SNSボタン
記事分割(js記載用)

究極は映画『マトリックス』の世界観を身に付けること。サイバー攻撃に臨機応変に対処できるホワイトハッカー育成を|ソフトバンクのセキュリティエキスパートvol.1

映画『マトリックス』の世界観を身に付けたら一人前!? 攻撃に臨機応変に対応得できるホワイトハッカー|ソフトバンクのセキュリティエキスパートvol.1

通信事業だけでなく、さまざまな事業を手がけるソフトバンク。顧客情報をはじめとした膨大な量の情報を守り、お客さまに安心してサービスを利用していただくために、情報セキュリティは非常に重要です。ソフトバンクがどのようにサイバー攻撃に備えているのか、担当社員へのインタビューを通してお伝えしていきます。

第1回目は、ソフトバンクのセキュリティ戦略立案や人材育成などを行うセキュリティのキーパーソンに、その仕事の中身やこだわりについて聞きました。

日名子さん

技術管理本部 ISC統括部 担当部長
日名子 聡志(ひなご・さとし)

緊急事態に対処する“特殊部隊”。「ホワイトハッカー」とはどんな人?

まずはご自身の立場や仕事の役割を教えてください。

私は15年ほどセキュリティの専門職に就いており、今はCISO(最高情報セキュリティ責任者)と一緒に戦略を考えたり、技術的なアドバイスを行ったりしています。

具体的な仕事もいくつかあり、その1つはインターネットの脅威分析です。最近のインターネットにはどんなウイルスや脅威があり、どういった対策が必要なのか、セキュリティのどの分野へ投資を増やすべきなのか、などの判断をしています。

インターネットの脅威は日々変化していくということでしょうか?

もちろんです。コンピューターウイルスをはじめ、悪質なコードやソフトウエアは「マルウエア」と呼ばれますが、これらは日々新しいものが出ています。お客さまのスマホやサーバーが感染してしまうと、踏み台攻撃に利用されたり、スパムメールが大量に送信されたり、皆さんの通信に支障をきたす可能性があるんですね。そこで、常に最新のマルウエアを調べ、感染状況を把握する必要があります。

また、私はセキュリティ人材の育成にも関わっています。現在ソフトバンクでは、1,200人のセキュリティ人材の育成を目指しているんですよ。

目標1,200人! どんな人材を育成するのでしょうか?

「セキュリティエンジニア」や「ホワイトハッカー」と呼ばれるスペシャリストです。セキュリティエンジニアは、安全性の高いシステムの設計や構築を行う人たち。いわばトラブルを未然に防ぐ役割です。一方、ホワイトハッカーはトラブルが起きたときに活躍する“特殊部隊”のような存在。今、特に力を入れているのがホワイトハッカーの育成です。

“ハッカー”というと悪人のイメージがあるのですが、どんな役割なのでしょうか?

“ハッカー”とは、コンピューターやネットワークに関して深い知識や高い技術を持つ人のことを指しているんです。最近は、そのスキルを良いことに使う、社会に還元するハッカーを「ホワイトハッカー」、悪用するハッカーを「ブラックハッカー」と呼んでいます。

想定外のトラブルに即行で対応できるよう、トレーニングと実践経験を積みスキルを磨く

想定外のトラブルに即興で対応できるよう、トレーニングと実践経験を積みスキルを磨く

ホワイトハッカーが「技術を社会に還元する」とは、具体的にどういうことですか。

例えば、ブラックハッカーは、ソフトウエアの脆弱性を見つけて侵入し、データの入手やプログラムの改ざんを行います。ホワイトハッカーは同じ技術を使って、ソフトウエアの修正や補強をするのです。あるいは、ソフトウエアに侵入者がいた場合、プログラムから侵入経路を特定し、改ざんされた箇所を修復することもあります。

2011年に、当社のシステムで大規模障害が発生し、その後の調査で協力会社を通じてデータが改ざんされていたことが判明し、必要な対処を行い、収束した事例がありました。不正アクセスの疑いなど、まだ被害の全貌が把握できない中、防御策としてシステムのパスワードすべてを書き換える必要がありました。ただ、その数が膨大で手作業では時間がかかります。そこで、ホワイトハッカーが同じシステムにアクセスし、自動で全システムのパスワードを書き換えるプログラムを作りました。こういった即行の対応力が求められるのです。

ホワイトハッカーはどのように育成するのでしょうか。

まずはプログラミングができなければ始まりません。そのうえでトレーニングと実践の両面で力をつけていますね。トレーニング面でいうと、例えば「SANS」というITセキュリティ教育機関のプログラムを複数個受講します。また、同時に養うのが実践経験です。アクシデントが起きたときの対応や、プログラムの脆弱な箇所を見つけるといった経験を通しながら、スキルを高めていきます。

トレーニングと実践の両面で育ていくのですね。

はい。ホワイトハッカーはトレーニングや座学だけで育てるのは難しいでしょう。想定しないトラブルや脅威に即行で解決策を考える仕事ですから、教科書的な学びでは身につかない技術が必要になります。ある程度定められたスキルや資格を身に付けていくセキュリティエンジニアと比べると、現場で力をつけるのが何よりの経験になるんですね。例えるなら、セキュリティエンジニアは正しい訓練を受けた正規の軍隊。ホワイトハッカーはケンカや遊びの中で鍛えた傭兵のようなイメージですかね(笑)。

その他に必要とされるスキルはありますか?

ホワイトハッカーにはコミュニケーション能力も求められます。トラブルが発生すると、さまざまな部署に状況を説明する必要がありますよね。それをもとに各部署は対応を決め、お客さまへの情報発信も行うわけです。もし、その説明が専門用語だらけだったら、誰も理解できませんよね。ドラえもんの「ほんやくコンニャク」が必要になってしまいます(笑)。他者のことを考えて発信するコミュニケーション能力も、大切なスキルのひとつなんです。

倫理観など内面の育成も重要。映画『マトリックス』の世界観を身に付けた人材を育てたい

倫理観など内面の育成も重要。映画『マトリックス』の世界観を身に付けた人材を育てたい

ホワイトハッカーを育成する上で、日名子さんが心がけていることはなんですか?

技術とともに“世界観”を育成することですかね。『マトリックス』という映画がありますが、あの世界観を理解できる人になって欲しいのです。

えっ!? どういう意味でしょうか?

マトリックスはコンピューターが世界を支配する話です。コンピューターの特徴は、すべてのものを「0」か「1」の組み合わせで表現すること。壁も木も人も、全て「0」「1」からできています。仮にどこかの「1」を「0」に書き換えるだけで壁が消えるかもしれない。そんな世界観が体に染み込んでいる人は強いですよね。どんなトラブルや脅威も「0」「1」の組み合わせで変えられると考えられるような。

その感覚を養うことも大切なんですね。

そうですね。もう1つ、倫理観の育成も非常に重要です。ホワイトハッカーは、システムに侵入してプログラムを変えることも容易にできてしまう。その技術を悪用せず、社会に還元する方向へ導くことが大切です。

スキルだけでなくバーチャルな世界観や倫理観など、内面も育成していく仕事なんですね。

はい。人の世界観や倫理観は社会人になる前にある程度形成されているので、私たちがどう内面に働きかけていくか、とても難しい。計画を立てて育成していきたいところですが、この部分の育成には10年単位の長期的な関わりが必要だとわかってきたので、実現していく方法を毎日考えています。これからさらに巧妙化するサイバー攻撃に備えて、高度なセキュリティ人材を育てるために、しっかりと向き合っていきたいと思います。

10年以上かけて育てる。計画が大切なんですね。

そうですね。私自身は仕事もプライベートでも、ものすごく緻密な計画を立てることが多いです。バーチャルな話をたくさんしてきましたが、普段の私はどちらかというとリアルの世界が好きで、趣味はプラモデル作りです(笑)。戦艦からガンダムまでいろいろ作りますよ。

プラモデルを作るときも、「プロジェクトシート」を書いて計画的に進めるんです。それを見ながら、「今は予定よりどのくらい遅れているな…」と考えて(笑)。プラモデルって塗装の乾燥時間がかかるので、それを踏まえて計画的に作るのがコツなんです。集中しすぎて食事をとったり、寝たりするのも忘れるくらい。仕事とは真逆の世界ですよね。

戦艦「金剛」のプラモデル。2021年元旦完成に向け、”逆線表”を引いています

戦艦「金剛」のプラモデル。2021年元旦完成に向け、”逆線表”を引いています

戦艦「金剛」のプラモデル。2021年元旦完成に向け、”逆線表”を引いています

リアルな分野でも、仕事のような緻密さですね(笑)。では最後に、セキュリティに携わる社員として、ユーザーの方にメッセージをお願いします。

私たちの仕事は何も起きないことが一番です。皆さんに安心してサービスを使っていただけるよう、すばらしいセキュリティ人材を育てていきたいですね。また、お客さまからのアンケートや通信状況のリサーチなどもセキュリティ向上の重要な資料となります。ぜひご協力いただき、より良いシステムにつなげたいと思います。

(掲載日:2021年2月2日)
文:有井太郎
編集:エクスライト

ソフトバンクの情報セキュリティ

ソフトバンクの情報セキュリティ

ソフトバンクが提供するサービスを安心してご利用いただけるよう、情報漏えいリスクに対してさまざまな対策を講じ、常にお客さまをはじめ社会からの信頼を得るため、情報セキュリティの強化に努めています。

情報セキュリティの取り組み