PR
新井 悠 氏
ラック サイバーリスク総合研究所 所長
新井 悠 氏

 セキュリティエンジニアとは,企業のセキュリティを確保するのが仕事である。サービスやシステムにセキュリティ上の弱点がないかをチェックし,必要に応じて具体的な対策や解決策を提示する。

 セキュリティ対策を怠ると,企業が大きなダメージを被ることがある。ウイルスが侵入して会社の業務がストップしてしまうだけでなく,顧客などの個人情報を流出させると会社全体の信頼を失う羽目になりかねない。こうした事態を防ぐのがセキュリティエンジニアである。

 代表的なセキュリティ対策ベンダーであるラックで,セキュリティエンジニアの仕事をしているのが新井 悠氏だ。

 新井氏は出社すると,まずセキュリティ関連の報告に目を通す。世界各国のセキュリティ研究機関などから,日々いろいろな報告がなされている。これらにいち早く目を通して,新しい弱点や攻撃手法を知っておくことはセキュリティエンジニアにとって必須といえる。

 それから顧客や社内の打ち合わせの合間をぬって,顧客のサービスやシステムについて安全性をチェックする。具体的には,「ペネトレーション(侵入)テスト」という作業を実施する。

 ペネトレーションテストでは,サービスやシステムを実際に攻撃して,外部から侵入可能かどうかを試してみる。言ってみれば,新井氏自身がハッカーになったつもりで,検査対象に弱点が存在しないか試す。

 こうすることで本当にそのサービスやシステムに弱点がないかが分かる。新井氏は,「侵入できない人はセキュリティエンジニアではありません」とまで言い切るほど,必須のノウハウである。

 そのために,新井氏は新しい報告に目を通すときに,内容を理解するだけでなく「どのような攻撃をしたら,その弱点を発見できるか」を考えている。考えついたことは実際に試して,ちゃんと弱点を発見できるかを検証する。

ITの基礎知識を押さえることが重要

 セキュリティエンジニアになるためのポイントを新井氏に聞いたところ,「重要なのはITの基礎知識です」と語る。

 ラックに入社した当初の新井氏は,同期の社員と比べて自分が劣っていると感じた。「何を聞いてもすぐ分かる人や,ツールを自分でどんどん作ってしまう人が同期にいました」(新井氏)。奮起した新井氏は「朝8時に起きてから夜11時くらいまで空いている時間は一心不乱に本を読みました」と語る。

 この勉強が今の新井氏を支えることになる。新井氏によると,「役に立つのはUNIXやOS,DNSといったコンピュータやインターネットを司る基礎の知識です」とのこと。こうした基礎をしっかり押さえておくことで,次々と登場する新しい弱点や攻撃手法の仕組みが理解できるという。

お仕事解説:セキュリティエンジニア

セキュリティ専門の職種として注目を集める

 セキュリティエンジニアと言っても,その範囲は広い。システムやサービスを安全に構築・運用するための仕事をしているエンジニア全般を指す言葉として使われている。

 本文で紹介した新井氏のようにセキュリティベンダーに所属して複数の企業にセキュリティのノウハウをアドバイスする人もいれば,企業に所属しながら現場で機器などを操作してシステムを安全に構築・運用するよう日々努力している人もいる。

 情報漏洩などセキュリティ関連の事件が報道されるにつれ,セキュリティに対する問題意識が高まり,セキュリティエンジニアも重要視されるようになった。従来はSEが兼任していることが多かったが, 最近では独立した職種として注目を集めるようになってきている。

必要なスキル

  • 技術に対する知識
    セキュリティの弱点となる部分を推測する必要がある。そのためには,コンピュータやネットワークなどの知識を押さえておくことが最低条件。
  • 語学力
    セキュリティの問題は,原典を調べるのが大原則。原典は英文などの形で海外のサイトで公開されていることが多い。
  • 分析力
    セキュリティの問題を調べる際に,セキュリティ機器のレポートを分析することは必須となる。このための分析能力が必要。