1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 辻 伸弘氏に聞く「侵入テストの専門家が考える『柔らかいセキュリティ』の真意」(前編)

辻 伸弘氏に聞く「侵入テストの専門家が考える『柔らかいセキュリティ』の真意」(前編)(1/3)

NTTデータ先端技術株式会社に所属し、ペンテスト(侵入テスト)の専門家として活動してきた辻 伸弘氏。「今やセキュリティなき運用はないが、運用なきところにセキュリティはない。」を持論に、実践的かつ現実的なセキュリティの調査、分析に関する情報発信を続けています。今回のインタビュー前編では、ご自身のこれまでのキャリアや、主にエンタープライズ視点でのセキュリティ動向について、ペンテストの経験を通じて得られた「柔軟なセキュリティ」の考え方についてお聞きしました。

辻伸弘氏

辻 伸弘(つじ・のぶひろ)

大阪府出身。NTTデータ先端技術株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji。

独学でセキュリティの世界に飛び込む

★まず、セキュリティとの出会いについて教えてください。

インターネットとの出会いは高校生の頃でした。当時は何も分からず、面白そうだと思って使っていました。まだOSがWindows95の時代で、セキュリティの話もそれほど聞かなかった時代です。IRCを使ってチャットをしていたら、Windowsの脆弱性を利用して、OSをクラッシュさせてしまう攻撃を受けて、そういう世界もあるのだなあと、セキュリティの世界に漠然と興味を持っていました。その後、高校を卒業して、実は2年ほど音楽の道を目指していたのですが、将来を考えて音楽を諦め、コンピューターの専門学校に通うことにしたのです。21歳になる年のことです。

★そこで本格的にセキュリティの勉強をされたのですか?

専門学校は一般的なプログラミングやネットワークについて学ぶ学校でした。セキュリティについては、ハッカーに対して漠然とした憧れを持っていて、高い技術を持ってカッコいい仕事がしたいという憧れに近い気持ちですね。しかし、専門学校にはセキュリティの授業はありませんでしたので、全て独学で学びました。海外のドキュメントを頑張って読んだり、古いパソコンを譲り受けて、LinuxなどのOSをインストールして、家の中で実際に攻撃のツールを試して、攻撃と防御の検証をしたりということをしました。

★独学だったのですね。

当時は、体系だったセキュリティの教育というのを受ける機会がなかったので、自分で、興味のあるものを手当たり次第、見よう見まねでやっていた感じです。仕組みからというよりも、現象から調べていくという感じで、次第にハマっていきました。そんな折、ひょんなことから知り合った東京に住むセキュリティの仕事をしている方と出会いました。当時、僕は大阪に住んでいたのですが、その方に、セキュリティの技術に興味があるなら、東京で仕事を探したほうがいいとアドバイスされたのです。

★そのアドバイスで東京での就職を決めたのですか?

そうです。その方に、自分がこういう分野に興味があるという話をしたら、ペンテスト(侵入テスト)というのがあるから、そういう業務内容がある会社に就職してみたらとアドバイスされて、それで上京を決意しました。でも、後日、そのアドバイスをくれた方にその話をしたら、そんなこといった覚えはないといわれてしまって(笑)。当人にしたら、それくらい軽い気持ちでのアドバイスだったみたいですけど。

そういうわけで、就職先を本格的に探しました。その当時(2002年頃)は、セキュリティの就職先というのはあまり情報がなくて、ネットで「セキュリティ 侵入テスト」などで調べて、業務内容をサイトで見つけてから、問い合わせてという風にして探しました。それで、入社が決まった会社に3年ほど務めて、8年前に今の会社(NTTデータ先端技術株式会社。当時、NTTデータ・セキュリティ株式会社)に転職し、現在に至ります。

★波乱万丈ですね(笑)。

もう、思いつきと感覚だけでやっていた感じですね。今思うと。

検査だけでなく運用を考えた具体的な施策提案まで柔軟に対応するのがペンテストの仕事

★当時のセキュリティ業界というのはどういう感じでしたか?

僕が就職した当時は、「Blaster」が流行していました。その前には「Nimda」「SQL Slammer」といったワームが大流行していましたね。ワームという言葉が出始めた頃、学生だった僕は、ワームの仕組みがよくわからなかったので、自分でWindowsをわざと攻撃しやすい環境にして、どれくらい時間が経ったら感染するかというのをテストしたりしていました。

★最初の会社では、どのような仕事をされていたのですか?

ペンテストを希望して就職したものの、配属になって、最初にやった仕事は、お客様先にある侵入検知システム(IDS)の構築の仕事でした。入社して、2週間くらい研修を受けて、すぐにお客様のところに行って、IDSの構築を行いました。構築して、監視しないといけないので、監視して得られた情報をどのようにレポートに落とし込んだらいいかというマニュアルやひな形を作る仕事をしましたね。

関連キーワード:
  • 【K子番外編】U子のセキュリティはじめまして!Vol.9 Facebookの「なりすましアカウント」に注意
  • カテゴリートップへ
  • ネットバンキングの不正送金事件に関し、総務省がウィルス対策の徹底呼びかけ