第96回のWorker’s fileは、コンピューターやインターネットなどのサイバー空間において情報やシステムを守る仕事をしている日立ソリューションズ・クリエイトの上野貴之さん。サイバーセキュリティやプログラミングの面白さについてお話を聞きました。
株式会社 日立ソリューションズ・クリエイト デジタルトランスフォーメーション事業部 セキュリティビジネス本部 セキュリティサービス部 部長。高校卒業後、一度大学に進学するもIT業界を志し専門学校に入学。専門学校卒業後、株式会社 日立ソリューションズ・クリエイトに入社し現在に至る。
◆サイバーセキュリティは国や家族、友人を守るという点で大切な分野
—はじめに、株式会社 日立ソリューションズ・クリエイトはどのような会社ですか?
幅広い事業を展開する日立グループの中で、IT分野を担っている会社です。政府や地方自治体、銀行や鉄道会社、産業・流通などに関するシステム構築が業務の大半を占めています。システム構築の他にも、デジタル部隊ではセキュリティに力を入れておりまして、社内の情報セキュリティに対する力を向上させるため、CTFと呼ばれるサイバーセキュリティにおけるクイズ形式の競技を用いたトレーニングなども行っています。
—業務内容を教えてください。
皆さんがよく聞く“ハッカー”は、コンピューター技術にたけた人を指す言葉で、本来ポジティブな意味があります。コンピューターに対してウイルスを仕掛ける人を“クラッカー”といい、私の業務はこのクラッカーによって仕掛けられたウイルスがどのようにシステムに侵入したのか調査することです。課の中ではコンピューターシステムを守るために全体を管理するチームや、侵入経路を調査するチーム、対策を考えるチームなど、複数に分かれています。現在は、企業や団体の社員・職員のセキュリティリテラシーと技術力を上げるため教育の場を提供しているほかに、地方自治体向けのセキュリティ対策の研修なども行っています。
—コンピューターへの攻撃やウイルスの侵入はどのように見つけるのですか?
テレビなどで目にするハッキングですと、パソコンの黒い画面に文字を入力して侵入してデータを盗んでいく攻撃者目線の映像が多いのですが、私たちもそれに近いことをしています。攻撃者は今この瞬間にもパソコンやサーバーなどを攻撃していて。私たちが調査をするのは攻撃された数日後になるため、相手が攻撃した記録が残っているはずなんです。なぜかというと、攻撃されたことが分かるようにセンサーが付いているからです。残っている記録を集めて時間を追い、「この時間帯に通常とは違うものが出ているな」といったちょっとした違いから侵入した場所を見つけます。普通はウイルスに入られないようにしているものなので、ウイルスに入られた原因を追究し、二度と攻撃されないように対策をしなければなりません。セキュリティに関して、守る側はいつ攻撃されるか分からず、24時間365日耐えないといけないため不利なんです。一方、攻める側は一点突破でいいんですよ。そのため、一個穴が空いても次の壁で止められるように、対策や支援を徹底しています。
—ウイルスの侵入はソフトを入れておけば防げるのでしょうか?
99%以上は防げると思いますが、完全には防げないです。なぜかというと、攻撃側も防がれないように攻撃するからです。検知できるウイルスというのは過去のもので、新しいものだと検知できない場合もあります。ウイルスの見つけ方にも2種類あって、一つはパターンファイル型という、過去のDNAを取っておき、似たようなものが侵入してきたときに、自動的に怪しいと認識するものです。だけれどそれは、新しいウイルスが出てきたときには、DNAが違うからと入られてしまいます。プログラムは動くときに必ず痕跡を残すので、最近は動きが怪しいものを判断するという見つけ方が主流になっています。
—現在の仕事に就くまでの経緯を教えてください。
もともとこの業界に入ろうと思っていたわけではなく、中学・高校の時は建築家に憧れていました。というのも家の近くに建築事務所があり、そこで働いている人と話したりするので、身近に見える仕事が建築家だったんですよね。その人が建てた家を見て「かっこいいな」と思っていました。家や橋、ビルといった建物は地図に残るじゃないですか。当時「地図に残る仕事をしよう」とCMで放送されているのを聞いて、すごくかっこいいと思っていたのですが、図画工作の授業でモノを作るのが苦手で。とてもじゃないけどこれではなれないなと早々に断念。そんな中、中学・高校の時にプログラミングの授業があって。月に2回くらいの授業だったのですが、それがすごく面白くて興味を持ちました。高校を卒業して進学したのはIT系の学校ではなかったのですが、「やっぱりITをやりたい」と思って大学を中退し、専門学校に入りました。卒業後は、普段、皆さんが使うATMなどのシステムに携われたらいいなと思い、現在の日立ソリューションズ・クリエイトに入社したのですが、希望とは違う研究開発の部署に配属されたんです。そこはお客さまから依頼されて作るものではなくて、先を見据えていつか必要になるものを研究する部署で、入社してから3年間は衛星放送の監視システムを作っていました。その後、監視システムの研究とセキュリティの異常探知に似ている点があることから、セキュリティの部署へ異動。そこで10年ほどシステム構築に関わり、現在は開発からは退いて後進育成や全体的なコーディネートを担当しています。また、社内でセキュリティのコンテストを実施して、人材発掘にも力を入れています。
—貴社がスポンサーをされている『全国高等学校AIアスリート選手権大会「シンギュラリティバトルクエスト」』の意義を教えてください。
シンギュラの大会前に「培った技術や得たものは正義のために使ってください」と言っているんです。正義は立場によって変わりますが、あくまで日本国民としての正義で技術を行使してほしいと考えています。シンギュラのCQ(サイバークエスト)では、得た技術が使い方によっては凶器になってしまうため、凶器としてではなく、人を守るために使ってほしいということを伝えられる場になればいいなと思っています。大会で取り組む競技である『CTF』は攻撃を重視した競技なので、一度攻撃側を経験することで、セキュリティが弱いと簡単に破られてしまうこと、そうならないように気をつけようと意識するきっかけになったらうれしいです。
—プログラミングの面白さを教えてください。
自分が意図したように動くところです。他人が作ったサービスの動きよりも、自分が作っているからこそ分かることがあります。そういったサービスを自分で生み出せるのは、とても楽しいです。以前、パソコン部の学生に話を聞いた時に、パソコンはe-スポーツを楽しむためのものという考えの人が多く、パソコンそのものにあまり興味がないことを知りました。少しでも自分で手を動かしてプログラミングする機会が増えていけば、仕組みを理解した上で作る楽しみも知ってもらえると思っています。
—サイバーセキュリティの面白いところを教えてください。
サイバー空間は陸・海・空・宇宙に次ぐ第5の戦場といわれています。シンギュラを通じて、高校生の皆さんにいろいろな問題を提供し、気づきや面白さを与えたい。そしてシンギュラで学んだ技術は、家族や友人、国や世界を守ることにつながるので、パソコンやスマホをただ使うだけではなくて、それを支えている技術を学んでもらえたらなと思います。またサービスを作る側になるのなら、便利なものには危険性も潜んでいることを知り、安全・安心なものを提供する責任があります。それを学ぶためにシンギュラはいい場だと思います。特にサイバーセキュリティは国や家族、友人を守るという点でとても大切な分野なので、そこに楽しさを見いだしてくれたらうれしいです。
—仕事のやりがいを教えてください。
今まで20年近くセキュリティに携わってきて、培った知識をいろいろな方に説明した際に「分かりやすかった、助かった」という声をいただいた時はやりがいを感じますね。セキュリティの分野はいろいろな技術がどんどん出てくるし、そこを追いかけていかないといけない。そういった点では暇な時がないくらい忙しくて、飽きないんです。それにずっと携われるのはとても楽しいです。
—プログラミングやパソコンの仕組みについて、高校生ができることを教えてください。
今はプログラミングの「いろは」を教えてくれるサイトもあります。簡単なものでもいいので、自分で作ってみるのが一番かなと思います。コードには1行1行意味があるので、その意味を理解しながら作れるようになると面白いと思いますよ。例えば、シンギュラのCQに参加してCTFが面白かったのに、1年間何もやらないのはもったいなくて。自分でCTFの大会に出たりすると、自分の進むべき道が見えることもあると思います。シンギュラでは、プログラミングに興味を持ってもらえるように工夫して問題を作っているので、ぜひ大会にも参加してみてほしいです。
お仕事言葉辞典 ▶▶ セキュリティスペシャリスト編
【CTF】シー・ティー・エフ
Capture The Flagの略で、サイバーセキュリティのスキルを競う競技。専門知識や技術を駆使して隠されているFlag(答え)を見つけ出し、時間内に獲得した合計点数を競う。
お仕事道具見せてください
パソコン
調査中にうっかり何かを触ってしまうと危険なため、調査をする際に使用するものと事務作業に使うものなど、用途に合わせてパソコンを使い分けています。
INFORMATION
情報セキュリティ初学者も、基礎から実践まで学べる教材『めざせホワイトハッカー』
