- 2021年8月23日
- 社員インタビュー
「危険を見つけること」だけが仕事じゃない──情報セキュリティ事業部リーダー・金澤に聞く、脆弱性診断という仕事の魅力
こんにちは!広報チームです!
レオンテクノロジーの個性豊かなメンバーを紹介する本企画。今回インタビューにこたえてくれたのは、現在情報セキュリティ事業部でチームリーダーを務める金澤公彦です。Webアプリケーションの受託開発を行う企業を経て、2018年6月に入社した金澤は、なぜレオンテクノロジーを選び、現在の仕事にどのような魅力を感じているのでしょうか。
金澤がこれまでの仕事の中で感じたやりがいを聞くことを通して、脆弱性診断という仕事の魅力をお伝えします。
脆弱性の危険度と対策方法までを伝えることで、初めて仕事は完了する
──金澤さんはウェブアプリケーション診断チームのリーダーを務めていますが、具体的にはどのようなことをしているのでしょうか?
金澤:メンバーに「今日はこのアプリケーションの脆弱性を診断してね」と割り振ったり、診断結果をレビューして内容を精査したりするのが現在の仕事ですね。
──これまでさまざまなアプリケーションの脆弱性診断を手掛けてきたと思うのですが、印象に残っている案件などはありますか?
金澤:あるクライアントを担当する中で、OSコマンドインジェクションの脆弱性が見つかったときのことは印象に残っていますね。
OSコマンドインジェクションは、ちょっと語弊があるかもしれませんが簡単に言うと、外部からなんでもできてしまう攻撃なんです。たとえば、バックドアを仕込んだりサーバー内部のデータを窃取できる可能性があります。そのため、クライアントに対して即座にWebサイトを停止するように依頼したことがありましたね。
──かなり大きな事故につながる可能性があったわけですね。そのような脆弱性はなぜ生じてしまうのでしょう。
金澤:原因は大きく二つあります。
一つ目は、単純な人為的ミスにより、脆弱性があるシステムをつくってしまうパターンです。担当者がセキュリティに対する知見を持っていなかったり、しっかり意識していなかったりすることによって生じます。
二つ目に、システムの古さが原因となっているパターンです。プログラムには多くの場合でバグが存在し、見つかり次第修正されていきます。しかし、そのプログラムの利用者が修正を適用していなければバグは残り続けることになります。つまり、適切にプログラムのアップデートが行われていない場合、攻撃経路が残り続けることになります。
さらに言えば、最近使用されているようなプログラミング言語やフレームワークであれば、あまり意識せずともセキュリティ対策が講じられるようになっていることもあります。しかし、そうでない場合はきちんと意識していないと十分なセキュリティは構築できないため、攻撃経路が生まれやすくなってしまいます。
──人為的ミスを防ぐことは難しいのでしょうか?
金澤:もちろん、多くの企業やエンジニアたちは細心の注意を払っているとは思いますが、ミスをゼロにすることは難しいと思います。どれだけ知識があったとしても、どれだけ最新の言語やフレームワークを使用していたとしても、完璧にミスを防ぎ、脆弱性を排除することは難しいでしょう。人が関わるものなので、原理的に人為的ミスを完璧に無くすことはできないと思います。
──だからこそ、金澤さんたちがやっているような業務が必要とされるわけですね。やはり、システムの脆弱性を発見し、事故を未然に防ぐことにやりがいを感じているのでしょうか?
金澤:そうですね。先程お話したような大きな事故につながる脆弱性を発見したときはもちろんですが、技術的に面白いというか、さまざまな工夫をこらして脆弱性を見つけたときは、この仕事の面白さややりがいを感じますね。難解なパズルを解いた時のような快感があるというか。
また、お客様に直接報告をして、その成果を喜んでもらったときにもやりがいを感じます。私たちの仕事は「脆弱性を見つけて終わり」ではなく、それをお客様に報告し、対策をしてもらわなければなりません。対策をしてもらうためには、その脆弱性がどれほど危ないものなのかをしっかりと説明する必要がある。危険度を分かってもらい、いかに対策をすべきなのかを丁寧に説明することも、私たちの重要な仕事の一つ。
だからこそ、報告をして「危ないところだった。見つけてくれてありがとう」と言っていただけることや「何をすればいいのかとても分かりやすくまとめてくれて助かった」と言われるとやるべきことができたなと、大きなやりがいを感じますね。
つくる側から守る側へ
──入社のきっかけは「ハッカー的なもの」への憧れ
──そもそも、金澤さんはなぜLEONに入社したのでしょう?入社の経緯とその理由を教えてください。
金澤:僕がLEONに入社したのは、2018年の6月です。LEONに来る前は、Webアプリケーションの開発を行っていました。お客様先に常駐し、業務アプリケーションを開発することが主な仕事で、その仕事は3年2ヶ月ほど続けていましたね。
大学の先輩だった小俣(執行役員 営業本部長・小俣圭司)から「一緒に働かないか」と声をかけてもらったんです。そのタイミングで、転職を考え始めました。
それまではWebアプリケーションをつくる側だったわけですが、それを攻撃から守るってどういうことなのだろうという興味もありました。それに、パソコンやインターネットに興味を持った子どもってハッカーに憧れるじゃないですか(笑)。なんとなくかっこいいなって。もちろん我々は攻撃する側ではないのですが、攻撃への対策を講じるためには、攻撃方法を知らなければなりませんし、そんなハッカー的なものに対する憧れもあり、面白そうだなと思って入社を決めました。
──入社して、どのようなところにLEONの魅力を感じましたか?
金澤:メンバーの技術力向上のために、どんどん投資をしてくれるところですね。たとえば、新しい診断ツールを使ってみたいなと思って、それを上層部に伝えると必ず買ってくれるんですよね。もちろん、それが数百万円するものであれば話は違うのかもしれませんが、数万円単位であれば「NO」と言われることは無いと思います。
私はWebアプリケーションの診断を担当しているので、ガジェットのようなものを買ってもらったことはないのですが、同僚を見ていると、さまざまな機器を買ってもらっている人もいますね。以前IoT製品の脆弱性診断への参入を検討していた際、その担当者は検証を進めるためにさまざまなIoT製品を購入してもらったみたいですよ。エンジニアとしてはかなりやりやすい環境が整っているなと思います。
教育制度を充実させ、組織の底上げを図る
──今後はどのようなことにチャレンジしていきたいと考えていますか?
金澤:自分自身の技術力を向上させていくことと、社内の教育制度の充実にチャレンジしていきたいと思っています。現在のLEONは主体的に学ぼうとする人にとっては理想的な環境だと思うんです。先程も言ったように、必要なものがあれば、会社が用意してくれますし。
ですが、会社を拡大していくにあたって、個人の主体性に頼ってばかりではいけないと思うんです。もちろん、主体性を持った人に仲間になってほしいですが、「これが欲しい!」「これを学びたい!」と声をあげられる人ばかりではないと思いますし、どのような人が入社してきても、短期間で成果を挙げられる環境を実現したい。それに、主体性を持った人にとっても、密度の濃い教育制度があった方が学びやすいと思いますしね。
──個人のパーソナリティやスキルの習熟度に即した教育ができるというメリットもあるように感じますが。
金澤:そうですね。確かに、チームという単位が無かった時期はエンジニア組織を束ねる江ノ本(執行役員 技術統括本部長・江ノ本司)や私が、教育方針をその都度判断しており、個人のスキルの習熟度に即した教育をしていました。もちろん、そういったやり方でも一定の教育水準を担保することはできていたのですが、やはり軸というか、基盤となるものは必要だと感じるようになったんです。
もちろん、どこまでいっても全員の判断や能力が一緒になることはないと思いますが、教育制度の充実によって、全員が一定の能力に到達することは可能でしょうし、判断のズレも極力減らすことができると思っています。組織の力を底上げするために、今後は教育制度の充実に力を注いでいきたいです。
──ありがとうございました。
(2021年7月取材)
以上、レオンテクノロジーでシニアセキュリティエンジニアとして働く金澤に話してもらいました。