これからセキュリティの仕事をはじめたい読者や、仕事としてセキュリティに携わる読者に向けて、一線で活躍する若手のセキュリティエンジニアに取材するインタビュー企画、今回は、会社の研修の一環としてデフコンのCTFに参加するという個性豊かな組織である、サイバーディフェンス研究所のペネトレーションテスター4名に、仕事を始めたきっかけや、業務の進め方、専門のセキュリティを深く極めていくために気をつけていることなどを聞いた。取材協力:サイバーディフェンス研究所・中村光宏・草場英仁・松野真一・ラウリ・コルツ・パルン●システムではなく人間を相手に仕事をしたかった【企業向けの技術セミナーの講師や、ペネトレーションテストのエンジニアを務めるサイバーディフェンス研究所のラウリ・コルツ・パルンはエストニア出身。地元のタリン工科大学でLinuxネットワークの管理者を経て、国際的なハッキングコンテストで与えられたミッションを史上最速でクリアした実績を持つ。彼がセキュリティの仕事を始めた理由はなんだろう。】どうやってコンピュータの腕をみがきましたか?─最初にコンピュータに出会ったのが中学のコンピュータクラブで、その後、高校のコンピュータの授業や、フィンランドで開催されていたアセンブリコンテストにも参加したかな。自由に活動している人たちの中で、楽しんで一緒にやっていたらいつの間にか、それが仕事になっていました。─zone-h という団体が開催しているハッキングの課題を解いた後は、そのzone-hから、研修の講師の声がかかり、世界各国でハッキング研修の講師をするようになりました。いまのサイバーディフェンス研究所にもそんな雰囲気はあるのですが、おもしろい人が集まって、お互いに最高にクールな技術を見せ合うことをいつも考えていました。なぜセキュリティの仕事をはじめたんですか?─大学のネットワークの管理以外にも、Webアプリケーションの製作なども仕事としてやっていたんですが、もっと人と関わる仕事をしたいと考えていました。管理や開発よりも、セキュリティはとても人間臭い仕事なんです。ユーザーの心や、攻撃してくる悪い人たちの気持ちも考えなければならないですから。●一人よがりのエンジニアにはなれない【サイバーディフェンス研究所の草場英仁は、国産ファイアウォールの開発や、ISMS導入などの実績を持つ一方、FreeBSD等のオープンソースのコミュニティに深く関わる。また、東京大学CCRセキュリティプロジェクト運営委員の活動の他、多数の媒体に執筆を行う。草場がセキュリティのエンジニアとして成長していくために、日頃から心がけていることはシンプルな方法論だった。】技術者としてスキルを伸ばしていく良い方法は?─環境が大事だと思います。時間を有効に使えることや、優秀な人たちと仕事が一緒にできることなどです。サイバーディフェンス研究所では、Chris GoggansやJeff Fayなどの国際的なセキュリティ専門家と一緒にペネトレーションテストをする他、Dave AitelやRoberto Preatoniなど海外からその道の先端の講師を招いて有料セミナーとして販売していますが、そういったセミナーの目的には、まずわたしたちが彼らから主体的に技術を学びとりたいという気持ちがあります。ですので、提供するセミナーは先ずわたしたちが知りたい技術に特化してますし、セキュリティに関連していれば内容も講師も全くの自由です。─スキルは、環境で伸ばしていくことはそれほど難しくないですが、エンジニアとしての前進のためにはセンスが不可欠だと思います。そのセンスのひとつとして、わたしは、「人に見せる」ということが大事だと考えています。オープンソースの良い点が、みんなに研究成果を見せることで前に進んでいけるところにあるように。─わたしがやっている仕事のひとつである、企業のネットワークやWebアプリの診断という仕事は、「仕事の結果=自分の技術」という関係が他の業務よりもハッキリ出やすい。自分の技術を人に見せ続けて、いい評価も悪い評価も受け続ける。【執筆:編集部】【関連リンク】サイバーディフェンス研究所http://www.cyberdefense.jp/ 研究所メンバー紹介(スタッフの顔写真など)http://www.cyberdefense.jp/company_profile/about.html 研究所スタッフ募集http://www.cyberdefense.jp/wanted/ ※取材協力の見返りとしてサイバーディフェンス研究所所長のジャック飯沼氏(日本人)より同研究所の人材募集を掲載する旨強い依頼があったため掲載※
