専門家インタビュー

セキュリティギーク×
元サイバー警察

【異色対談】
私たちが「サイバークライシス」に懸ける理由

システムトラブルや不正攻撃があった時、そんな時にしか注目されないサイバーセキュリティ。人材難と言われる売り手市場にもかかわらず、この分野を志すビジネスパーソンは少ない。九電ビジネスソリューションズでサイバー攻撃防御を率いる堂領輝昌、SBテクノロジーのセキュリティリサーチャー辻伸弘。この二人はビジネスキャリアの大半をセキュリティに注いできた。元サイバー警察、そして根っからのエンジニア。歩んできた道は違うものの、ともにこの分野にフォーカスし続けている。セキュリティ技術者が担う責務と日本が抱えるサイバークライシスについて両者が語った。

元サイバー警察とギークが
セキュリティに惹かれた理由とは

――いきなり、失礼な質問ですが……、サイバーセキュリティのエンジニアや担当者って「投資対効果が見えにくい」とか「負の投資」とか「地味」とか、あまり評価されないポジションのように思えるんです。お二人はなぜ、この分野にフォーカスしているのですか。
(堂領)私がITに関する国家資格を保有していたこともあり、警察庁への入庁後にサイバーセキュリティ分野を担当する機会を得ました。今では想像もできませんが、90年代の当時はGoogle検索を使っていると笑われた時代です。「そんなサービスは聞いたこともない」と。

そのような状況ですから、ましてやセキュリティ対策を専門とする技術者は国内でも少数。独学で知識を深め、業務において試行錯誤を繰り返しながら経験を蓄積していきました。

そして今から20年ほど前、2000年頃になると、ソフトウェアの弱点を突くサイバー攻撃やワーム型のウイルスが少しずつ増えていきます。その状況を見た私は「サイバー攻撃は今後も増え続け、やがては現実社会ともリンクした切実な問題となるに違いない」と考えたのです。その時、将来にわたりセキュリティ技術者として生きる覚悟を決めました。

警察という出発点もあり、私の人生における目的とは、人々の暮らしや社会を守ること。出身地である九州の人柄… もちろん美味しい食べ物やお酒もですが… が大好きということもあり、今は九州電力グループにおいて電力の安定供給をサイバー攻撃防御の面から支える業務に従事しています。

日々当たり前に電気が灯るという日常を、多くの仲間とともに守り抜く仕事です。夜景の明かり一つひとつに人々の暮らしと笑顔があるのですから、これほど地域に貢献できて、やりがいのある仕事はありません。私にとっては天職です。この巡りあわせに心から感謝をしています。
九電ビジネスソリューションズ 上級セキュリティプロフェッショナル
課長 堂領輝昌
堂領氏プロフィール
90年代からサイバー攻撃防御の分野に20年以上従事。過去に警察組織でサイバーテロ対策及びサイバー攻撃対策業務に従事し、セキュリティシステム開発で警察庁長官賞を2度受賞。現職で情報セキュリティ対策の全般を担当。制御系システムに対する情報セキュリティ監査を2007年度から10年以上にわたり展開、国内有数の監査実績を持つ。経済産業省認定 システム監査技術者、ITストラテジスト、システムアーキテクト、ITサービスマネージャ、情報セキュリティスペシャリスト、ネットワークスペシャリスト、平成29年度 春期 情報処理安全確保支援士試験合格。公認情報セキュリティ主任監査人。CISSP - 国際公認情報システムセキュリティプロフェッショナル。

――辻さんはどうですか? 見た目からするとクラッカーのような怪しい感じがして……(笑)。
(辻)よく言われます(笑)。私は、学生の時に本屋で「ハッキング」「インターネットは無法地帯!」といった文字の踊る怪しい本を見つけて、元来のサブカル心をくすぐられたのが、セキュリティ業界に携わるきっかけかな、と思います。

高校2年生のクリスマスにパソコンを買ってもらって、そこからインターネットの世界に引き込まれました。ある時、ネットサーフィンをしていたら、チャットの相手がいたずらをして、私のパソコンに遠隔操作をしてきまして。すると画面が真っ青になり、パソコンが正常に動作しなくなったんです。

ネット掲示板で相談したところ、どなたかから不具合を改善するプログラムを渡されました。焦るがままにプログラムを入れて、その人が「今から不具合を止めるから」と遠隔から復旧の操作をした途端にパソコンが正常に戻り、「すごい!」と感激してしまって。その出来事から、セキュリティに関心を持ち始めたんです。

そこからは、企業のシステムに弱点がないかを確認する目的で、擬似的にシステムに侵入する「ペネトレーションテスト」を始めまして、これにハマりましたね。謎を解いていくような感覚が私には合いました。それ以来、長くセキュリティに関わっています。SBテクノロジーでの仕事を軸に、経済産業省など国のサイバーセキュリティプロジェクトにも携わっていますし、エバンジェリストとしてセキュリティの重要性を広く啓発する活動も行っています。
SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘
辻氏プロフィール
1979年生まれ、大阪府出身。2014年からソフトバンク・テクノロジー(現・SBテクノロジー)に所属。セキュリティリスクの診断事業に携わりながら、セキュリティリサーチャーとして、国内外問わずサイバーセキュリティの最前線を調査・解析する。また、サイバーセキュリティに関するエバンジェリストとしても活動。イベントでの講演やテレビなどメディアへの出演、記事や書籍の執筆にも精力的に動いている。主な著書に『あなたのセキュリティ対応間違っています』(日経BP)、『あなたの知らないセキュリティの非常識』(同)など。

――同じセキュリティスペシャリストですが、動機も歩んできた道も全く異なりますね(笑)。今日は、セキュリティに関するいくつかのテーマについて異色な二人の意見をお聞かせいただきたいと思っています。

THEME 1
サイバー犯罪は、
実は「複雑化・巧妙化」していない?

――セキュリティ業界では「攻撃手法が複雑化・巧妙化している」と常に言われますが、実際にはどうお考えですか。
(堂領)過去20年間の経験を振り返ると、攻撃手法の本質は意外と変わっていません。例えば、偽のメールで機微な情報を詐取する「フィッシング詐欺」が近頃は猛威を振るっていますが、私がこの用語を初めて耳にしたのは20年以上前の1990年代後半です。また、同様に被害報告が相次ぐ身代金脅迫型ウイルスである「ランサムウェア」も、30年以上前の1980年代から存在しています。

この20年間で大きく変化した要素があるとすれば、それは攻撃手法そのものではなく、サイバー攻撃の成功を裏で支える技術の出現です。幾つかありますが、代表的なものは仮想通貨。仮想通貨の出現が攻撃者側の選択肢を広げたことは間違いありません。
(辻)確かに一部では巧妙化している手法もあるでしょうが、私も堂領さんと同じで、それほど攻撃手法は変わっていないのではないかと思っています。

それなのに、なぜ複雑化・巧妙化しているとして警鐘が鳴らされているのか。その理由は、単純に攻撃のターゲットとなり得る対象が増えたからです。

子どもでもスマホを持つ時代です。大人でも複数のデバイスを持ち、しかもSNSやEコマース、情報のシェアリングなどを活用しながら、過去にないほどにサイバー空間に依存しています。デバイスそのものの台数も、サイバー犯罪に巻き込まれる可能性が高い人も、どちらも圧倒的に増えてきている。だから、危ないとして警鐘が鳴らされ続けているのです。
(堂領)辻さんのおっしゃるとおりです。今日では組織・家族・大人・子ども・経営幹部やシステム管理者まで、誰もが突然にサイバー攻撃の被害者となる状況が生まれています。このような時代において特に大切なことは、個々の人的スキルに左右されないセキュリティ対策を構築することです。幸いにして、今日では非常に優れた製品も出てきています。