エンジニアトーーク! ~イチ商社がセキュリティに強くなった舞台裏~前編

%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%88%E3%83%BC%E3%82%AF13%E5%A7%8B.jpg%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%88%E3%83%BC%E3%82%AF12.jpg%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%88%E3%83%BC%E3%82%AF13.jpg

■どうやって情報収集やスキルアップを行っている?
情報収集やスキルアップの方法については、すぐにでも実践できるものとしてSNSの活用があげられました。「基本的にはTwitterなどのSNSを巡回しているメンバーが多いが、それぞれ追いかけているテーマのトップリサーチャーに対して直接DMを送り、反応が得られれば自分の知見も共有しながら相手から情報をギブしてもらうようなことをしています。また攻撃メールに対して騙されたふりをして攻撃者と文通してみるということもやっています」(勅使河原)
%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%88%E3%83%BC%E3%82%AF14.jpg

また、Dark Webの攻撃者フォーラムでコミュニケーションを行うという少し高度な収集方法の回答もありました。「例えばフィッシングとかWebスキミングなどに関しては、実際に窃取されたデータがどんな経路で流れているのかを調査したり、Dark Webのフォーラムで情報を販売している人が集まってくるため、実際に購入したいというアピールをしながらどのくらいの価格でどの程度のボリュームが流れているのかを調査したりしています」 (掛谷)

一方で、セキュリティに特化していない一般企業で効率よく情報収集するための方法について「企業側でも必ずインシデントは発生しているはずで、ニュースにて情報収集することはもちろん、自社で設置しているセンサーを増やして情報収集すべき」(柳下)

「我々もそうですが、海外展開している企業であれば大なり小なりもれなくインシデント発生しています。それを集めていくだけでも、セキュリティトレンドは拾えるはず」(政本)
と自社で情報を得ていくことが大事であると力説する場面もありました。

■セキュリティにはまったきっかけは何?セキュリティをやる前は何をやっていた?
セキュリティをやる前について、学生時代は芸術専攻であったという回答や、新卒入社先は総合商社で営業やマーケティングをやっていたなどという全く異なる領域で活躍していた人がいる中、セキュリティにはまったきっかけについても、20年以上前にアングラな本に出てくる衛星ハッキングの話から興味を持ったという回答など、面白い意見が飛び交います。

一方で、セキュリティ領域であれば食いっぱぐれがなさそう(笑)という回答も。「新卒で入社した会社で従事した業務はやりがいはありましたが、将来を考えたときに給料が増えていくのか疑問に感じて転職を決意しました。世の中的にセキュリティインシデントが大きな話題なっていた時期で、攻撃者との攻防は人間がいる限り続いていくはず、という考えでセキュリティ業界に飛び込びみました」(瀬治山)

「それぞれバックボーンは異なる中、セキュリティ業界にずっと携わっていない人でもセキュリティエンジニアとして活躍できるということですね」(凌)

■セキュリティエンジニアとして認められるまでの間どういう努力をしていた?どうやってモチベーションを維持している?
セキュリティエンジニアとしての努力やモチベーション維持に方法については、『焦燥感や劣等感。やるべきことというのは自分にできることを地道にやる』という回答が、模範解答のようだと話題に。「セキュリティ業界はそれぞれ得意分野を持った人が数多く活躍しており、比べてしまうと自分は無力であることを感じることが多い。ただ、無力だということを自覚したうえで、その人たちに少しでも近づけるように努力することが自分を動かすための源泉」(瀬治山)

一方で、認められるプロセスよりも、これからも含めてどうやってモチベーションを維持するのかが大変で、その点はどんな覚悟を持っているのかという点に関し政本は、「私自身は興味と劣等感が半々ぐらいで、社内はもちろん、社外のコミュニティの人たちを見ると到底この人たちにはかなわないなっていう人ばかり。逆に言えば、劣等感があるからこそ、その人とは違うことで何とか差別化しようみたいなのがある」と言及しました。

一方で日々周りから刺激を得るというよりは、自身で刺激的な場に赴いてモチベーションを高めるという回答も。「私は形から入るタイプで、日々努力するのがちょっと苦手。私の場合は、DEFCONという最先端の情報が交わされる海外カンファレンスに毎年参加していますが、それにより自分を定期的にリセットしながらセキュリティの仕事をしています」(笠井)

■社内でセキュリティ人材を見つける、もしくは若手にセキュリティへの興味を持ってもらうために意識してやっていることは?
世の中ではセキュリティ人材の不足が叫ばれている中、個々が社内でセキュリティ人材を見つけるために意識していることについて、現場での闘いや新たに得られた情報を若手に意識的に共有することを大切にしているという回答が目立ちました。

「結局セキュリティは攻撃者である敵がいてこそ必要性があるもの。実際に現場で行っている生々しい被害を語ってこそ、そこにニーズがあると感じてもらえる」(政本)

「ハッキングで侵入できてはいけないところに入れてしまう、動かせないはずのシステムが動かせる、それが密かに分かってしまったといった情報を共有することで、若手の好奇心を刺激しています。実際に支援している客先でこんなことが発生しているという情報や、水面下ではこんな攻防があるという情報をアングラ感を出しつつ、戦いを意識しながら共有すること」(柳下)

瀬治山も「私自身マクニカグループのセキュリティ担当者としてインシデント対応を行っていますが、ちょっと面白いインシデントなどがあればこっそり若手に共有し、その食いつき度合いを見てセキュリティに対する素養があるかを判断することも」と語ります。
%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%88%E3%83%BC%E3%82%AF14.jpg
%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%88%E3%83%BC%E3%82%AF1%E7%B5%82.jpg

トップに戻る

関連記事

前へ

取り戻した社内コミュニケーション

次へ

エンジニアトーーク! ~イチ商社がセキュリティに強くなった舞台裏~後編
Page Top