北原 憲(きたはら・けん)
株式会社ラック サイバーセキュリティ事業部デジタルペンテストサービス部担当部長
千葉大学理学研究科博士課程修了後、ラックに入社。企業や官公庁のネットワークに攻撃を仕掛けることでセキュリティ状況を調査する国内有数のペネトレーションテスターとして活躍。2020年4月より現職。
情報社会でますます重要性を増すセキュリティ。ネットワークをあえて「攻撃」することで安全性の向上に寄与するペネトレーションテスターとして活躍する北原憲さん。仕事のやりがいや将来の夢、千葉大学時代の思い出などを語っていただきました。
悪質なハッキング防止のために同業他社とも情報を共有
ペネトレーションテスターとはどのような仕事ですか。
具体的な進め方について教えてください。
北原
まずはお客様からのヒアリングで、どのようなサイバー攻撃に対して懸念を抱いているのかをお聞きします。そしてお客様のネットワーク環境をチェックしたうえで攻撃のシナリオを提案します。テストの内容が決まったら実際にペネトレーションテストを実行し、その結果に基づいた報告書を作成したり、効果的な対策を提案したりします。ここで重要になるのは、サイバー攻撃の手法は常に狡猾化しているので、日頃から情報収集をして備えておくことです。どのような攻撃にも対応できるようにしておくために、社内の分析チームと連携して知識の共有を進めます。さらに社外のセキュリティ技術者同士でもコミュニティを通じて情報交換をしています。サイバーセキュリティ業界内の連携が活性化し、高度な最新情報を共有できれば、それだけ悪質なハッキングを防止できることになるので、同業他社であってもテストの過程で得られた技術的な知見を共有することは大きな意義があると考えています。
自分が身につけた知識や技術が安全なネット環境につながっていく
ペネトレーションテスターの資質は?
北原
セキュリティのテストとはいえ、お客様のネットワークに侵入するのは、悪質なハッカーと同じ知識やスキルを持っているとういうことなので、それを悪用しない倫理観が問われます。サイバーセキュリティが大きな注目を浴びるようになってまだ数年、ペネトレーションテスターの数もそれほど多いとは言えませんが、今後はますます需要が高まり、数も増えていくと思います。私たちセキュリティ技術者は、いわば「良いハッカー」としてモラルのある仕事をすることに誇りを持っていますが、後進にもそうした気構えを伝えていく必要があると思います。
この仕事の難しさややりがいを教えてください。
北原
ペネトレーションテスターの難しさは、テストを実行する際、どこまで侵入し、どこまで攻撃するかを見極めなければいけない点です。いくらテストでも、お客様のネットワークにトラブルが発生して、業務に支障が出てしまってはいけません。しっかり原理を理解したうえで、的確な攻撃にとどめるさじ加減が必要になります。これは非常に困難ではありますが、逆にやりがいでもあります。セキュリティ技術者として知識や技術を磨いていけば、最終的には悪質なサイバー攻撃を未然に防ぎ、安全なインターネット環境を実現することにつながります。これは技術者冥利に尽きると感じています。
北原
ペネトレーションは「侵入」を意味します。インターネットが当たり前の時代になって、様々な利便性が高まった一方、大規模な情報漏洩や乗っ取りなど、悪質なハッキングも増えてきました。こうした状況を受けて、企業や官公庁などでは、サイバー攻撃に対するセキュリティの重要度が高まっています。ペネトレーションテスターは、お客様のネットワーク環境に実際のサイバー攻撃と同じような手法で侵入を試みることで、セキュリティがきちんと機能しているかどうかを調査する仕事です。