Cyber SecurityサウナJapan

エピソード #1: セキュリティコンサルティングとは

Japan_Podcast_YouTube_Cover_01

エピソード #1: セキュリティコンサルティングとは

サウナのようにホットなセキュリティトレンド、テクノロジー、インサイトをお届けするポッドキャスト『Cyber SecurityサウナJapan』。第1回目ではセキュリティコンサルタント(ホワイトハッカー)の重要性や仕事内容、そしてどうすればセキュリティコンサルタントになれるのかを、現役のコンサルタントであるアンッティ・トゥオミの体験をもとに、都内サウナの会議室からご紹介しています。

エピソード #1はこちらからご視聴ください。

スクリプト:

河野真一郎 (以下、河野):
みなさん、こんにちは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するホットなトピックをお届けします。ホストを務めるのは、ウィズセキュア株式会社法人営業本部、サウナ大好きの河野真一郎と、

アンッティ・トゥオミ (以下、トゥオミ):
同じくウィズセキュアジャパン法人のプリンシパルサイバーセキュリティコンサルタント 兼 技術ツッコミのアンッティ・トゥオミと申します。よろしくお願いします。

河野:
はい、この2名で今日もポッドキャストを進めさせていきます。よろしくお願いします。
それでは、本日は『Cyber SecurityサウナJapan』第1回といったところで、ホワイトハッカーの重要性と、ホワイトハッカーはどんなお仕事をしてるのかっていうトピックに関して、アンッティさんと河野でちょっとお話していこうと思います。よろしくお願いします。
アンッティさん、すいません。そもそも、日本のサイバーセキュリティでお仕事をしていく中で、ホワイトハッカーはどんな仕事をしているのか、またどういう人がホワイトハッカーやってるのかっていったところをちょっとコメントいただけますか。

トゥオミ:
そうですね。日本の中ではホワイトハッカーと呼ばれることが多いですが、国際的にはいくつかの単語が使われていますね。例えば英語圏ですとセキュリティコンサルタントだったり、セキュリティリサーチャーだったり、セキュリティエンジニアとか、セキュリティテスターとか、日本の中ではこのホワイトハッカーという単語が一番多いですが、いずれにしても、やってることはほぼ同じですね。大体の場合ですね、その仕事の内容としては、お客さんの企業と環境に特化したセキュリティの問題とか、セキュリティを確保できるためのことの支援をしていることが多いですね。具体的なこととしては、もちろんそもそもセキュリティについてどうすればいいかの話だったり、具体的にセキュリティ診断が必要な場合、その診断を行うことだったり、あとはその対策の支援とか、そういうことをやることが多いですね。

河野:
アンッティさんはウィズセキュアで、ホワイトハッカーのお仕事をしていただいてますけれど、ホワイトハッカーになるのに当たって、大体どのぐらいトレーニングを受けたりとか、サイバーセキュリティに関してどんなお仕事をしてきた中でホワイトハッカーになったかっていう、キャリアとかヒストリーみたいなお話っていうのはちょっと教えていただけますか。

トゥオミ:
それはかなり面白くて興味深い質問だと思いますが、やはりセキュリティの仕事は、いろいろな技術的なバックグラウンドから来ていて、それからセキュリティに移動したとか、セキュリティの専門家になったっていう形が多いですね。個人的にはですね、フィンランドの方で、大学と大学院では、コンピュータサイエンスのプログラミングとか組み込みシステムとか、そういう勉強をいっぱいしていましたが、やはりセキュリティについてはずっと興味がありました。
ただ、2000年頃には、まだそこまで、インターネット上ではセキュリティについて、どうやってセキュリティの仕事ができるようになるかとか、そういう情報はそこまで多くなかったんですね。私の場合はたまたま興味があって、セキュリティの専門家と知り合って、そちら経由の仕事にたまたま入れた、というキッカケがありました。最近はそれよりも大学だったりその他のところで勉強できる機会が増えていますので、今のところはセキュリティの仕事に入りたい場合は、いろいろチャンスがあります。ただ、その一つだけのよくあるとかみんなに該当しているパターンはちょっとないと思いますね。
例えば、現在ですね。弊社の本社のフィンランドの方でサイバーセキュリティのアカデミーっていう良いプログラムを実施していて、その中で他の企業からとか他のキャリアからセキュリティに入りたい人を育てていって、コンサルタントとして、セキュリティエンジニアとして仕事ができるようにするためのアカデミーを行っています。
やはり、そのアカデミーの参加者の中では、例えばモバイル系の開発だったり、バーチャルリアリティのVRとかARの開発をしてた人がいたり、あとは例えばネットワークエンジニアの人がいたり、まだ学校で数学を勉強してる方がいたり、本当にいろいろなキャリアパスからセキュリティに特化してる仕事に入りたい人がいますので。多分、実際のキャリアパスはみんなそれぞれなんですが、とりあえずセキュリティに興味があれば、大学だったりトレーニングだったりそちら経由、専門性を持って、コンサルタントとか、セキュリティの専門家になれるかなと思います。

河野:
日本でも最近、サイバーセキュリティに関するトレーニングだったり、いろんな大学や会社が一緒になって、サイバーセキュリティのトレーニングコースをスタートしてるようなところが始まってきてると思うんで、今アンッティさんがお話してくれたウィズセキュアがヘルシンキでやってる、大学と一緒になってホワイトハッカーやサイバーセキュリティスペシャリストのコースやってるっていうのも今後、サイバーセキュリティサウナのトピックの中でお伝えできればいいなというふうに思ってます。
実際に、アンッティさんがホワイトハッカーのお仕事をする上で、例えば、Webアプリケーションを使ってるお客さんのところで、ホワイトハッカーのお仕事としては、こんな仕事してくださいというリクエストを言われるケースとか、あと、テクニカル以外に、アンッティさんからのおすすめとして、Webアプリケーションとか使ってるお客さんではこういう対策していくことがいいですよって、お仕事の中で会話するケースがありますよ、みたいな。そういったトピックっていうところをちょっとお話いただけますか。

トゥオミ:
そうですね。最近よくあるパターンとしては、例えばこれからの新しいWebアプリケーションを公開しましょうとか、以前の環境をクラウドに移行、クラウドに移動しましょうとか、そういうタイプの話で、かなりリクエストが多いですね。やはりその、お客さんがビジネスについての重要なシステムのセキュリティを保護しなければならないシステムの、具体的な実践的なセキュリティの確認を依頼しているケースが多いですね。
最近のいくつかの事例を申し上げますと、例えば金融系システムのクラウド環境の診断だったり、例えば、セールスフォース系ではですね、あるお客さんが現場のこういう工場などのところで現場からの安全性についてのレポートだったり、その他のケース関連のことをWebアプリケーションとセールスフォース環境の中で連携しています。やはりそういう重要な情報がWebアプリケーションからセールスフォース環境に流れてますので、そちらの構成と実装は、そうすると、大丈夫ですか?重要な企業の情報が例えば間違って公開されないように、あるいは不正アクセスできないように確認してほしいとか、最近はこういうタイプの仕事も受けていますね。

河野:
そうすると、Web系の仕事のホワイトハッカーのお仕事のコメントをいただいたんですけど、私河野がクラウド系のお仕事の相談をいただいたり、あるいはAWS関連を使ってるユーザーさんからセキュリティのお問い合わせをいただくことがあるので、アンッティさんも、日本国内でいろんなクラウド系のセキュリティプロジェクトに入ってると思うんですね。なので、通常のWeb系の仕事をするだけではなく、クラウド環境で例えばAWSやAzure、GCPとか使ってるお客さんが、アンッティさんのようにホワイトハッカーの方に相談する時には、こういう相談が来ること多いですとか、アンッティさんが技術的にこんな対策することが多いですっていうようなコメントいただけますか。

トゥオミ:
最近よくあるパターンとしては、以前は一般的なアプリケーションで動いていたものが、AWS上ではLambdaとかその他のシステムでのサーバーレスで動いているアプリケーションの方が多くなってますね。そうすると、アプリケーションの環境は以前のサーバー環境がなくなっていて、その代わりにAWS上の設定のセキュリティと環境の設定とか、そういうことがやはりセキュリティ的に重要になっていますね。なので、こちらのAPIゲートウェイとLambdaの連携だったりステップファンクションで実装してたものは、本当に何かの攻撃できないか、というタイプの依頼を結構受けています。で、やはり具体的にこういう場合は、お客さんの環境と実装はやはりお客さんに特化したものになっていますので、そちらの構成と設定と実装を確認して、セキュリティ的に攻撃者として、こういうAPIのエンドポイントをこうやって悪用してみるとか、してみたら実際にどうなるかとか、実践的なセキュリティ診断と、例えばそのLambdaの中のコードのセキュリティレベルを行って、全体的に環境の構成とセキュリティ設定を確認することが多いですね。

河野:
やっぱりクラウド使ってるお客さんですと、今アンッティさんがお話してくれたようなサーバーレスのアーキテクチャだったり、あと最近やっぱりお問い合わせが多いのは、コンテナ系セキュリティのお話とかもご相談いただくことが多いので、『Cyber SecurityサウナJapan』のポッドキャストの中で、今後またクラウド関連のトピックだったり、コンテナセキュリティのお話なんかもご紹介できればいいなっていうふうに思ってます。
あと、Web系/クラウド系っていうところに加えて、ウィズセキュアのセキュリティコンサルティングの特徴として、業種に特化しているインダストリー特化のセキュリティ診断をやってますよってお話もありますし、アンッティさんは、航空系アビエーション系のセキュリティプロジェクトをたくさん今までに担当されてきてますけれども、ご参考までに、航空系アビエーション系のプロジェクトだとこんなお仕事するんですよっていうのを、お話できる限りでちょっとだけ紹介していただけるとありがたいです。

トゥオミ:
やはり話せないことが多いですが、おっしゃる通りですね。企業によってもちろん技術とセキュリティ的な条件と、ビジネス的な関係もかなり変わってきてますね。なので、例えば工場経営でのOTシステムのセキュリティと、一般的なIT環境のセキュリティ条件と、技術もかなり違っていますね。同じように航空系ですと、やはりIT的なセキュリティよりは安全性と安定性が重要ですね。OT環境も同じですよね。それに加えてですね、やはり航空系の通信技術とかも、かなり違うものになってますね。サテライト経由の通信が多くて、あとは例えばラジオ系でACARSとかのプロトコルを使ってデータ通信を行ってることが多いですね。やはりそういう場合ですね、その技術的な脅威も、かなり違いますよね。よくあるパターンとしては最近、機内でWi-Fiを使って映画を観てたり、サテライト経由で普通のインターネットアクセスできるようになってますよね。そういう場合はですね、やはり乗客として他の乗客に対して何か攻撃できるかと、それはそもそもネットワークレベルで予防されているかとか、ネットワークレベルで対策されているかっていうことはもちろん重要ですし、それから飛行機はそのサテライト経由通信していますが、やはり例えば機内システムへのアクセスだったり、万が一、機内システムと乗客が同じサテライト通信になっていたら、乗客としてグラウンドシステムの、その機内用のシステムのグラウンドのAPIだったり、その他のネットワークにアクセスできるかの確認とか、こういうことも重要になってきてますね。実装とシステムによってかなり興味深くて面白い診断ができるところが多いですね。

河野:
アンッティさん、そうしましたら、これからサイバーセキュリティのお仕事をやってみたいっていう人に対して、アンッティさんからアドバイスとかありましたらいただけますか。

トゥオミ:
サイバーセキュリティに興味がある方としてはですね、もし例えば現在は開発の仕事をやってらっしゃるのであれば、例えばその開発の中でも、セキュリティを考慮して開発するタイプの、いわゆるセキュリティチャンピオン、開発チームの中でセキュリティを担当している方として入ってみるのもいいですし、やはり弊社の私のセキュリティコンサルタントをやってる人としても、お客さんの組織の中で、実際に開発チームとか品質保証チームの中で、セキュリティに興味があって、セキュリティを担当してる人がいたらかなり助かりますので、そちらは一つの企業の中でも重要で必要なポジションではありますし、ある意味でスモールスタートでも、セキュリティの仕事に入れるかなと思います。
最近はですね、オンラインのリソースも多いですし、それから例えばこのOpen Web Application Security Project (OWASP) のリソースもかなり不可欠ですね。あとは、例えばセキュリティ系のイベントの、国内であっても海外であっても、イベントに参加して出席して、他の人はどういうことをやっているかを勉強しつつ人脈を作る、ということもありだと思いますね。

河野:
アンッティさんありがとうございます。
といったところで、今日第1回の『Cyber SecurityサウナJapan』としては、ホワイトハッカーのお仕事っていう観点で、どういうふうにアンッティさんがホワイトハッカーになったのかっていうところや、Web系のお仕事のホワイトハッカーのお仕事、クラウド系セキュリティ/航空系アビエーションセキュリティなどに関するところをアンッティさんからお話いただきました。
『Cyber SecurityサウナJapan』では今後、外部のゲストスピーカーさんをお招きして、キャンプ場でテントサウナからの収録とかもですね、行っていく計画がございます。実は今日もですね、天候の関係で、本当はアウトドアサウナっていうことでキャンプ場にてテントサウナを立てて収録しようとしたんですが、ちょっと残念ながら大雨降ったりっていうところがありまして、今日は西荻窪にありますコワーキングスペース『LifeWork』カフェっていったところでポッドキャストは収録をしてまして、この後は『Rooftop』サウナっていったところも行ってみようというふうに思っております。
といったところで、ぜひぜひ、今回の『Cyber SecurityサウナJapan』第1回はここで終了となるんですが、今後取り上げてほしいサイバーセキュリティのトピックや、ゲストスピーカーとして喋りたいというご希望の方は、ぜひお気軽にウィズセキュア公式のツイッターカウント、 @WithSecure_JP へ一言いただけると幸いです。
アンッティさん、今日は大雨でテントサウナ行けなくてちょっと残念でしたよね。

トゥオミ:
残念ですよね。やっぱり川沿いのテントサウナをかなり期待してましたが、今回ちょっと屋上のサウナも少し楽しみですね。

河野:
なので、次回はぜひゲストスピーカーの人などをお招きして、キャンプ場で、綺麗な川が流れてるところでテントサウナを張って、ポッドキャストを収録した後、サウナに入るのをやりましょう。

トゥオミ:
ぜひやりましょう。

河野:
といったところで『Cyber SecurityサウナJapan』第1回は以上となります。それではまた。アンッティさん、今日もありがとうございました。

トゥオミ:
ありがとうございました。