セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」 | ScanNetSecurity
2024.05.25(土)

セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

製品・サービス・業界動向
(イメージ画像)

 セキュリティの仕事というのは愛に満ちたもの、愛の行為ではないかと感じることがある。そもそも人間が社会で行う仕事は本来すべからく愛をもって行われるべきだが、取材しているとセキュリティの仕事に対して特にそう感じることがある。

 以前、F森さんという優秀な技術者が海外の法執行機関を研修だか国際会議出席だかで訪れた際、彼はほんの「ご挨拶」としてその法執行機関の公式ウェブサイトにアクセス、ごく短時間でそれなりにヤバい脆弱性を発見したという。至急修正すべき旨を連絡したものの「若いアジア人が何か言っている」扱い。翌朝になってもまだそのまま。全く埒が明かないため、回りくどい書き方をあえてするのだが、その脆弱性が存在し続けることで起こりうるリスクが顕在化した場合に発生し得る事象のひとつをありありと体感していただくためにある種の行動をとったという。びっくり仰天したその法執行機関は公式サイトの脆弱性をすぐに修正したそうだ。めでたしめでたし。

 最初にこの話を聞いたときは、場所も場所だし警察署で行動を起こしたランボーみたいでかっこいいというかロックというかパンクというか世界を変えていくためには時にワイルドサイドを行くことも辞さない痛快な話として聞いたし本人もある程度ネタとして喋ってもいたが、今思うにこれは、重大な病の罹患に気づいてもいない人に往復ビンタを張って病院に連れて行くようなまっすぐな優しさや愛情がそもそもの行動の発端であったような気がしてならない。

 直近の取材で、同じようにセキュリティ業務の遂行において愛を感じたのは、クラウドストライクでインシデントレスポンスなどに従事している鵜沢 裕一(と 白石 三晃 ※編集部註)に話を聞いていたときで、同社が開始したレッドチーム演習サービスの本質についての質問をしつこく繰り返していたときのことだった。(編集部註:クラウドストライク社はメディアトレーニングを経ていない人物が取材対応することが NG となっており、本稿の発言はすべて、オフィシャルには鵜沢の発言として記載している)

 曰く、レッドチーム演習はシステムの脆弱性を網羅的に羅列する脆弱性診断や、検証範囲を限定せざるを得ないペネトレーションテストと異なり、とにかくすごいという趣旨の回答だったのだが、しかしさすがにそのままは書けない。

 何度か質問を繰り返していて徐々にわかってきたのは、成功したレッドチーム演習においては、クライアントが「全く思いもしなかった」「想像だにしなかった」攻撃パスが見つかることがあり、それを見つけるために鵜沢らは、ユーザー企業以上にユーザー企業のシステムや業務、そこで働く人々、ときにはオフィスの物理構造まで深く理解し通暁し、経験と勘をフル稼働して、なおかつ時間と幸運を味方につける必要があり、いざそれ(想像だにしなかった攻撃パス)が見つかったとき、レッドチームとクライアント側のブルーチームの間には、到達感と達成感、互いの成長を促す心の交流、すなわち上質なコミュニケーションが生まれる。直接こういう言葉を鵜沢が語ったわけでは全くないが、趣旨としては明らかにそうだった。

 レッドチームという全き他者を通じて「自分自身も知らなかった自らの姿を発見」し、そこから新たな成長に繋げていく。これはもはや恋愛というか愛ではないか。高度なサービス提供においては「非代替性(その技術者以外に替わりがいない)」という状況も発生するが、これも愛の行為であることの傍証だ。

 おそらくある種のセキュリティ技術者は皆、愛をもって仕事をしているのだろうと思う。本誌編集長の上野に聞いたら「今頃そんなことに気づいたんですか」とニヤニヤされそうだし、MBSD の国分さんになど尋ねたりしたら礼儀正しくかつ上品な冷たい視線を浴びそうである。つまりは、自らそんなことを口に出す馬鹿がいないだけである。口に出さない謙虚さがあるだけである。

 しかも今回インタビューした鵜沢は、取材で年齢を聞いてはいないものの、髪に少々白いものが混じり始めており、それなりに年を食っていることが明らかだ。写真を見るにギリギリ「イケオジ」と呼べないこともないものの、機動戦士ガンダムのギレン・ザビ総帥ならきっとこのように切り捨てるに違いない。「あえて言おう。オッサンであると」

 たとえ仕事のうえでの心構えとはいえ、オッサンが愛など語り出したら、今日日(きょうび)110番通報されても誰も文句は言えない世の中だ。だからこうしてかわりに本誌が書いた。もうここでこの記事は終わりにして構わないのだが、一時間弱の鵜沢へのインタビューと、その後の複数回にわたるメールでの質問のやり取りも含めて以下にまとめたので、興味がある人は目を通していただいて構わない。ここで言いたいことは、ユーザー企業がセキュリティ業務の発注先を選ぶときに、その会社には愛があるか、その技術者には愛があるか、それを選定条件に加えて欲しい、だがそれはごく一部の例外を除いてまず無理だろう、ということである。


《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. イエラエ CSIRT支援室 第 31 回 OSCP受験記

    イエラエ CSIRT支援室 第 31 回 OSCP受験記

  2. Mandiant の IR サービスを Falcon から活用可、CrowdStrike と Google Cloud が戦略的提携拡大

    Mandiant の IR サービスを Falcon から活用可、CrowdStrike と Google Cloud が戦略的提携拡大

  3. Twitterでのスパムや嫌がらせ、アカウント凍結を減らしシャドウバンを増やす方針

    Twitterでのスパムや嫌がらせ、アカウント凍結を減らしシャドウバンを増やす方針

  4. メールの脇にブランドロゴを表示する「BIMI」がもたらすビジネス価値とは

  5. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  6. NTTアドバンステクノロジと CyCraft Japan 協業、「CYBERSEC」で締結式典

  7. 管理会社への警鐘のため? 不正アクセスの高校教諭を逮捕

  8. 利用者への影響の大きい回線非設置事業者を明確に指定(総務省)

  9. SNSを悪用した子どもの犯罪防止を啓発する広告配信

  10. イエラエ CSIRT支援室 第 22 回 攻撃者の視点で侵入を試みる「ペネトレーションテスト」、ペンテスターの仕事とは

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×