この仕事は、ネット上の頭脳戦。セキュリティエンジニアとして企業と社会を守る

大学で情報工学の道に進み、幅広く情報について学ぶ中で、サイバーセキュリティの面白さに引き込まれた新入社員の加藤さん。セキュリティの世界に進路を決め、KDDIのWILLコースのセキュリティエンジニアとして入社した理由や仕事の面白さ、将来の展望について伺いました。

KDDIでは、初期配属領域を確約するWILLコースと、初期配属領域は希望と適性を踏まえ決定していくOPENコースの2コースで、コース別採用*を行っています。セキュリティエンジニアの業務は、セキュリティ監視・運用や監視システムの開発、セキュリティ対策の強化、先端研究など多岐に渡ります。

コース別採用についてはこちら

■インタビュイー略歴

加藤誠也: 技術統括本部　情報セキュリティ本部　システムセキュリティ部　運用管理グループ
2021年度 WILLコース：セキュリティエンジニアとして入社

漫画やドラマのようなセキュリティの世界へ

「セキュリティ」という分野に進路を決めた経緯は？

大学では情報工学の学科に進んだのですが、ネットワークやデータベースなどさまざまな情報系の講義を受ける中で、最も「面白い！」と感じたのがセキュリティでした。これまで漫画やドラマで見ていたサイバー戦争のような世界が現実にあることに驚き、強く興味を引かれました。かつ、通っていた大学ではセキュリティの先端研究が行われていたので、大学院ではより深いセキュリティの研究を始めることになりました。

大学院ではどのような研究をされていたのですか？

大学院では、脆弱性があり攻撃されやすいシステムを外部に公開し、サイバー攻撃の観測を行うシステム「ハニーポット」の研究を行っていました。この研究で自分が書いた論文「広域スキャンで収集した応答を用いた全ポート待受型Webハニーポット」は、ありがたいことにコンピュータセキュリティシンポジウム2019 最優秀論文賞を受賞しました。

受賞された論文はどのような内容ですか？

インターネット上の攻撃者は、攻撃対象かどうかを確認してから攻撃してくるので、実際の攻撃を観測するのが難しいという課題がありました。加えて、昨今はインターネットに接続されている機器の種類が非常に多いので、すべての機器に対応できるハニーポットが作れないという課題もあります。そこで、論文ではインターネットに無数にある機器を真似たハニーポットを立てて、コストをかけずに多様な攻撃を観測する仕組みを提案しました。

KDDIはセキュリティエンジニアとしての可能性が広がる

数あるセキュリティ関連企業の中、KDDIを選んだ理由は？

大学でセキュリティの面白さに目覚めて進路を決めたものの、さらにセキュリティの中でどの分野に進むべきか定まっていませんでした。セキュリティだけの専門会社もあるのですが、ある分野に特化した会社が多く将来の道が広がるイメージが持てなかったところに出会ったのがKDDIです。

通信事業者のKDDIは、アプリケーションやネットワークなどの様々なサービスを提供しており、セキュリティを考慮すべき事業分野が幅広いため、多様なキャリアを形成できると感じて選択しました。そして、やはり決め手は、WILLコースでセキュリティ部署への配属が確約されていたことですね。

所属するシステムセキュリティ部の業務内容は？

システムセキュリティ部では、KDDIをサイバー攻撃から守るためのさまざまな活動を行っています。具体的には、弊社を狙った攻撃を検知・対応するためのシステムの開発や管理、運用を行う業務、観測されたサイバー攻撃の影響調査や攻撃を受けた恐れのあるシステムの担当者への連絡などのインシデントレスポンス業務、au PAYなどアプリケーションサービスをサイバー攻撃から守り、安全に提供するためにサービスの監視や監査を行う業務があります。

加藤さんご自身の業務内容を教えてください。

私の業務は大きく3つあります。1つ目が、新たな脅威に対応するための「セキュリティ監視システムの導入」です。サイバー攻撃は常に変化しており、監視システムも対応したものに変えていく必要があるため、新たな脅威を検証できる環境を構築し、検知可能か評価しています。検証作業では、さまざまな製品やサービスに触れますし、あわせて検証用システムの構築なども自身で行っています。セキュリティの知識だけでなくサーバーやネットワークの知識なども身につけられ、技術力向上につながっています。

2つ目は、「既存のセキュリティ監視システムの改善」です。私は、その一環として監視ネットワーク全体を整理し、問題点の洗い出しを行っています。セキュリティ監視システムの構成は大規模かつ複雑で理解しにくい部分があるため、自分なりに情報を整理してまとめています。全体を俯瞰して見ることで課題を見つけて改善することができますし、新規システムの導入にも役立っています。

３つ目が、「Web改ざん検知」です。弊社のWebサイトを外部に公開する際に、Webページの情報を定期的に監視して改ざんがないか検知するシステムの運用をしています。各Webサイトの担当者とやり取りしながら、新たにサービスを開始するWebサイトなどを監視対象として登録する業務を行っています。

会社全体のセキュリティネットワークが分かる面白さ

加藤さんが最もやりがいを感じる業務は？

セキュリティ監視システムの運用改善です。もともと企業や組織のセキュリティの全容が知りたくてセキュリティエンジニアになったところもあるので、監視システムの全容を把握することのできる運用改善はとてもおもしろいです。また、全体像を机上で捉えるだけでなく、サーバールームで実機に触れながらセキュリティ機器のチューニングを行ったり、調査した上で気になる技術を検証環境で試したりしています。これらの業務は自身の技術力を高めることにもつながっているので、非常にやりがいを感じています。

業務の中で、大変だなと思うことはありますか？

他部署の方にセキュリティの重要性を理解していただくことです。例えば、「Web改ざん検知」業務で他部署のシステム担当者に対応を依頼することが多いのですが、こちらの意図が正しく伝わらず、十分な対応をしていただけないことがあります。相手にわかりやすくセキュリティが大事だということを伝えるために、メールの書き方や電話での言葉の言い回しなどを気を付けなければならないので大変だと感じています。

加藤さんの部署の雰囲気はいかがですか？

和気あいあいとして、話すのにも気を遣いすぎなくて良いので、快適な職場です。週に数回出社して、ミーティングをしているので色々話せています。テレワークの場合でも、オンラインでみんなが常駐するトークルームがあるので気軽に質問もできますし、コミュニケーションが取りづらいと感じたことはないですね。また、他社で技術を学ばれてきた、技術やシステムに詳しい上司・先輩がいらっしゃるので、業務で困っても質問をすればすぐに解決できます。

企業のセキュリティロールモデルを作り上げたい

どのようなキャリアアップを考えていますか？

将来的には、自分でセキュリティ監視の在り方をより良いものに変えていきたいです。そのために、まず今の監視システムの保守運用を経験しながら、セキュリティやシステムの技術を身に付けて、監視業務に関わる新規施策の企画や運用改善の提案ができるようになりたいです。

KDDIは主体的に提案すれば、社内で採用してもらえる環境なので、近い将来可能だと思っています。やる価値があったら、なんでもやってみなさいという風潮があるのは嬉しいですね。

セキュリティエンジニアとして、今後挑戦したいことは？

システムの監視にとどまらず、企業全体のセキュリティを整備して、最適なコストで攻撃へ対応できる“企業のセキュリティロールモデル”を作り上げたいと考えています。そのロールモデルをグループ会社に共有し、KDDIグループ全体のセキュリティを高めていきたいです。そして、企業のセキュリティロールモデルを作り展開していくことで、社会全体のセキュリティを高め、最終的に攻撃より防御優位の世の中を実現していきたいと考えています。

採用サイトはこちら

この仕事は、ネット上の頭脳戦。セキュリティエンジニアとして企業と社会を守る