セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」 | ScanNetSecurity
2024.03.29(金)

セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

製品・サービス・業界動向
(イメージ画像)

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

 以前、F森さんという優秀な技術者が海外の法執行機関を研修だか国際会議出席だかで訪れた際、彼はほんの「ご挨拶」としてその法執行機関の公式ウェブサイトにアクセス、ごく短時間でそれなりにヤバい脆弱性を発見したという。至急修正すべき旨を連絡したものの「若いアジア人が何か言っている」扱い。翌朝になってもまだそのまま。全く埒が明かないため、回りくどい書き方をあえてするのだが、その脆弱性が存在し続けることで起こりうるリスクが顕在化した場合に発生し得る事象のひとつをありありと体感していただくためにある種の行動をとったという。びっくり仰天したその法執行機関は公式サイトの脆弱性をすぐに修正したそうだ。めでたしめでたし。

 最初にこの話を聞いたときは、場所も場所だし警察署で行動を起こしたランボーみたいでかっこいいというかロックというかパンクというか世界を変えていくためには時にワイルドサイドを行くことも辞さない痛快な話として聞いたし本人もある程度ネタとして喋ってもいたが、今思うにこれは、重大な病の罹患に気づいてもいない人に往復ビンタを張って病院に連れて行くようなまっすぐな優しさや愛情がそもそもの行動の発端であったような気がしてならない。

 直近の取材で、同じようにセキュリティ業務の遂行において愛を感じたのは、クラウドストライクでインシデントレスポンスなどに従事している鵜沢 裕一(と 白石 三晃 ※編集部註)に話を聞いていたときで、同社が開始したレッドチーム演習サービスの本質についての質問をしつこく繰り返していたときのことだった。(編集部註:クラウドストライク社はメディアトレーニングを経ていない人物が取材対応することが NG となっており、本稿の発言はすべて、オフィシャルには鵜沢の発言として記載している)

 曰く、レッドチーム演習はシステムの脆弱性を網羅的に羅列する脆弱性診断や、検証範囲を限定せざるを得ないペネトレーションテストと異なり、とにかくすごいという趣旨の回答だったのだが、しかしさすがにそのままは書けない。

 何度か質問を繰り返していて徐々にわかってきたのは、成功したレッドチーム演習においては、クライアントが「全く思いもしなかった」「想像だにしなかった」攻撃パスが見つかることがあり、それを見つけるために鵜沢らは、ユーザー企業以上にユーザー企業のシステムや業務、そこで働く人々、ときにはオフィスの物理構造まで深く理解し通暁し、経験と勘をフル稼働して、なおかつ時間と幸運を味方につける必要があり、いざそれ(想像だにしなかった攻撃パス)が見つかったとき、レッドチームとクライアント側のブルーチームの間には、到達感と達成感、互いの成長を促す心の交流、すなわち上質なコミュニケーションが生まれる。直接こういう言葉を鵜沢が語ったわけでは全くないが、趣旨としては明らかにそうだった。

 レッドチームという全き他者を通じて「自分自身も知らなかった自らの姿を発見」し、そこから新たな成長に繋げていく。これはもはや恋愛というか愛ではないか。高度なサービス提供においては「非代替性(その技術者以外に替わりがいない)」という状況も発生するが、これも愛の行為であることの傍証だ。

 おそらくある種のセキュリティ技術者は皆、愛をもって仕事をしているのだろうと思う。本誌編集長の上野に聞いたら「今頃そんなことに気づいたんですか」とニヤニヤされそうだし、MBSD の国分さんになど尋ねたりしたら礼儀正しくかつ上品な冷たい視線を浴びそうである。つまりは、自らそんなことを口に出す馬鹿がいないだけである。口に出さない謙虚さがあるだけである。

 しかも今回インタビューした鵜沢は、取材で年齢を聞いてはいないものの、髪に少々白いものが混じり始めており、それなりに年を食っていることが明らかだ。写真を見るにギリギリ「イケオジ」と呼べないこともないものの、機動戦士ガンダムのギレン・ザビ総帥ならきっとこのように切り捨てるに違いない。「あえて言おう。オッサンであると」

 たとえ仕事のうえでの心構えとはいえ、オッサンが愛など語り出したら、今日日(きょうび)110番通報されても誰も文句は言えない世の中だ。だからこうしてかわりに本誌が書いた。もうここでこの記事は終わりにして構わないのだが、一時間弱の鵜沢へのインタビューと、その後の複数回にわたるメールでの質問のやり取りも含めて以下にまとめたので、興味がある人は目を通していただいて構わない。ここで言いたいことは、ユーザー企業がセキュリティ業務の発注先を選ぶときに、その会社には愛があるか、その技術者には愛があるか、それを選定条件に加えて欲しい、だがそれはごく一部の例外を除いてまず無理だろう、ということである。


《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

  2. 「AWS設定監査サービス」 CIS ベンチマークの最新バージョン v3.0.0 に対応

    「AWS設定監査サービス」 CIS ベンチマークの最新バージョン v3.0.0 に対応

  3. 同一顔画像の偽造書類検知、業界横断不正検知サービス「LIQUID Shield」

    同一顔画像の偽造書類検知、業界横断不正検知サービス「LIQUID Shield」

  4. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  5. 「サイバーセキュリティアワード 2023」表彰式開催、フィクション部門の最優秀賞は「地球外少年少女」

  6. KDSec、FIDO2準拠のパスワードレス認証「ぱすとり」提供

  7. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

  8. 共通脆弱性評価システムCVSS v2 評価の掲載終了、4/1 以降は CVSS v3 評価のみに

  9. で、どうやったら SecuriST に合格できるか教えてもらえませんか上野さん ~ 非エンジニア文系ライター受験記 [後編]

  10. 大阪府警 三人のサイバー犯罪捜査官

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×