学内外のいろいろな活動を通してのめり込んでいった

私が大きくセキュリティにのめり込むきっかけとなったのが、大学3年生の時に参加したIPA^※1主催のセキュリティ・キャンプでした。参加はしたものの、全然内容についていけず、ボロボロ。それが悔しくて、「この道を極めていこう」とより真剣にセキュリティを学びました。セキュリティ・キャンプのほかに、CTF^※2など、学内外のさまざまな活動へ積極的に取り組みました。そうした中で、セキュリティ上のリスクが、どのように顕在化し、ビジネスや組織にどんな影響を与えるかを考え、それを顧客に正しく伝え、改善していく仕事、顧客とのやりとりを通して世の中を良くする仕事がしたいと思うように。そこで技術だけでなく、コンサル力を兼ね備えるNRIセキュアを選びました。

• IPA独立行政法人情報処理推進機構　
• CTF（CaptureTheFlag）…セキュリティ技術を競う協議会

最先端の手法で、お客さまのシステムの脆弱性を診断

入社2年目で、セキュリティコンサルタントとして、サイバー攻撃に利用されるシステムのバグや実装の不備など、お客さまのシステムの脆弱性診断を担当しています。脆弱性診断にあたっては、実際のサイバー攻撃と同じように擬似的な攻撃を行いますが、そうした際には、稼働中のシステムにトラブルが出ないように気をつけなくてはなりませんし、診断漏れや誤検知も決して許されないという難しさがあります。また日々新しい脆弱性や攻撃手法が発見されるため、最新の情報へのキャッチアップを怠ることができない点も特徴です。金融系のお客さまなど、膨大な個人情報を取り扱う重要なシステムを診断することが多く、非常に大きな責任を担う仕事です。

より川上でのセキュリティ対策へと業務領域を広げる

仕事をしていて嬉しいのは、診断の結果報告会でうまくお客さまとコミュニケーションができた時です。技術担当でない方にも、理解してもらい、対策の実施を促すことができるように工夫して説明した結果、「きちんと伝わったな」と手ごたえが得られると、自分の成長を感じることができます。
これからの目標は、より川上でのセキュリティ対策に携わること。今は、システムに作り込まれた後に脆弱性を探し出し、修正を促すセキュリティ診断を担当していますが、例えばそれらの脆弱性がそもそも作り込まれないように開発工程のもっと早い段階で働きかける設計レビューや、脆弱性があっても安全性を確保するためのセーフティ機構などに携わっていけたらと考えています。