コンピューターに関する専門性の高い知識を持ち、不正アクセスから守る
「ハッカー」と聞くとマイナスなイメージを持つ人もいると思います。正しい意味を教えていただけますか?
「おっしゃる通り、『ハッカー』という言葉からは他人のコンピュータに不正アクセスしてサイバー攻撃をする人といったイメージをしがちだと思います。けれども本来は、コンピュータについて豊富な知識を持っている人や、コンピュータに精通している人のことを表す言葉です。
また、実際に企業が求人募集する時は『ホワイトハッカー』という言葉はあまり使われません。『脆弱性(ぜいじゃくせい)診断士(企業の情報システムやWebサービスの脆弱性に対して判断をする人)』や『ペネトレーションテスター(脆弱性を見つけるテストを行う人)』、もしくは大きなくくりで『セキュリティエンジニア』という職種名で募集されることが多いです。
企業が対外的に、自社に高い専門性を持った人材がいることをアピールする時などに、『当社にはホワイトハッカーが在籍しています』と『ホワイトハッカー』という言葉を使うことがあります」(長谷川さん。以下同)
※脆弱性:コンピュータのOSやソフトウェアで、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと
システムをハッキングして弱点を見つけ、攻撃に備える
ホワイトハッカーはどのような仕事をしているのかを具体的に教えていただけますか?
「システムに対して模擬的にハッキングを行い、そのシステムが攻撃可能か、情報を盗み出すことができるかなどを調べます。そして、セキュリティの弱点を調べてレポートにまとめるのが基本的な仕事です。
実際には大きく2パターンあり、1つ目は企業から依頼を受けるパターンです。具体的には、依頼を受けた企業のシステムにハッキングを行い、セキュリティの弱点をレポートにまとめて提出し報酬を得ます。
2つ目は、所属する企業のシステム対策です。例えば銀行の場合、銀行内にはセキュリティチームがあり、ホワイトハッカーはそこに所属します。そして自社である銀行のシステムにハッキングを行い、セキュリティの弱点を調べてレポートを作成します。攻撃を受けた時に対応するのはセキュリティチームの別の職種の人ですが、日本では職種の垣根があいまいなので、セキュリティエンジニアとして採用された人が、ハッキングの仕事と、実際に攻撃を受けた時に守る業務の両方を担当することもあります。
私自身、セキュリティエンジニアとして働いていた時にハッキングをし、いざという時は防御もしました。インシデント(重大な事件・事故に発展する恐れのある事態)といって、『攻撃されたかもしれない』『情報が漏れたかもしれない』など、事件・事故の可能性が考えられる段階で防御に動きます。具体的には『システムにおかしな挙動があった』『見えてはいけないものが見える状態になっていた』などです。その段階では攻撃されたかどうかわからなくても、防御をしたうえで早めにインシデントを見つけて対処するのです。銀行のようにシステムがたくさんあるところでは、日常的な仕事の一つです」
ハッキングの技術で『世の中を守る』
実際にお仕事をしていて、どのようなことに魅力ややりがいを感じていますか?
「ホワイトハッカーの仕事はもちろん、セキュリティ分野そのものがあまり知られていない職業です。だからこそ、企業やそのサービスを利用しているお客様をかげながら守っているという自負があります。何より、専門性が高いハッキングの技術を『世の中を守る』ことに使えるのは、この仕事ならではの魅力だと思っています」