさらされているのかを判断できなければなりません。TCP/IPやネットワークの知識、サーバやOSのどのバージョンにはどんな脆弱性があり、実装方法のクセは何かなどの知識は大前提で、徹底的に深い知識が必要です。

　さらに攻撃手法にも長けていなくては、IDSが検知するイベントが上がってきても、どれがどういった攻撃なのか判断できません。攻撃を仕掛けてくるクラッカーは目的もあって、しかも場合によっては高い技術力を持っています。それに対抗するには日々勉強しなくてはなりません。

　また、IDSはエンジニア自身で自分なりの検知パターン（シグネチャ）を作っていきます。発見された脆弱性を調査し、どういった攻撃があり得るのかを想像し、どういった攻撃が多いのかを調査し、それに応じてパターンを作成したり変更したりします。さらに、顧客の同意を得て顧客のサイトに擬似攻撃を仕掛けて、突破できるセキュリティホールを指摘し、クライアントに提案して改善していくといった作業も必要になるのです。

――西本さんご自身は、具体的にどのような方法で勉強をしてきたのですか？

西本氏　私のスタイルは我流ですから参考になるかどうか（笑）。私は、3カ月間は頑張る、3カ月間はサボるというパターンを繰り返してきました。ちょっと口はばったいいい方になってしまいますが、ここでいう「サボる」とは、仕事だけに追われ勉強をサボる、「頑張る」とは、仕事はきついけど、集中して技術解説書などを読みあさり、勉強を頑張るという意味です。3カ月間も仕事に追われていると仕事に飽きてきて、飢えてきて、何か新しいこと、何か刺激が欲しくなるでしょう？

　そこで一気に書籍や雑誌を飲み込む（読み込む）のです。そして、読み終えた後はそれを熟成させて、いろいろな人に読んだ内容を話す。この、人に話すという行為が大切だと思います。これで、話し相手から思いもかけない切り返しがあったり質問されたりします。そこでまた調べ直したり、検証・実証することで、ようやく自分のモノになっていくのだと思います。後輩からの質問などにも、できる限り詳しく調べて答えてあげるのは、知識を身に付ける早道だと思いますね。

――御社では、どのように手法でセキュリティ・アナリストを育てているのですか？

西本氏　当社の新人は、大前提の基礎知識として、UNIX、Windows、インターネット、TCP/IPの基礎を学ばせます。これらの知識については深ければ深いほどいいですね。その後、不正アクセス技術（いわゆる攻撃手法）を簡単に教えて、その後に「セキュアにネットワークやサーバを構築する方法」、その後、インターネット セキュリティ システムズ（ISS）の「Internet Scanner」を中心に使用して、ネットワークやサーバのセキュリティ診断を実施する「セキュリティ検査」の手法、そして「RealSecure」を中心に使用して「セキュリティ監視」を学びます。そこまで学習した後に、セキュリティ構築、検査の実務経験を経て、先ほど述べたセキュリティ・アナリストやテクニカル・コンサルタント、マネジメント・コンサルタントに進むことができるようになっています。「監視」の手法を学ぶ段階では、さらに、不正アクセス技術、攻撃手法を詳細に学び、その攻撃を想定しながらどう監視すべきかを学習していくのです。

ラックにおける新人エンジニアの研修の流れ

――お話を伺っていると、スキルといった観点ではネットワーク、インターネット、OSなど幅広く深い知識が求められ、そのうえで不正アクセス技術を学ぶという発想の転換が必要となるのですね。それらのスキルや知識だけではなく、「こういったエンジニアはセキュリティ・アナリストに向いている」というような資質はあるのでしょうか。

エンジニアとしての正義感を持っていることが、セキュリティ分野のエンジニアに必要なことだという

西本氏　エンジニアとしての「正義感」を持っている人です。ネットワークを構築していれば、どこにセキュリティホールがあるのか、脆弱性がどこにあるのか分かってくると思います。そのときに、リスクがあると知りながらもクライアントからの指摘がないという理由で納入してしまう……。そんなことがあってはいけないのです。「こんなものを作ってはいけない！」という強い意識が必要ですね。ある意味では自分との闘いを強いられこともあります。

　セキュリティ・アナリストになるには、攻撃手法や攻撃プログラムの作成といった不正アクセス技術、攻撃手法を学べといいましたが、いい換えれば強力な攻撃を仕掛けられるエンジニアほど強固なセキュリティを構築できるともいえます。不正アクセス技術とセキュリティ技術は表裏一体で、そこにエンジニアとしての思想が乗っているのです。思想のない技術は寂しく、危険なものです。セキュリティ技術は、もろ刃の剣で、武器にもなる。そのことをしっかりと認識することが大切です。

――最後にセキュリティ関連のエンジニアを目指す方々にアドバイスをお願いします。

西本氏　セキュリティ技術といっても幅広い。自分の興味がどこにあるのかを明確にしてください。それによって、セキュリティ・アナリストやテクニカル・コンサルタント、あるいはセキュリティポリシーなどを専門とするマネジメント・コンサルタントに進むのかの道が開けてきます。

　資格については、ベンダ系ではシスコやマイクロソフトのMCPなどはセキュリティエンジニアの世界では常識でしょう。そのほかにも情報処理技術者試験の情報セキュリティアドミニストレータなどの資格取得に向けて勉強するのは有効だと思います。ISO 15408、ISMS、BS7799などは、詳細は別として概要はきちんと押さえておくべきですね。

■西本氏のお薦めのセキュリティ関連書籍

　セキュリティエンジニアを目指すうえで、読んでおいてほしい書籍を紹介してほしいとお願いしたところ、次の5冊を推薦してくれた。これからセキュリティ分野の勉強をするうえで、ぜひ参考にしてもらいたい。

開発者がやってはいけないことが分かる
開発者側がしてはいけないことがよく分かる。セキュアなプログラム、アプリケーションの設計、コーディングテクニックなど、セキュリティに関連したすべての技術についても網羅している。
	プログラマのためのセキュリティ対策テクニック（マイクロソフト公式解説書） Michael Howard、David LeBlanc著、ドキュメントシステム訳 日経BPソフトプレス社、2002年6月 ISBN4-89100-291-3 4800円

不正アクセスに対する実践的な防衛手段が分かる
ネットワーク管理者のための解説書。不正アクセス手法が整理され、実践的な防衛手段が理解できる。副題のとおり、不正アクセスに対する防衛手法が丁寧に解説されているのが特徴。
	クラッキング防衛大全 第3版−ネットワーク攻撃の手口とセキュリティ対策 Stuart McClure、Joel Scambray、George Kurtz著、宇野みれ訳、宇野俊夫監修 翔泳社 2002年7月 ISBN4-79810-281-4 4200円

不正アクセスの手法と防御の基本が理解できる
不正アクセスの手法とその防御法について書かれている。海外の書籍を翻訳したものではなく、日本人により書かれている点で興味深い。ある程度のネットワーク知識があれば読みこなせる。
	インターネットセキュリティ不正アクセスの手法と防御 白井雄一郎ほか著、三輪信雄監修 ソフトバンクパブリッシング 2001年7月 ISBN4-7973-1391-9 3500円

現役エンジニアの体験に基づいた1冊
システムの開発をするうえで知っておくべきネットワークセキュリティの基礎を、現役エンジニアの立場から書かれた貴重な1冊。
	ネットワークセキュリティとシステム開発 ラックSNSチーム著、三輪信雄監修 ソフト・リサーチ・センター 2002年1月 ISBN4-88373-159-6 2700円

ネットワーク管理の全般が分かりやすく把握できる
ネットワーク管理の全般的な内容を網羅している。「セキュリティポリシー」という言葉をキーワードに、策定過程や、筆者がセキュリティポリシーを策定する過程で収集した情報を整理し、具体的に解説している。
	図解そこが知りたい ネットワーク危機管理入門 上原孝之著 翔泳社 2000年7月 ISBN4-88135-914-2 1800円

＠自分戦略研究所のセキュリティ関連記事一覧

セキュリティエンジニアになるための条件（前編） セキュリティエンジニアになるための条件（後編） セキュリティ技術の学び方 不正侵入検知のスペシャリストになるには 情報セキュリティ・コンサルタントになるには ファイアウォール・スペシャリストになるには こんなセキュリティエンジニアが欲しい ソリューションを提供できるセキュリティエンジニア 2、3年後の自分を常にイメージせよ！ シスコの新しいセキュリティ資格、CCSPとは何か？