“好きなことはとことん追求したい”
そう語るのは、学生時代にセキュリティ業務未経験でなんとOSCP(Offensive Security社が提供するペネトレーションテストの資格)を取得し、当時、中途採用しかしていなかったにもかかわらず、問い合わせページから飛び込んできてくれた、2020年卒の片岡玄太さん。
今回は、片岡さんがなぜセキュリティエンジニアを目指したのか、コロナ禍での新卒入社となったが苦労はあったか、そして今後の目標について伺いました!
片岡玄太(かたおか・げんた)さん
20年卒の新卒で入社して現在2年目。オフェンシブセキュリティ部のペネトレーションテスト課所属。普段の業務は社内のネットワークに対するペネトレーションテストや、OSINT(公開情報)から侵入につながる経路の情報が得られないかといった業務を担当。
仕事をするなら自分がカッコいいと思える仕事をやりたい
--片岡さんは、大学時代はどんなことを学んでいたのでしょうか?なぜセキュリティエンジニアだったのでしょうか?
大学時代は情報系の学部でプログラミングやネットワークなど基礎となる部分を広く学びました。セキュリティに特化した講義はありませんでしたが、実際に手を動かしてサーバ、ネットワーク構築について学びました。結果的に攻撃の検証環境の構築や攻撃対象の環境について調査する上で自分のベースになっています。
セキュリティエンジニアを目指そうと思ったきっかけは、学生時代に見た海外ドラマに出てくるハッカーでした。仕事をするなら自分がカッコいいと思える仕事をやりたいと思い、自分の中でのカッコいいイメージはハッカーだったので、そこに迷いはありませんでした。
--イエラエセキュリティを選んだ理由を教えてください。当時は新卒や未経験の求人は出していませんでした。どうして問い合わせてみようと思ったのでしょうか。
"ハッカーになりたい"そう思って、調べていたら「ペネトレーションテスト」という仕事があることを知りました。ペネトレーションテストをやっている会社のWebサイトをいろいろ見ましたが、当時は業界のことが何も分からず違いが分かりませんでした。その中でイエラエセキュリティのWEBサイトは一番スゴそうに見えたんです。まぁ一目惚れですよね。
ただ、採用ページを見たら必須要件に業務経験のある中途採用しか募集していなくて諦めかけたんですが、推奨する要件に「OSCP」と書いてあって、調べてみたらOSCPはセキュリティの資格で学生でも取れることが分かりました。これを取れば業務経験が無くても、なんとか交渉には持ち込めると思って、OSCPを取得することにしました。
--セキュリティ業務経験がない中で、OSCP取得はご苦労されたと思います。
セキュリティのことが何も分からないので、最初は本当に苦労しました。基本的なテクニックが書いてある教材は一応もらえるんですが、全部英語なので分からないことがあると、技術を理解できてないのか、誤訳してしまっているのかも判断が付かず大変でした(苦笑)。
ただ勉強は本当に楽しかったです。世の中にこんなに楽しいことがあるんだと思ったくらいです。僕は読んで勉強するより、手を動かしてから疑問に思った部分を調べていくほうが好きなので、これは自分向きだなと思いました。資格の勉強中は、大学の研究室にずっと泊まり込んで、お風呂は3日に1回、食事は1回で1日分を食べ、力尽きたらソファで寝て毎日OSCPの勉強だけをしていました。
はじめに攻撃を試せるラボ環境を与えられて、そこで実際に脆弱性を探索して攻撃の練習を行います。試験は24時間で5台のマシンをハッキングし、その後次の24時間で攻撃内容をまとめた報告書を提出します。資格取得までは計4ヶ月かかりました。大学院1年生の11月から取り組み始めて、翌年3月にようやく取得でき、その直後にイエラエセキュリティに問い合わせました。
日本のトップレベルの方々と働けるのは最高の経験
--コロナ禍での入社でしたが、苦労はありましたか。
僕は、入社する半年前(2019年の夏)からイエラエセキュリティでアルバイトをしていて、課内のメンバーとご飯を行ったりして馴染んでいたこともあって、特に苦労は無かったですね。イエラエセキュリティでは、アルバイトでもリモートワークができるので、入社時点でリモートワークにも慣れていました。僕はオフィスでコミュニケーション取りながら働くほうが好きですけどね(笑)。困ったことがあれば、スラックでコミュニケーションを取り、教えてもらっています。
コロナは関係ありませんが、一番苦労したというか困惑したエピソードがあって、アルバイト初日にいきなり何かの機器に接続されているLANケーブル(何に接続されているかは自分からは見えない)を渡されて「これをハッキングしろ」って言われたことですね。よくわからない機器の侵入が僕のスタートでした。(笑)
--片岡さんの現在の業務を教えてください。
ペネトレーションテスト課で主に取り組んでいる業務は、「疑似マルウェアを利用した内部ネットワークのペネトレーションテスト」と「OSINT」です。疑似マルウェアを利用した内部ネットワークのペネトレーションテストは、いわゆるソフトウェアの脆弱性だけでなく、運用不備や設定漏れ、またそれらを組み合わせていきます。
1つの脆弱性だけでは大して悪用できない場合、あるいは脆弱性を利用するためには難しい条件が必要な場合があったりしますが、それらを組み合わせていくことで難しい条件が満たせたり、大きく影響を及ぼせたりするので、攻撃方法や経路を探していくのが面白いです。
OSINTは、まず対象企業の管理資産を探します。規模の大きい会社になると、自社の資産でも管理しきれていないサーバがあることがあります。こういうものをひたすら探して、本当に自社管理のものなのかということを確認してもらい、今度はそれらに侵入する、あるいは情報を奪取するにはどうすればいいかを調査していきます。意外と簡単に管理ページにログインできてしまったり、そもそも接続の制限がなかったりする場合もあって、セキュリティの観点からもIT資産管理は大事だと感じています。
攻撃者と同じ観点で攻撃を行うので、基本的にシステムの情報は最低限だけ与えられた状態でテストを開始することが大半です。そのため、一からこの環境ではどんな端末が動いているのか、どんなアカウントがいるのか、どんな運用がされているのかを調査、推測しながらテストします。そうした作業を進めていく中で環境の全体像や人のオペレーションの動きが浮かび上がってくるのが面白いですね。
--業務をする上で何か工夫しているポイントはありますか?
初めの頃は、先輩のサポートとして一緒に業務に入り、先輩の業務を見て学んでいました。他の人の作業を見ていると、なぜそれをやるのか意図を考えることが勉強になるんです。作業後のログを見ては調べて、整理して、いわゆる「模倣」をしていました。
イエラエセキュリティに入ろうと思った理由でもありますが、ど素人がいかに早く上に上り詰めるにはどうしたら良いかと考えたら、日本のトップレベルと働くのが一番手っ取り早い。そこから吸収するのが一番良いと思います。そういう意味では、日本の上位層の方々と働けるのは僕にとって最高の経験ですね。
あと皆さん優しいですね。始めは舐められたら終わりだと思って分からないことがあっても質問せず、後で、こっそり自分で調べることがよくありました。でも一緒に働いていく中で、初歩的な質問でも丁寧に答えてくれるし、逆に僕の提案もちゃんと話を聞いてくれて、良ければ採用してくれるとわかったので、今では素直になんでも話しています。多分僕が課の中で一番お喋りですね(笑)
技術の向上だけでなく人間性も養いたい
--今後取り組みたいこと・目指していることについて教えてください。
今は初めてペネトレーションテストを行うお客様が多いので比較的シンプルな攻撃シナリオが多いのですが、2回目3回目となるとシナリオが複雑になることや、別の観点からの攻撃をやっていくことが増えていくと思っています。その時に、よりお客様にとって意義のある最適なシナリオ設計、提案ができるようにしたいと思います。
技術面では、適応力の強化ですね。実際テストをやっていると、今まで使ったことがないソフトウェアやプロトコル、見たことがない構成等にその場で対応する必要があります。とにかく経験を積むことで自分の引き出しをどんどん増やして適応力を強化していきたいです。あと、ペネトレーションテストはセキュリティ製品の検知との戦いになってくるので、回避のテクニックを身につけていきたいですね。
それから、自分の上司であるルスランさん(部長)や、村島さん(課長)は技術的に優れているだけでなく、コミュニケーション能力も優れています。ペネトレーションテストのゴールは、"攻撃を成功させること”だけではなく、攻撃を成功させた後に“なぜ成功したか”、”どの部分が問題か”をお客様に正確に伝えることだと思っています。そういう意味では、この二人はお客様の意図を汲み取って的確な対応をしています。技術的にも人間性的にもこの二人を目標にして日々働いています。
--最後に、イエラエセキュリティに興味を持って下さった未経験や新卒の方向けにメッセージをお願いします。
僕は、かなりレアパターンの入社経緯なので参考になるかは分からないんですが、イエラエセキュリティは技術を突きつめていく会社なので、興味を持ったなら自分が本当にそれを好きか確かめた方が良いと思います。まずはたくさん手を動かしてみて楽しいと思えるか、それが楽しいと思えたなら技術は勝手に身についていくんじゃないかなと思います。
最近は、僕の時にはなかった新卒向けの説明会やMeetupも開催されていて、無理やり新卒採用の窓口をこじ開けなくても公式に門が開かれているので(笑)、興味がある方はまずはそこで話を聞いてみると良いと思います。ご縁があればそこからバイト採用もあるみたいなので。
イエラエセキュリティは、本当にいい意味で形式にとらわれない会社で、バイトにもチャンスを与えてくれるので、興味があるなら突っ込んでいいと思います。僕も最初は、こんなすごそうな会社に入ってやっていけるのかなとは思いましたが、チャレンジせずに諦めるより、チャレンジしてなんとかしようと思いました。興味ある人はどんどん声かけていただきたいですね。会社的にも今まさに大きくなろうとしている時期なので、一緒にイエラエセキュリティを大企業にしましょう!