セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」 | ScanNetSecurity
2024.02.23(金)

セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

製品・サービス・業界動向
(イメージ画像)

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

 以前、F森さんという優秀な技術者が海外の法執行機関を研修だか国際会議出席だかで訪れた際、彼はほんの「ご挨拶」としてその法執行機関の公式ウェブサイトにアクセス、ごく短時間でそれなりにヤバい脆弱性を発見したという。至急修正すべき旨を連絡したものの「若いアジア人が何か言っている」扱い。翌朝になってもまだそのまま。全く埒が明かないため、回りくどい書き方をあえてするのだが、その脆弱性が存在し続けることで起こりうるリスクが顕在化した場合に発生し得る事象のひとつをありありと体感していただくためにある種の行動をとったという。びっくり仰天したその法執行機関は公式サイトの脆弱性をすぐに修正したそうだ。めでたしめでたし。

 最初にこの話を聞いたときは、場所も場所だし警察署で行動を起こしたランボーみたいでかっこいいというかロックというかパンクというか世界を変えていくためには時にワイルドサイドを行くことも辞さない痛快な話として聞いたし本人もある程度ネタとして喋ってもいたが、今思うにこれは、重大な病の罹患に気づいてもいない人に往復ビンタを張って病院に連れて行くようなまっすぐな優しさや愛情がそもそもの行動の発端であったような気がしてならない。

 直近の取材で、同じようにセキュリティ業務の遂行において愛を感じたのは、クラウドストライクでインシデントレスポンスなどに従事している鵜沢 裕一(と 白石 三晃 ※編集部註)に話を聞いていたときで、同社が開始したレッドチーム演習サービスの本質についての質問をしつこく繰り返していたときのことだった。(編集部註:クラウドストライク社はメディアトレーニングを経ていない人物が取材対応することが NG となっており、本稿の発言はすべて、オフィシャルには鵜沢の発言として記載している)

 曰く、レッドチーム演習はシステムの脆弱性を網羅的に羅列する脆弱性診断や、検証範囲を限定せざるを得ないペネトレーションテストと異なり、とにかくすごいという趣旨の回答だったのだが、しかしさすがにそのままは書けない。

 何度か質問を繰り返していて徐々にわかってきたのは、成功したレッドチーム演習においては、クライアントが「全く思いもしなかった」「想像だにしなかった」攻撃パスが見つかることがあり、それを見つけるために鵜沢らは、ユーザー企業以上にユーザー企業のシステムや業務、そこで働く人々、ときにはオフィスの物理構造まで深く理解し通暁し、経験と勘をフル稼働して、なおかつ時間と幸運を味方につける必要があり、いざそれ(想像だにしなかった攻撃パス)が見つかったとき、レッドチームとクライアント側のブルーチームの間には、到達感と達成感、互いの成長を促す心の交流、すなわち上質なコミュニケーションが生まれる。直接こういう言葉を鵜沢が語ったわけでは全くないが、趣旨としては明らかにそうだった。

 レッドチームという全き他者を通じて「自分自身も知らなかった自らの姿を発見」し、そこから新たな成長に繋げていく。これはもはや恋愛というか愛ではないか。高度なサービス提供においては「非代替性(その技術者以外に替わりがいない)」という状況も発生するが、これも愛の行為であることの傍証だ。

 おそらくある種のセキュリティ技術者は皆、愛をもって仕事をしているのだろうと思う。本誌編集長の上野に聞いたら「今頃そんなことに気づいたんですか」とニヤニヤされそうだし、MBSD の国分さんになど尋ねたりしたら礼儀正しくかつ上品な冷たい視線を浴びそうである。つまりは、自らそんなことを口に出す馬鹿がいないだけである。口に出さない謙虚さがあるだけである。

 しかも今回インタビューした鵜沢は、取材で年齢を聞いてはいないものの、髪に少々白いものが混じり始めており、それなりに年を食っていることが明らかだ。写真を見るにギリギリ「イケオジ」と呼べないこともないものの、機動戦士ガンダムのギレン・ザビ総帥ならきっとこのように切り捨てるに違いない。「あえて言おう。オッサンであると」

 たとえ仕事のうえでの心構えとはいえ、オッサンが愛など語り出したら、今日日(きょうび)110番通報されても誰も文句は言えない世の中だ。だからこうしてかわりに本誌が書いた。もうここでこの記事は終わりにして構わないのだが、一時間弱の鵜沢へのインタビューと、その後の複数回にわたるメールでの質問のやり取りも含めて以下にまとめたので、興味がある人は目を通していただいて構わない。ここで言いたいことは、ユーザー企業がセキュリティ業務の発注先を選ぶときに、その会社には愛があるか、その技術者には愛があるか、それを選定条件に加えて欲しい、だがそれはごく一部の例外を除いてまず無理だろう、ということである。


《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. セキュアヴェイル「NetStare」でのSonicWall UTMの運用・監視サービスにセキュリティログ分析を追加

    セキュアヴェイル「NetStare」でのSonicWall UTMの運用・監視サービスにセキュリティログ分析を追加

  2. P2P観測システムの正式運用を開始、捜査に活用へ(警察庁)

    P2P観測システムの正式運用を開始、捜査に活用へ(警察庁)

  3. GMOイエラエ阿部慎司が考える「世界一自由なSOC」と 彼の楽園完成のためとった行動

    GMOイエラエ阿部慎司が考える「世界一自由なSOC」と 彼の楽園完成のためとった行動

  4. 取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン

  5. SIerもベンダも手が届かないところ、PFUが全国でセキュリティ「運用」サービス提供

  6. ICカードがなければスマホで入ればいいじゃない ~ 日本のビジネスパーソンが入退室カードから解放される日[HID VP インタビュー]

  7. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

  8. ネットジャーナリストら、ワンクリック詐欺の容疑で逮捕(岩手県警察)

  9. LanScope Cat 初のクラウド基盤対応、MSと連携しAzure移行を支援(エムオーテックス)

  10. 情報セキュリティマネジメント試験 8歳の小学3年生合格、最年少記録6年ぶり更新

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×