セキュリティ分野なら個人では携われないことに挑戦でき、常に新しい刺激を受けられる

article image 1

――学生時代の研究内容と、NRIセキュアテクノロジーズ(以下、NRIセキュア)に入社するまでの経緯をお聞かせいただけますか。

坂梨 「大学では、セキュリティとはあまり関係のない『Malbolge(マルボルジェ)』という難解なプログラミング言語の研究をしていました。

コードを書くこと自体が好きだったのでシステム開発のアルバイトもしており、セキュリティに興味を持ったのも、開発者として必要なセキュリティの勉強をしていたことがきっかけです。開発者が想定していないポイント(脆弱性)を突いて行われるサイバー攻撃の手法が、技術としておもしろいと感じました。

就職活動では、『エンジニアとして楽しく働けること』『マネジメント中心ではなく手を動かし続けられること』を軸に企業を選んでいました。そこで当初は、プログラムを書き続けられる仕事としていわゆるWeb系ベンチャーの開発エンジニアを志望して、内定した会社もありました」

――現場で働き続けられることを重視していたわけですね。NRIセキュアのことは、何をきっかけに知ったのでしょうか? 

坂梨 「その後就職先を考える中で、年次が上がるにつれてマネジメント業務が増えるイメージがあって敬遠していた大手IT企業も、『中を見ずに選択肢から外してしまうのは良くない』と考えるようになったんです。そして、とりあえず話だけでも聞いてみるかと、軽い気持ちで参加した野村総合研究所(以下、NRI)の説明会でNRIセキュアを知りました。

説明会では、エンジニアが楽しく働いている雰囲気が強く伝わってきました。とくに、お客様のシステムを疑似的に攻撃して脆弱性を発見し、改善策を提案するセキュリティ診断業務に興味を持ちましたね。OB訪問でも、社員がエンジニアとして楽しく働いている様子を実感できて、『ここしかない!』と決意してからはひたすら企業研究をして、内定獲得に向けて突き進みました」

――なぜ開発ではなくセキュリティ分野への就職を選んだのでしょうか?  

坂梨 「開発は個人の趣味でもできますが、セキュリティは個人では携わるのが難しい分野だと考えたからです。

お客様がセキュリティ診断を受ける目的の一つに『この診断を受けたからこのシステムは安全です』という『箔(はく)付け』があり、その『箔』、つまり診断自体が信頼できるものである必要があります。いち個人で、企業より大きな信頼を得ることは難しいと考え、就職するなら個人ではできないことをやろうとセキュリティ分野を選びました。

『正義のハッカー』としてお客様のシステムの穴を探していくという業務内容にも興味をそそられましたね。また、セキュリティ分野は常に新しい攻撃手法が出てくるなど変化が激しい分野なので、『知的な刺激を受け続けられて楽しそう』とも思いました」

攻略しがいのある強固なセキュリティを突破したときが、達成感のある瞬間

article image 2

――2019年の入社後から担当してきた業務を教えてください。

坂梨 「入社前の希望通り、セキュリティ診断業務を中心とする部署で働いています(※)。手を挙げればどんどん挑戦させてくれる環境なので、Webアプリケーション診断を中心として、ソースコード診断・ブロックチェーン診断・ペネトレーションテストなど、さまざまな診断業務を経験してきました。

※2021年インタビュー時点。2022年現在は株式会社ユービーセキュアに出向し、セキュリティ診断の知見を活かして診断ツールの開発に従事。

――NRIセキュアに入社してから、ワクワクした業務のエピソードを教えてください。 

坂梨 「実際の攻撃者の視点に立って悪用シナリオを考え、システムの脆弱性を利用してどこまでそれらのシナリオが実現できるかを確かめる『ペネトレーションテスト』の中で、お客様がオフィスで使っているPCをお預かりしてテストをしたときのことです。

攻撃者はハッキングをする際に、まずPCの管理者権限の奪取を試みるのが定石です。私も、与えられた一般ユーザーの権限からいかに管理者権限を奪うか、試行錯誤を繰り返しました。

もちろんお客様も強固なセキュリティ対策を行っているのですが、それをかいくぐり、管理者権限を奪取できたときには、大きな達成感がありましたね。対策がしっかり取られているシステムほど攻略しがいがありますし、攻略できたときのエンジニアとしての喜びは桁違いです」

――管理者権限の奪取はすべて一人で行ったのですか? 

坂梨 「基本的に個人で作業を進めていくのですが、社内にはさまざまな技術分野で尖ったメンバーがいるので、つまずいたとき、新しい視点が欲しいときは、みんなに相談しながら進めました。社内の風通しがとてもよく、社内チャットツールでいつでも気軽に質問できるんです」

セキュリティ診断を通じて社会全体に貢献できることが、大きな自信とやりがいに

article image 3

――セキュリティ診断の仕事の魅力を感じたエピソードを教えてください。

坂梨 「あるシステムの診断過程で、オープンソースのライブラリの脆弱性を見つけたときは、自分が社会全体へ貢献できていると実感しました。ライブラリとは、ソフトウェアを開発するための部品のこと。その脆弱性はライブラリの開発者にも報告し、修正されました。新人として現場に配属されてすぐの出来事だったので、強く印象に残っています。

このライブラリは世の中で広く使われているものだったので、広範囲に影響を与えうる脆弱性の修正というある種の社会貢献ができましたし、『自分も世の中に影響を与えられるんだ』という自信にもなりました。こういった規模の仕事ができるのも、セキュリティ診断業務の魅力だと思います。

また、すでに述べたように、脆弱性という穴を見つけ出して攻撃するという、宝探しゲームのような感覚で仕事ができるのも診断業務の魅力のひとつです」

――高度な知識が必要になるお仕事だと思いますが、どのように自己研鑽しているのでしょうか。 

坂梨 「仕事でもプライベートでも、気になったことをとことん調べる癖があるので、技術知識はその過程で身につけています。たとえば社内チャットに最新の脆弱性情報が出ると、それがどのように攻撃につながるかなどをさらに調べています。未知のことを調べて試してみること自体が楽しいんですよね。

また、業務で気になったり必要になったりした技術に関して、申請すれば会社が関連書籍を購入してくれます。直接的に業務と関係しなくても、技術書であれば比較的何でも購入してもらえるので、興味がある分野の本を何冊も購入しています。このように、会社がきちんと学ぶための投資をしてくれるのはありがたいですね」

――NRIセキュアならではのやりがいはありますか? 

坂梨 「セキュリティ専業企業としては国内大手に入るので、世の中で広く使われているシステムのセキュリティ診断を担当することもあります。どんなシステムの診断を担当したかは具体的に言えませんが、世間で広く使われているシステムを『自分が守っているんだ』という自負はありますね」

技術好きなメンバーが集まり、生涯現役を貫ける──エンジニアには最高の環境

article image 4

――NRIセキュアのカルチャーを教えてください。 

坂梨 「当社はNRIの社内ベンチャーとして発足した経緯があり、ベンチャー気質も残っています。説明会で感じた通り、『技術が好き』という共通点のもと、上司も部下も関係なくわいわい盛り上がる雰囲気で、エンジニアとして楽しく働いています。

コロナ禍の前は、ランチや飲み会の場で最新の攻撃動向や先端技術の話題で盛り上がることも多かったですね(今は社内チャットにその場を移しています)」

――どんな人と一緒に働きたいですか。 

坂梨 「『技術が好き』なことは外せないポイントです。私たちはツールでは見つけきれない脆弱性をマニュアルで探し出すことで、より高付加価値な診断を提供しています。限られた時間内に、何をどこまでどう試して脆弱性を見つけていくのかは、診断者の腕によるところも大きいです。

腕を磨くには技術を突き詰めて考えられることが重要で、それは技術が好きだからこそできることでしょう。次々に新しい技術や攻撃手法が出てくる中で、それらをキャッチアップし、いかに自分で深めていけるかが大切と考えています」 

――最後に、就活中の学生へメッセージをお願いします。

坂梨 「セキュリティの専門家は、セキュリティ分野にだけ詳しければ良いわけではありません。“そのセキュリティが守ろうとしている対象” にも詳しくなければ、表面的なことしかアドバイスできないからです。

そのため、プログラミングでもハードウェア開発でも何でもいいのですが、実際に“手を動かす”経験をして、『作り手の気持ち』がわかるようになっていることが大事だと思っています。

作り手の気持ちがわかるようになることで、たとえば診断業務であれば、ある程度プログラムの中身を想像しながら『こういう実装なら、この攻撃で突破できるのでは』と推測を立てられるようになります。ですので、皆さんが今興味を持っている技術分野を、無我夢中で突き詰めていってもらえればと思います。

NRIセキュアでは、生涯エンジニアとして現役でいられる環境が整っているので、技術が大好きな方々と切磋琢磨しながら一緒に働けるのを楽しみにしています」