连载《日立人》
日立的“白帽黑客”们培养网络安全人才的理由

作为“白帽黑客”活跃的米光一也

随着新型冠状病毒的感染蔓延，越来越多的企业开始推进以数字技术让事业发生变革的“DX(数字化转型)”。但是，在我们获得远程办公的普及等诸多好处的同时，受到网络攻击的风险也在增加。比如会发生由于操之过急地整顿了远程办公环境，导致服务器管理等不完善，有的公司的系统甚至出现了遭到网络攻击的情况。

在这种情况下，一群被称为“白帽黑客”的人们备受关注，他们通过检查各种系统的漏洞，寻找应对网络攻击的对策。日立解决方案安全专业中心的米光一也就是其中之一。他在负责安全相关工作的同时，还致力于培养下一代白帽黑客。为什么要培养白帽黑客呢？我们对米光先生的活动进行了采访。

挑战全球黑客大赛

在研究生时代，米光先生就对让CD不被非法复制的“复制控制CD (CCCD)” 技术产生了兴趣，立志走上网络安全防护之路。2000年他进入日立解决方案公司，一直负责用于安全对策的系统开发和网络安全咨询工作。

在此后的16年里，他凭借在网络安全相关业务方面的经验，被提拔为团队负责人，并在公司内召集优秀的工程师，将他们培养成拥有更高技术的安全工程师。

“这是一个以‘集合网络安全专家’为理念成立的团队，但是为了向外界展示自己的技术，如果没有某种证明的话是没有说服力的。于是，我参加了名为“DEF CON CTF”的全球黑客竞赛，我想如果在这样的竞赛中取得了成绩，就有很强的说服力了。”

米光的团队从2014年开始参加DEF CON CTF

“DEF CON CTF”黑客竞赛在今年迎来第29个年头。该赛事每年在美国的拉斯维加斯举办，聚集了来自世界各地的黑客。为了发掘优秀的人才，各家企业以及CIA等政府组织的招聘负责人也会关注这个活动。

比赛采用团队制，积分最多的团队获胜。预赛是问答形式，历时48小时。题目是关于黑客的问题，通过找出隐藏在问题中的名为“Flag”的关键词来获得积分。在决赛环节，每个团队通过黑客的方式，互相攻击对方的网络并进行自我防御，更加具有实战性。

这个竞赛不仅需要黑客技术,还需要密码学（cryptography）、代码分析、逆向工程、移动安全等多种多样的知识和经验，因此，拥有多领域专业知识的团队更为有利。

米光先生的团队在2014年首次参加了“DEF CON CTF”。虽然在1500个队伍中排名第224位表现不佳，但之后经过反复训练，在2017年跃升至第63位，取得了飞跃性的进步。之后也一直名列前茅，在日本参赛的队伍中排名前10名，是目前最强的团队之一。米光先生谈到“DEF CON CTF”的吸引力时，这样说道：

“‘DEF CON CTF’是认可对网络进行攻击或入侵的一种比赛，对公平性和正确性不过多计较，有一种“不论方法，只要解开谜题就能获胜”的乐趣。而在问题中加入玩笑和计谋，也正是不法者众多的黑客文化所独有的。”

建立强大团队的难度

接受采访的米光

就这样，米光先生的团队现在已经进入了强队的行列，但迄今为止的道路并不好走。

在建立强大团队的过程中，首先面临的难题就是难以召集成员。“DEF CON CTF”的预赛，是一场持续48小时的持久战，并且都是挑战一些难以找到头绪的难题。为了长时间战斗下去，需要在更换成员的同时保持专注，在没有人数限制的预赛中，成员多的一方比较有利。

米光先生和身边优秀的工程师一起组建了团队，但人数太少不足以支撑长时间的竞赛。此外，原本打算招入团队的优秀工程师也转职了，米光先生在招募成员方面陷入了困境。

“在日立解决方案公司有一位曾经在强队工作过的员工。当时，我本来打算让他加入的，但跟他商量的时候，他已经决定换工作了。在缺少关键人物的情况下，怎么才能取得好成绩呢？我当时非常焦虑。”

要建立一个更强大的团队，必须提升团队整体的能力。“DEF CON CTF”的正式比赛中会被问到很多问题，如果不了解最先进的技术是无法解答的，所以，必须平时就积累各种知识，比如调查研究最新的技术，或者浏览国外发表的论文等。

为了组建强大的团队，该如何招募优秀的工程师，又该如何提高成员的技能呢？米光先生的努力开始了。

“在比赛中提出的问题，有一些需要要花10个小时以上才能解决。我们面临的课题是，如何在团队中培养出能解答这样的难题的人，或者是增加具备这样能力的新人。”

为了组建强队需要做的事

一边进行日常工作，一边继续组建团队的米光

为了解决眼前成员短缺的问题，米光先生从以提高员工技术能力为目的而举办的安全竞赛的参加者中发掘优秀的工程师。米光先生和那些取得好成绩的、有潜力的员工进一步交往，并邀请他们加入团队。

“公司内首次安全竞赛从2017年开始举办，日立集团全体都参加了比赛。这样大范围召集人才的话，就会出现有优秀技术的人。我们向这些人发出邀请，希望他们加入我们的团队。”

另外，为了提高团队整体的技能，我们创造了一个良好的工作环境，能够充分确保成员有磨炼技术的机会和时间。

“优秀的工程师都希望有一个能够专注于自己感兴趣的技术的环境，因此，我们致力于为他们创造一个能够专注于工作的场所。我也知道他们对什么工作内容不感兴趣，所以我把这些工作都揽到了自己身上。”

就这样米光先生的团队从零开始成立，初次参加“DEF CON CTF”后，仅仅用了2年的时间已经成长为能和世界顶级强队势均力敌的队伍。

在公司内外努力培养网络安全人才

培养未来网络安全人才的米光

米光先生说，作为团队一起挑战“DEF CON CTF”的乐趣是“解开难题时那瞬间的感动”。他说，当伙伴们花时间解开难题，团队的闭塞感被打破的那瞬间，“内心仿佛燃烧起来”。

“有时很多人一起解答一个问题，但怎么也找不到答案，气氛就会变得沉重。此时，突然有团队成员灵光一闪给出了正确答案。困住自己的难题是如何被找到了正确答案啊，这个过程让我感动。”

米光先生现在在参加“DEF CON CTF”之余,一边作为大学讲师传授网络安全技术相关的知识，一边作为信息处理技术人员考试的委员参与国家考试的出题等。并且他还积极致力于培养年轻的工程师。

“工程师一旦热衷于钻研技术就会像在玩耍一样开心。也就是说,如果这个技术对他人有用，就相当于让自己快乐的同时还为社会做出了贡献。这不是很棒吗？我想告诉大家这样的感觉。”

米光先生相信，忘记时间，“像做游戏一样掌握技术”的工程师，像这样被培养起来的网络安全人才能够成为保护社会免受网络攻击风险的守护者。米光先生在公司内外培养下一代网络安全人才的行动今后会继续发展下去。