変化を続ける
ネット社会に不可欠な、
セキュリティ技術の
最先端を
追い続ける仕事。
Webアプリケーションセキュリティの最前線に携わるK.W。不正アクセスを行うハッカーとの戦いを勝ち抜く秘訣は、仕事を楽しむことと、尖った技術を持つ先輩たちを追いかける熱意だと語ります。
PROFILE
セキュリティ事業本部(2016年入社)
K•W
大学4年の秋、セキュリティ最前線に遭遇
セキュリティ技術に興味を持ったのは大学4年生の秋。突然のことでした。当時、組み込み系の開発技術を専攻し、ロボットアームの制御に興じていた私を、院生の先輩がある競技に誘ってくれたことがきっかけです。その競技は、米国発のSANSというセキュリティ系の団体が開催する「NetWars Tournament」というCTF (Capture The Flag、セキュリティ技術を競うゲーム)。100人近くもの学生が秋葉原のビルに集まり、標的となるサーバーにアクセスして擬似攻撃によってアクセスできる範囲を広げ、ポイントを獲得していく大会でした。世の中のWebサイトを守るセキュリティ技術を磨くことを目的とした大会ですが、競うこと自体が面白く、こんな世界があったのかと衝撃を受け、すぐにセキュリティを得意とする企業への就職に進路を切り替えたのです。
世の中のWebアプリをセキュアに
現在は 、Webアプリケーションに、脆弱性が潜在していないか確認する「セキュリティ診断業務」のチームリーダーを任されています。プロキシツールを駆使してサーバーへ疑似攻撃リクエストを送信し、そのレスポンスをチェックしてレポートを作成するのが、主な業務内容になります。それと並行して担っているのが、IASTと呼ばれる比較的新しい手法を用いたセキュリティ検査ツールの導入支援やPoC提案です。入社して5年ほどWebアプリケーションセキュリティに関わる業務に就いており、セキュリティ技術の重要な部分を担っているという自負は日増しに高まっています。
好きで取り組んでいる仕事で社会に貢献
世界中で次々と新たな脅威が生まれるため、セキュリティに関する最新情報をキャッチしながら自らの技術を常にアップデートさせなければなりません。私は国際的なセキュリティ団体として知られるOWASPのイベントや社内外の勉強会などから情報を得つつ、セキュリティ領域の有識者のブログにも可能な限り目を通すようにしています。それらがまったく苦にならないのは、Webアプリケーションの脆弱性を見つけ出して報告する今の業務が心底楽しめているから。重大なインシデントにつながる脆弱性を報告できた時は、お客さまから驚きと信頼をもって直接感謝の言葉をいただきます。その一方で、仕事における良い意味での緊張感を持てています。世に公開されている数多のWebアプリケーションを支えていかなければならないという自負というか使命感は強いです。
世界トップランカーの先輩に追いつけ!
同じ事業部の先輩たちは、この分野の第一人者ばかり。中には、ハッキング技術を磨くサイトの一つとして知られる「TryHackMe」において、日本ランキングのナンバーワンに君臨している先輩もいます。先輩たちに共通するのは、OSやミドルウエアなどに関する豊富な知識や、ビジネスロジックを紐解く技術も相当なレベルであることです。より多くの脆弱性を見つけるためには、アプリケーションレイヤーに限らず、これらビジネスロジックを紐解く技術を学ばなければならないのです。また、Webアプリケーションセキュリティには、安全性の向上のため多くの対策を施すほど、ユーザビリティの低下を招きかねないという難しさもあります。私も技術を磨きつつ、近い将来、「Webアプリケーションのセキュリティは、Kに聞けば間違いない」と言われるようになりたいと考えています。
好奇心の赴くままに手を挙げた新技術への取り組み
IAST関連の業務を手掛けることになったのは、「誰か、セキュリティを自動で検査する基盤を構築してみないか?」という話が事業部内で出たからです。私は自分の技術を伸ばす良いきっかけだと思い、迷いなく手を挙げました。Webアプリケーション脆弱性の診断案件をいくつもこなし、未知の技術にチャレンジしたいという想いが高まっていた時期でしたし、単純に面白そうだとも感じていました。私の好奇心のアンテナが敏感に反応したといえるでしょう。
このケースのように、NTTデータ先端技術には、どんどん新たな取り組みに参加できる機会が溢れています。自らアクションを起こすタイプの人には、チャンスが多い環境だと感じてもらえるのではないでしょうか。
MY INTEREST INTELLISM
私の挑む姿勢
常に新たな攻撃手法と
セキュリティ対策を探究し、
最先端の技術を
身に付けていく。
ITの世界では絶え間なく新しい技術やサービス、プロダクトが公開されます。一方で、ネット上では次々と新たな脆弱性や攻撃手法も公開されています。この目まぐるしく変化を続けるネット社会において、K.Wが所属するサイバーセキュリティ事業本部のメンバーは、最新のセキュリティ技術を常に追い続けています。そのスピードとクオリティを維持するために、事業部内では有志が集まる勉強会が頻繁に開かれます。最新の情報と知識を共有することで相乗効果が生まれ、組織全体の実力が高まるのです。そうして技術を磨き、実力が認められれば、若手のうちから重要な職務を任されます。「この仕事には世の攻撃者と紙一重の楽しさもある」と語るK.Wですが、楽しみながらも貪欲に知識欲を満たす努力が業界有数の技術と影響力の大きいポジションをもたらしていることに、間違いはないでしょう。
※文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。
