日立の人：日立の「ホワイトハッカー」がセキュリティ人財を育成する理由

新型コロナウイルスの感染拡大にともない、デジタル技術で事業を変革する「DX（デジタルトランスフォーメーション）」を推進する企業が増えています。しかし、テレワークの普及など多くのメリットを得られた一方で、サイバー攻撃を受けるリスクも高まっています。拙速にテレワーク環境を整備したために、サーバー管理などが不十分で、自社システムがサイバー攻撃にさらされてしまうケースも出ているのです。

こうした中、注目されているのが、さまざまなシステムの脆弱性をチェックし、サイバー攻撃への対抗策を講じる「ホワイトハッカー」と呼ばれる人たちです。日立ソリューションズ セキュリティプロフェッショナルセンタの米光一也さんもその一人。セキュリティ関連の業務を担う傍ら、次世代のホワイトハッカーの育成に力を入れています。なぜホワイトハッカーの育成に尽力するのか、米光さんの活動を取材しました。

米光さんは大学院生時代、CDを違法コピーから守る技術「コピーコントロールCD（CCCD）」に興味を持つようになり、セキュリティの道を志します。2000年には、日立ソリューションズに入社。セキュリティ対策用のシステム開発やセキュリティコンサルティングを担当してきました。

その後16年には、セキュリティ関連の業務に携わってきた経験が買われ、社内の優秀なエンジニアを集め、より高い技術を持つセキュリティエンジニアへと育成するためのチームリーダーに抜擢されます。

「“セキュリティのスペシャリストを集めたチーム”というコンセプトで立ち上がったチームでしたが、自分たちの技術を外に向けて示すためには、何かしらの裏付けがないと説得力がないですよね。そこで、『DEF CON CTF』という世界的なハッキングコンテストに参加して、そこで結果を出せば十分な説得力になると思い、『DEF CON CTF』に参加することを決めました」

米光さんのチームは、2014年よりDEF CON CTFに参加している

「DEF CON CTF」とは、今年29年目を迎えるハッキングコンテスト。毎年アメリカのラスベガスで開催され、世界中のハッカーたちが集結します。優れた人財を発掘するために、さまざまな企業やCIAなどの政府系組織の採用担当者も注目するイベントです。

大会はチーム制で、最も多くのポイントを稼いだチームが勝ちます。予選はクイズ形式で、48時間かけて行われます。ハッキングに関する問題が出題され、問題の中に隠された“Flag”と呼ばれるキーワードを見つけることでポイントを獲得します。決勝は、各チームが互いのネットワークにハッキングで攻撃・防御し合うといった、より実践的な内容となっています。

ハッキングの技術だけでなく、暗号学（クリプトグラフィー）、コード解析、リバースエンジニアリング、モバイルセキュリティなど、多様な知識や経験を問われるため、幅広い分野の専門知識を有するチームが有利になります。

米光さんのチームは2014年に、「DEF CON CTF」に初めて参加。およそ1500チーム中224位と成績は振るいませんでしたが、それから練習を重ね、17年には63位と飛躍的に順位を伸ばします。その後も上位に名を連ね、日本から参加したチームの中では10位以内に入るなど、今では強豪チームのひとつになりました。米光さんは「DEF CON CTF」の魅力について、次のように語ります。

「『DEF CON CTF』は、ネットワークに攻撃や侵入をすることが良しとされている大会です。公平さや正確さはほどほどに、『手段は問わないので、正解した人が勝ち』というおもしろさがあります。問題のなかにジョークやギミックが仕込まれているのも、アウトローな人が多いハッカー文化ならではですね」

インタビューに応じる米光さん

こうして今では強豪チームの仲間入りを果たした米光さんのチームですが、これまでの道のりは決して平坦なものではありませんでした。

強いチームを作る上でまず課題となったのが、メンバーを集めることの難しさです。「DEF CON CTF」の予選は、解答の糸口がつかめない難問に挑み続ける、48時間の耐久戦です。長時間を戦い抜くためには、メンバーを交代しながら集中力を維持する必要があり、人数制限のない予選では、メンバーが多いほうが有利です。

米光さんは、身近にいる優秀なエンジニアとともにチームを立ち上げましたが、長時間を戦い抜くには、十分な人数ではありませんでした。さらに、チームに迎えようと考えていた優秀なエンジニアが転職することになり、メンバー集めに苦戦します。

「強豪チームに所属したことがある社員が、日立ソリューションズに在籍していました。当時、その人の参加をもくろんでいたのですが、声をかけたときには転職することが決まっていたのです。キーパーソンが欠けた状態で、どうやって良い成績を残していけばいいのか、すごく焦りましたね」

さらに強いチームを作るために欠かせないのが、チーム全体のスキルを底上げすることです。「DEF CON CTF」の本戦で出題される問題は、最先端の技術を知らなければ解けないものが多いため、最新の技術を調べたり、海外で発表された論文に目を通したりするなど、日頃からの知識の蓄積が必要です。

強いチームを作るためにどうやって優秀なエンジニアを集めるのか、どうやってメンバーのスキルを向上させるのか。米光さんの奮闘が始まりました。

「大会で出題される問題の中には、解くのに1問10時間以上かかるものもあります。そういった難題を解ける人を、いかにチームの中に育てたり新たに加えたりするか。そういったところが課題でした」

通常業務を行いながら、チーム作りを続ける米光さん

目下の課題であるメンバー不足を解決するために米光さんが行ったのは、社員の技術力向上を目的に開催されるセキュリティ競技大会の参加者から、優秀なエンジニアを発掘することでした。米光さんは、良い結果を残した有望な社員と親交を深め、チームに勧誘していきました。

「社内初のセキュリティ競技大会を2017年から開催していて、日立グループ全体から参加いただいています。それだけ広い範囲から人財が集まると、優れた技術を持っている人も現れるんです。そういう方々に声をかけて、我々のチームに加わっていただくということを行っています」

また、チーム全体のスキル向上のために、メンバーが技術を磨くための機会と時間を十分に確保できる環境を整えました。

「腕のいいエンジニアは、興味のある技術にとことん没頭できる環境がほしい人ばかりなので、メンバーが仕事に没頭できる場所をいかに作り出すかに注力しました。また、彼らがどういった作業に興味を示さないかも分かっていたので、それらの業務は自分がうまく巻き取るようにしました」

こうしてゼロから立ち上げた米光さんのチームは、「DEF CON CTF」への初参加からわずか2年で、世界トップレベルの強豪と互角に戦えるまで成長しました。

未来のセキュリティ人財を育成する米光さん

チームで「DEF CON CTF」に挑むことの醍醐味は、「難問をクリアした瞬間の感動」と話す米光さん。メンバーが時間をかけて難問を解き、チームの閉塞感が打破される瞬間は「胸が熱くなる」と語ります。

「1つの問題を複数人で解くこともあるのですが、なかなか答えが見つからないと重い空気が流れます。そんな中、チームメンバーが突然ひらめいて正解することがあって。自分が迷い込んでいたものをどうやって正解まで持っていったのだろうと、感動させられます」

米光さんはいま、「DEF CON CTF」に参加する傍ら、大学講師としてセキュリティ技術に関する講義をしたり、情報処理技術者試験の委員として国家試験の出題に携わるなど、社外でも精力的に若手エンジニアの育成に力を入れています。

「エンジニアは技術に夢中になると、遊んでいるような感覚で楽しくなるんです。つまり、技術で誰かの役に立つことができたら、自分が楽しみながら社会に貢献できたということですよね。それって素敵じゃないですか。そういうことを伝えていきたいですね」

時間を忘れ、“遊ぶように技術を習得する”エンジニア――。そうやって育ったセキュリティ人財が、サイバー攻撃のリスクから社会を守る力になると米光さんは信じています。社内外で次世代のセキュリティ人財を育成する米光さんの活動は、これからも続きます。