前回紹介した茂岩祐樹講師の「スレットハンターコース」につづいて、今回は「脆弱性診断士育成コース」の講師を勤める国分裕氏に本誌編集部が、脆弱性診断を学ぶ意義について話を聞く、、はずだったのだが、インタビュー開始直後から取材は危機的状況に陥ったのであった・・・。
●脆弱性診断の「センス」の正体とは
――「脆弱性診断士育成コース」ということですが、診断士をどう育てていくか、方法論はありますか?
それがなかなか難しいんですよね。正直なところセンスっていうのはあると思うんですけど、それ言うと、教えてもしょうがないっていうことになっちゃう。
―― ・・・。 どういうセンスが必要なんですか?
いま模索中というのもあるんですけど、やっぱりどのあたりに問題があるのか嗅ぎ分ける「嗅覚」があるんじゃないのかなとは思っています。
――それは後天的に身につけることはできるんですか? それとも難しいものですか?
それは。 難しいとは。 言いたくない。
―― ・・・。
やっぱり、いろんなサイトを見て「このサイトではこのパターンだった」という蓄積で学習してきたんだと思うんです、今やってる人たちも。
結局、作った人、開発者のミスを探すことになるわけですから、その人たちの気持ちがわかる人が強いんじゃないのかなとは思っています。開発者の視点に立ってものを考えられるかどうかですね。
自身でソフトウェアを作る際にも犯しがちなミスというのはあって「それと同じことを開発者もやっているんじゃないか」というのがきっとあると思います。「よくこういう間違いしやすいよね」みたいな。
――ということは開発の経験はあったほうがいいんですか?
実際にガッツリな開発プロジェクトに関わった経験は必要ありませんが、それでも何か細いソフトウェアだったり、いろいろ作っている人たちが診断士に多いことは事実で、それは経験として生きているのかなと思います。また、具体的な問題が見つかった時に「じゃあ原因どうなんだろう」って探していくと、自分で同じようなソフトウェアを作って、どうなっているかを検証することになるので、その時に開発の知識とスキルは必要になってくると思います。
●わからないことがわかること
――国分さんは以前から所属先の三井物産セキュアディレクション株式会社で、セキュアコーディングなどの教育事業をやっていましたね。
開発者向けのセキュアプログラミングだったりとか、セキュアなネットワーク構築など、トレーニングのプログラムは以前からやっています。
――教えることは好きですか。自分に向いていると思いますか。
・・・。
――・・・。
・・・。
――確かに「俺は教えるのが得意だ」と自分で言っているような奴には教わりたくないですけどね。
・・・こうやって依頼が来るんだから向いてるんじゃないんですか。
―― 2018 年度開催の「CySecPRO 脆弱性診断士育成コース」の受講者アンケートでは、講義がわかりやすいと評判だったとか。
・・・。
――アンケートによれば「今まで自分がわからなかったところが何かがわかった」「自分は何が足りていなかったのかがわかった」という回答があったそうです。何がわからないのかわからないというのは一番大変です。課題が把握できないということですから。診断士コースの授業を行うときに気をつけていたことは何ですか。
・・・診断士に必要なセンスと似ているかもしれないですね。相手の視点に立つという意味で。最初は相手のレベルにどうやって合わせるかを考えます。伝わっているかどうか、わかっているかどうか、そこはとても気にしています。やるからにはわかってもらわないとしょうがないので。
――生徒のどういうところを見ていますか?
わかってるわかってないは、顔を見ればわかります。わかってない人がどこがわからなくて止まっているのか、いつも探ろうとしています。講義はスライドを使って説明するだけではなくて、ハンズオンで手を動かしてやってもらうので、つまずいている場所の把握は難しくありません。
●スキルマップと内製の意義
――「CySecPRO 脆弱性診断士育成コース」は、脆弱性診断士スキルマップを骨格に講義内容が作成されたそうですね。
脆弱性診断士スキルマップは、診断士のスキルを測る指標を作って、資格試験みたいなものになればいいなと考えながら作りました。ISOG-J のワーキンググループと OWASP の共同プロジェクトで、リーダーが上野宣さん、私がサブリーダーを務めました。
――スキルや能力の可視化が課題ということですね。
脆弱性診断のベンダー側としては「診断士によってスキルに差があること」、またユーザー企業から見た場合、それぞれの診断会社が単純にツールを回して終わりなのか、手で細かく見ていくのか、どういうレベルの診断サービスをやっているかが伝わっていないことが課題だと思っています。
また、スキルマップは我々のように診断サービスを提供する人たちだけではなく、自分で作って自分でデバッグする人たちや、誰かに作ってもらったものを受け入れ検査でチェックする人たち、業界全体のスキルを上げていくことに役立っていただければと思っています。
――「CySecPRO 脆弱性診断士育成コース」の受講者は、ユーザー企業の内製診断員も想定しているんですか。
そういう形の方がもちろんいいと思います。我々外部の診断会社は、第三者としてしか話せないんですが、内部で現場をちゃんとわかっている方のほうが「この脆弱性は問題だけど他の所でカバーしてるからいいよ」とか、自分たちの判断基準をそのまま適用できるので、スピードも速くなると思います。
――なにしろ「 CySecPRO 」ですから、診断をすでに職業としてやっいてる人ぐらいじゃないと受講できないようなイメージがあるんですが。
そういうことはないです。
――初心者でもいいんですか。
はい。どっちかというと、最初言ったように、開発者としてやっていて、そこにセキュリティの観点を付け加えたいっていうくらいの方がちょうどいいと思います。簡単な筆記試験と面接がありますが、そこを通った方であれば、診断員としての基礎を、全員がきちんとわかるまで、私が責任をもってお教えすることを約束します。
●診断士のキャリアパス
――ひとつ本誌編集長 上野からの質問があって、それは診断士のスキルパスを国分さんがどう考えているか、です。一人前になった後で、あるいは年齢をある程度重ねたら診断士はその後のキャリアをどう考えていけばいいのでしょうか。
私もそんなに診断の先はわからないんですけど、一つ一つの診断を担当者としてやってきた人が、今度は他の人がやった診断をレビューする立場になって、診断サービスの全体を見ていくようなキャリアパスもあると思います。また、診断用のオリジナルツールを作って、他の人も自分と同じレベルの診断をできるようにしていくこともできると思います。後は、こうやって人に教えるだったりとか。
診断は自分の時間しか成果が出ません。診断サービスを大きくするためには人を増やすしかなくなってしまう。スケールしない。ですから、ツールだったりレビューだったりトレーニングだったりというところをやっていったらと思います。
●脆弱性診断の未来
――最後に話は変わりますが、診断サービスの未来、国分さんが考える「こうなるといいな」「こういう課題を解決すべき」を聞かせて下さい。
診断ってもの自体なくなったらいいんじゃないのかなとは思っています。
――・・・・・・・・・・・・・・・・。
脆弱性診断という仕事は、わざわざ人のミスを探して指摘する仕事なので、そもそもミスが起きないように始めから作った方がよっぽどいいと思います。
――「人の間違いを指摘する仕事」そんな言い方をするっていうことは、もしやらなくていいんだったらやりたくないということですか?
やらなくていいんだったらやらないでいいというか(笑)。
――禅問答じゃないんですから(笑)。ここまで真剣にインタビューに答えていただく人はめったにいませんよ。やりたくないは違うかもしれないんですけれども。診断が必要なくなればいい。
――もしそうなったとしてもセキュリティ診断は、現在の財務監査のような形で行われることでしょう。いずれにせよニーズがなくなることはないと思います。それはそうと、脆弱性を見つけていくこと自体は、国分さんにとってとてもやりがいがあるんですね。
はい。
――本日はご協力ありがとうございました。
CySecPRO 脆弱性診断士育成コースシラバス: https://cysec-pro.org/course/syllabus/募集要項: https://cysec-pro.org/doc/requirement_r1.pdf開講期間: 2019年8月29日(木)~ 2019年12月12日(木)講義開催: 毎週木曜 18:30 - 21:45 × 15回受 講 料: 90 万円(税別 一括払)出願受付: 5 月 24 日(金)~ 7 月 26 日(金)募集人員: 18 名審査実施: 8 月 2 日(金) 18:30~21:30 於 東京電機大学 5 号館 12 階
国分 裕:
三井物産セキュアディレクション株式会社 (MBSD) プロフェッショナルサービス事業部 セキュリティスペシャリスト。不正アクセス監視サービスの立ち上げおよび 24 時間監視の実運用や、Web アプリケーションセキュリティ事業の立ち上げを行う。また、ペネトレーションテストやセキュリティ教育サービスのコンテンツ企画から講師まで幅広く担当する。セキュリティ・キャンプステアリングコミッティ / 脆弱性診断士スキルマッププロジェクト / Burp Suite Japanユーザグループ / SECCON 実行委員。
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/20559.jpg)
