株式会社ラックのK.Iさんは、2019年にラックの実技重視の採用選考「CTF選考」を経て入社したセキュリティスペシャリストです。
過酷な実技試験を突破し難関資格「OSCE3」を取得したK.Iさんは、「万物に対してペネトレーションテストを行いたい」というビジョンを掲げています。
今回はラック独自の採用プロセスの裏側や、48時間に及ぶ過酷な実技試験への挑戦、そして技術に没頭する「知識への貪欲さ」が支えるキャリアについてお話を伺いました。
「面白い会社に違いない」CTF選考で出会った、技術を真摯に評価する文化
ーまずは、ラックへの入社を決めた理由を教えてください。
一番の決め手は、やはり「『即!西本』特別技能CTFチャレンジ」という、普通の会社から見れば一風変わった選考方法で人材を募集していたことです。これはCTF(Capture The Flag)と呼ばれるセキュリティコンテスト形式の採用選考で、情報セキュリティの知識や技術を駆使して課題の中に隠された答えを見つけ出し、得点を競います。上位成績者は通常のステップを省略して社長との最終面接に進むことができるという、実力主義の選考です。そういう選考ができる会社は面白いに違いないと思いました。
ーK.Iさんが所属するオフェンシブペンテストグループではどのような方が働かれているのでしょうか?
本当に多様なバックグラウンドのメンバーがいます。学生時代からCTFで世界大会に出場していた人もいれば、新卒で入社するまでセキュリティに一切触れてこなかった人もいます。学歴も、専門卒、高専卒、学部卒、修士卒、博士卒と幅広い人材が揃っています。
私自身も、学生時代は「クラスにいる、ちょっとパソコンができる人」くらいでした。入社してから頑張って、今の仕事についているという感じです。
バックグラウンドは異なっていても、共通しているのは「知識への貪欲さ」です。時間さえあれば何か新しい知識を得ようとする人が多く、上司に命令されたからではなく、興味や好奇心から自発的に学ぶ人が多いですね。
攻撃者の思考を先回りする。ホワイトハッカーとしての向き合い方
ー現在どのような業務を担当しているのかお聞かせください。
「ホワイトハッカー」と呼ばれる仕事をしています。お客様の組織の情報システムをターゲットとして、攻撃者の目線で攻撃を仕掛け、情報を盗むなど「どんな悪いことができてしまうのか」を調査したうえで、特定された脆弱性や問題点を報告し、実効的な対策へと落とし込むペネトレーションテストを一貫して担当しています。
業務には高度な知識が必要となるため、攻撃者がどのような攻撃をしているのかという動向調査や、攻撃者目線で他にどんな攻撃ができるのかという技術研究が日常的な業務になります。セキュリティエンジニアというより、セキュリティリサーチャーという肩書きが近いかもしれません。日々こうしたリサーチを続けていると、サイバー攻撃の「変化」と「変わらない本質」が見えてきます。
近年のサイバー攻撃のトレンドについて言えば、そこまで大きく変わっているイメージはありません。フィッシングやVPNなど侵入の入り口は変化しますが、侵入した後のおおまかな行動パターンには権限昇格や横展開など共通点があるのです。だからこそ「多層防御」という考え方が重要になります。多層防御とは、一箇所が突破されても別の防御層で食い止めるという、複数の防御策を組み合わせるセキュリティ手法です。侵入のされ方は変わっていくので、「侵入は避けられない」という前提で対策します。侵入されても重要な情報は持ち出されないようにするのです。そういった調査をして、どのような多層防御をするべきなのかをお客様に提案することが私たちの仕事です。
ーK.Iさん普段の働き方について教えてください。
まず、ラックの情報システムは、クラウドサービスを利用しています。そのため、業務用のパソコンを会社でも自宅でもどこでも利用できますし、ミーティングもほぼ全てオンラインなので、出社する必要性はほとんどありません。私自身2ヶ月に1回くらい、1週間ほどお客様先に出向く程度で、それ以外はほとんどリモートで対応しています。
柔軟な働き方が組織の文化として定着しており、上層部も自ら実践しているため、従業員も相談しやすい環境だと感じています。自身の希望に合わせて勤務地も柔軟に選べますし、家庭の事情や体調も考慮してもらえるので、安心して働ける環境だと思います。
48時間の試験OffSecで得た「Try Harder」という哲学
ーOffSecの試験にも挑戦されたそうですね。実技試験とはどのようなものでしたか?
48時間ぶっ通しで実技試験が行われます。問題が出題され、カメラで監視されながら取り組みます。
私は「OSEP」「OSWE」「OSED」という3つの資格を取得しており、これら3つを取得すると「OSCE3」という称号が付与されます。それぞれ、企業のネットワークへのペネトレーションテスト(OSEP)、Webアプリケーションへのペネトレーションテスト(OSWE)、Windowsアプリケーションの脆弱性を突くエクスプロイト開発テスト(OSED)です。OSEPでは実際にウイルス付きのメールを送るなど、特定の組織を狙う標的型攻撃をシミュレートする実践的な内容でした。
勉強した内容をそのまま使うだけでは解けない問題が多く、自分で考えて実装する必要があります。OffSecのモットーは「Try Harder」、つまり「もっと頑張れ」です。ヒントをあまり与えてくれないのが特徴です。だからこそ、合格できた時は大きな達成感がありましたね。
ー知識を定着させるために、どのようなことを意識されていますか?
インプット→検証→実践→アウトプットというサイクルを意識しています。
まず、ハッキングはイメージの世界で、自分でイメージできないものに対してハッキングはできません。そのため、外部トレーニングや技術調査でベースとなる知識のインプットが必要なのです。次に、自分の検証環境を構築して実際に手を動かしてみます。触ったことがないシステムが対象になることも多いですが、事前に検証環境で触れておくことで、理解を深めることができます。
そして実際のプロジェクトで本物のシステムに触れ、知識を総動員して試行錯誤します。ペネトレーションテストは本当に試行錯誤の連続です。
最後に、やったことを整理して、社内外の勉強会で発表します。アウトプットすることで、知識が定着できているか確認にもなります。説明や発表ができないということは知識が定着できていないということですからね。
「全てをハック」できる人材を目指して、技術と思考を磨く
ーセキュリティエンジニアとして、今後の目標を教えてください。
「万物に対するペネトレーションテスト」という言葉が、私のビジョンを表しています。つまり、何でもハックできる人材になりたいということです。
現在、私は情報システム領域を担当していますが、将来的には情報システム以外の領域もハックできるようになりたいです。例えば鍵やICカード、車、飛行機などの「物理」の領域にも挑戦し、あらゆるものをよりセキュアにできる人材を目指しています。
また、ハックの対象は国防のような領域にも広げられるのではないかと考えています。近年「アクティブサイバーディフェンス」という戦略が話題になっています。これは攻撃の兆候を検知して被害を受ける前に攻撃者を無力化するという、能動的なサイバー防御の取り組みです。そういった領域にも技術を発揮していけるのではないかと思っています。
多種多様な分野でセキュリティを強化すべき対象に対し、「できない」「考えられない」となるのが嫌なのです。だからこそ、ベースとなるスキルのインプットは常に続けていかなければいけないと思っています。「できないことをなくしたい」という気持ちが強いですね。
ー最後に、読者へのメッセージをお願いします。
働きやすい環境というのは、会社が全て整えるのではなく、結局は自分で作り上げていくものだと思っています。そして、ラックにはその挑戦を後押しする文化があります。自分から動けて主体的な人にとっては最高の環境です。
私自身も知識に貪欲で最新の攻撃手法を研究・検証して、社内外でアウトプットし、技術を磨いています。こうした働き方を楽しめる方には、これほど刺激的な場所はないと思っています。
セキュリティ業界は常に進化し続けています。昨日の常識は今日には通用しない世界です。私たちは攻撃者より一歩先を行くために日々挑戦しており、その過程で得られる知識や経験は、どこでも通用する財産になるはずです。
自分の力で環境を切り拓きたい、技術を磨き続けたい、世界を相手に挑戦したい。そんな思いを持っている方は、ぜひ一緒に「未来を守る仕事」をしましょう。
※掲載されている情報は、撮影当時のものとなります。
