先進技術の診断サービスを他社に先駆けて開発

田中は大学生時代にセキュリティを専攻し、セキュリティ診断の仕事に就きたいとNRIセキュアテクノロジーズ(以下、NRIセキュア)に入社しました。入社後、希望通りにセキュリティ診断を行う部署に配属されます。セキュリティ診断とは、企業の情報システムやネットワークなどに疑似的なサイバー攻撃を行うことでセキュリティ上の問題や脆弱なところがないか、専門家が細かくチェックする業務です。

田中 「診断を通して、ソフトウェアに潜む脆弱性を見つけるという仕事が好きですね。サイバーセキュリティが対象とする領域は多岐にわたります。たとえばWebアプリケーションやクラウド、ID管理・認証、IoTなどさまざまで、NRIセキュアにはさまざまな分野におけるセキュリティ診断の専門家がいます。私の専門分野は、ブロックチェーンとコンテナのセキュリティ診断です。どちらも比較的新しい技術領域で、アップデートも早いため日々動向をチェックしています。

新しい技術領域では、セキュリティ面の対策観点などがまだ十分に整備されておらず、開発時に脆弱性を作りこんでしまうこともあると思います。それに気づかずリリースしてしまうと、悪意のある第三者にとって、サイバー攻撃の対象となってしまいます。そこで、ブロックチェーン(※1)やコンテナオーケストレーション(※2)の研究を積み重ね、先進技術に特化したセキュリティ診断のサービス開発に携わりました」

※1 ブロックチェーン:「信頼できる第三者」を介在させずに、参加者相互による分散型の合意形成を実現し、すべての取引の監査証跡管理を可能にする技術(詳細はこちら

※2 コンテナオーケストレーション:OS上に構築されたアプリケーション実行環境であるコンテナを管理する技術(詳細はこちら

田中が新たなサービスとして企画した、コンテナオーケストレーションのセキュリティ診断サービスは、2019年11月に発表されました。世の中では、コンテナオーケストレーションが脚光を浴びはじめていた時期と重なります。最新技術の内容をしっかりと理解していないと、それらの安全性を確かめることもできません。NRIセキュアは、他のセキュリティベンダーよりも先駆けてサービスを提供開始したことで、大きな反響を呼びました。 

ネットに溢れる玉石混交の情報を分析し、真に重要で役立つ情報を伝える

セキュリティ診断の業務を担当して4年が経った2021年4月、田中にあらたな担当業務「セキュアコンシェルジュ」が加わります。「セキュアコンシェルジュ」とは、数ある脆弱性情報(※3)や脅威動向(※4)から顧客企業に関係する重要度の高い情報をお知らせするサービスです。田中のようなセキュリティの専門家が収集・分析したセキュリティ情報を、わかりやすい解説と影響範囲やセキュリティ対策に関するアドバイスをスピーディにお知らせします。

※3 脆弱性情報:サーバやアプリケーションなどにおけるセキュリティ上の不具合に関する情報。脆弱性を悪用したサイバー攻撃がしばしば行われるため、脆弱性が発見されると、修正用パッチが製造元より公開され、製品を利用する企業は修正対応を行うことが推奨される

※4 脅威動向:世の中で発生している攻撃トレンドなどに関する情報

田中 「お客様が使われている製品に関する脆弱性が公開されていないかどうかを、ニュース、製品情報、SNSなどから情報収集して確認します。該当する情報を発見した場合はその内容を吟味し、すぐに修正対応したほうが良ければ、お客様にアラートを発します。NRIセキュアのアドバイスは実践的でお客様の個々の状況に応じているので、すぐに行動に移せると喜ばれることが多いです」

毎日大量の情報がインターネットに公開されている中で、正しい情報を選び、優先度や緊急度を判別することは容易なことではありません。そんなとき、活躍するのが田中のようなセキュリティの専門家なのです。

 田中 「コンシェルジュサービスは、世の中に散らばっている玉石混交の情報を、次のアクションにつながる有益な情報にしてお客様に提供することをミッションとして掲げています。世界中のサイバーセキュリティの脅威に関する情報から、攻撃手法の流行や、使用技術、業界別の動向等を分析し、お客様に報告しています。お客様に自社の業界の傾向を理解してもらった上で、実際にどんな対策が効果的なのかを検討していただきます」

情報を見る目を養いつつ、組織横断の協力体制を強く意識するように

田中はコンシェルジュサービスを担当するようになってから、業務を進める上で2つの変化を感じているといいます。

田中 「1つは、情報の集め方や見る観点を意識し、情報のソース、信ぴょう性の判断などを真剣に考えるようになりました。2つ目は、業務を通して、社内の組織を横断した連携や協力体制を強く感じるようになったことです。

収集した中で重要な情報はお客様に報告するだけでなく、社内チャットにも投稿し、社員全員が知ることができます。すると、セキュリティの運用を担っている部署の社員は「〇〇の攻撃が来そうだから、防御用のシグネチャを作ろう」などの対策を準備したり、NRIセキュアが開発したソフトウェア製品に関係しそうな脆弱性情報が出たときには、担当部署の開発者がいち早くパッチを作成し対応したりすることがスムーズにできていると感じています」

2021年末に世の中でも話題となった「Apache Log4j」(※5)の脆弱性情報が出た時も、田中をはじめとしたコンシェルジュサービスのメンバーを中心に、社内一丸となって対応にあたりました。

発覚した翌日には、田中のチームが詳細情報を整理して資料にまとめ、全社に展開。資料を受け取った社員それぞれが自分の担当顧客に緊急対応の必要性を迅速に通知することができました。お客様から「NRIセキュアの資料が詳細かつスピーディでとても助かった」と、多くの高評価を得ました。

田中 「セキュリティの話はテクニカルな内容で難解だと思います。したがって、いかにわかりやすく説明し、アウトプットとしてまとめるかが大事であり、常に意識しているポイントです。提供した報告書に対してお客様から感謝の言葉をもらえたときが、一番のやりがいを感じます」

※5Apache Log4j:Javaで作られたアプリケーションにてログを出力する際に利用されるライブラリの1つ。2021年12月にLog4j 2の脆弱性(CVE-2021-44228)が公開され、これが悪用されると、リモートから任意のコードを実行される恐れがある。極めて深刻度が高く、かつさまざまなWebサービスや情報システムなどで利用されていることから、ここ数年で最大の脆弱性ともいわれた

知的好奇心が第一線のプロフェッショナルでありつづける原動力

コンシェルジュサービスに携わるようになり、田中は得意分野のみならず情報セキュリティ全般を俯瞰して見られるようになったと手ごたえを感じています。半面、詳しくない領域もまだまだあり、知識が不足していることも改めて 実感したといいます。

田中 「Webアプリケーションやブロックチェーン、コンテナのセキュリティについては、これまでの診断業務を通して経験も知識も得ることができ、対外的な情報発信も行ってきました。しかしITの世界は日々進化し、新しいサービスやテクノロジーがどんどん生まれています。新しい技術や動向を常にチェックして知識を身につけておく必要があることを、一層強く意識するようになりました」

さらに、デジタルトランスフォーメーション(DX)の潮流によって、新しい技術をいち早く自社のサービスに取り入れようとする企業がますます増えてきています。NRIセキュアには、そういった企業から「セキュリティ上の問題がないか診断してほしい」と相談が寄せられます。どんな新しい技術でも対応できるよう、田中は新技術のセキュリティ診断を検討する組織横断の勉強会にも力を注いでいます。

田中 「新技術やセキュリティの関連情報を知ることは、自分の知的好奇心を満たしてくれます。セキュリティ診断では、対象となるシステムに脆弱な箇所がないか、あらゆる観点で調査し、結果をまとめなければなりません。このスキルは、収集した情報をアウトプットしてお客様に提供するコンシェルジュサービスにおいても役に立っていると感じます」

新しいことや未知のことを学ぶことが楽しいと話す田中は、今後も先進的な技術を常に習得している第一線のプロフェッショナルでありたいといいます。

田中 「今後も新しい技術や関連するセキュリティ情報を調査・研究に携わり、診断事業や他のサービス、新規事業開発につなげていきたいと思います」

幅広い情報収集を絶え間なく行いながら、日々専門性を磨いている田中。目まぐるしく変化する状況の中で、それを楽しみながらデジタル社会の安全・安心を目指し、これからも田中の向上心は留まることはないでしょう。