ココンの情報をいつでも、どこでも。ココントコ。

インタビューエンジニア働き方 2019.05.16

イエラエ福岡オフィスで働くエンジニアインタビュー

広報の馬場です。
イエラエセキュリティでは、事業拡大に伴い2019年2月より第4の拠点として福岡にオフィスを開設しました。福岡は近年IT系の企業が多く進出しているだけでなく、シェアオフィスやコワーキングスペースも増加しておりスタートアップやフリーランサーにとっても魅力のある街。勉強会やコミュニティ活動も活発に行われているそうです。今回は、福岡オフィスのリーダーである大木さんに、福岡オフィスで行っている診断業務、脆弱性診断の面白さ、今後の展望についてインタビューしました!

 

確実に脆弱性を見つける職人の目と感性

–最初に福岡オフィスでは、現在どのような業務を担当されているのか聞かせてください。

福岡オフィスでは、ウェブサイトの脆弱性診断業務を中心に行なっています。診断の対象としては、例えば通信販売などのECサイトや企業のコーポレートサイトまたは採用ページなど、様々な情報が入力されたり蓄積されたりするものが多いです。そういったウェブサイトに対して、実際にハッカーが攻撃に用いるような値を送って情報が取れるか、想定していないような動作を引き起こすことができるかといった観点での診断を行っています。

–脆弱性診断は専門性の高い業務ですが、大木さんにとって面白さを感じる瞬間を教えてください。

利用者目線で、どう見たって安全だろ?と思えるサイトでも、ちょっとした設定ミスで情報が抜けてしまう、というものをうまく導き出したときに面白さを感じます。複数の要因が絡み合って「普通じゃ絶対見つからないよね」というものは実は結構あるので。最初からバレバレのものを見つけるより、もしかしたらあるかもしれないというヒラメキがうまく刺さったときですね。そう言った意味ではパズルの感覚に近い要素があると思います。
また、ただ単に脆弱性を見つけただけではなく、ちゃんとそれに対してどうしたら良いかをなるべく具体的にクライアントに伝えて、それが直った時には「やって良かった!」と思いますね。

–脆弱性はどのようにして発見しているのでしょうか。

ウェブの脆弱性診断では、その多くは過去の蓄積の中で“枯れた分野”みたいなのが存在していて、誰がやっても同じような結果になるような部分があります。そういったところに対しては、スキャンツールを使って検証していきます。それに加えて、日々の研鑽の中で新しいテクニックなどを内部で共有しながら、さらに掘っていくという2段階のやり方をとっています。脆弱性診断業務は未知の脆弱性を見つけることも重要ですが、その一方で“枯れた分野”と言われるものを見落とさないようにする「網羅性」がとても重要になります。いくらすごいものを見つけられたとしても、穴だらけだと全然だめなので…。確実に見つかるものは確実に見つけていく、いわゆる職人の感性としてはそちらの方に重要性と責任を感じていますね。
個人的に好きな脆弱性は、OSコマンドインジェクションとか、XSS、SQLインジェクションと言われるような技術サイドの脆弱性というよりは、権限系と言われる問題が好きですね。例えば、自分の登録ページを見た時に、末尾に「ID=4800」って書いてあったとすると「4799」って試してみたくなるじゃないですか(笑)。そうした際に、もしかしたら別の人のページが表示されるかもしれない。実際に表示されてしまうものも数多く存在しています。これが権限系の問題の典型なものの一例になります。そういうところって、技術的な要素は無いけれど、「匂い」を掴まないとツールでは絶対に見つからないところなんです。もしかすると他の値と組み合わせてそのようになっている可能性もあるので、ある程度当たりをつけて見にいくというような経験則に近いものも必要ですね。

 

セキュリティエンジニアは技術だけでなく、社会を知ることも必要

–一口にウェブの脆弱性診断と言っても様々な業界・用途のウェブサイトがありますよね。

その会社が何をしている会社か分からないと、そのサイトの目的が分からないことが結構あります。特に業務システムと呼ばれる分野が典型的ですね。BtoBで使われるようなシステムは、単語や用語の意味が分からないことが多々あるので、我々診断員は技術を知ることと同時に社会を知らないといけないと思っています。自分の知らない領域の話も日頃から興味を持っておかないと、いざやろうとした時に「よくわからない値」が出てきても、それが正しいことなのかマズいことなのか判断すらできませんし、お客様とも共通用語がないと会話もできません。

–その業界で初めて診断を担当する時は、事前に業界の周辺情報や業務用語も調べた上で着手されるのですね。

中には業務をしながら調べるものもありますが、ログインとかページを開くという動作は、なんら普通のウェブサイトと変わらないのでそういったところは事前に調べつつ、自分の理解が及ばない部分をリストアップして空き時間に調べておきます。調べても分からないことはお客様に聞くしかないのですが、せめて自分で調べて分かることは調べて、理解してから取り組むようにしています。

 

福岡で開発・セキュリティ関係者との交流を積極的に広げたい

–今後の展望を聞かせてください。

僕個人としては、まずは診断の領域自体を自分の中に再構築することを最優先に、やり方や診断ノウハウなどを吸収していく過程で改善点があると思うので、そういったものに対して改善提案をしていきたいです。診断業務は診断員にとってなるべくラクな状態であって欲しい。人間って1日にできる判断の回数には限界があるので、例えば基準を作るとかなるべく悩まなくて良い環境にして、その分考えるべきところでしっかりと考える、という力の入れ替えができる状態が理想と考えています。ラクをするというと“手を抜く”という風にも見えますが、そうではなくて、かけるべきところにしっかりとリソースをかけられる状況を作りたいですね。そうすることでみんなのパフォーマンスが上がることにつながると思うので。
もう一つは、新しいカテゴリーの診断業務を覚えたいですね。例えば、ネットワーク診断やスマホのアプリ診断といった方面においても学習を進めていきたい。こういった診断技術は、ただネットで調べたからといって手に入るものではなく、実際に動いている案件を見ないと習得できないものなので。そう言った意味では、イエラエセキュリティはウェブ診断だけでなくネットワーク診断やスマホアプリ診断も行なっているので、技術を吸収していきたいです。

体制面では、現在は4名ですがセキュリティエンジニア10名程度を一つの目標にしています。そうすることで、新しいことにチャレンジする時間や、改善の取り組みができるようになります。

また、イエラエセキュリティがせっかく福岡に拠点を出すことの意味として、開発系・セキュリティ系の人たちの交流を広げてお互いに切磋琢磨できると良いと考えています。福岡はウェブ系の開発企業が多いので、例えば合同で勉強会を開催してお互い持っているものを出し合えれば、福岡でよりセキュアな開発が広がって合っていくことにもなるので、今後はそういった活動の方にも動けたらと思っています。

イベントインタビュー広報 2019.06.13

「Interop Tokyo 2019」参加レポート!近未来の技術に触れられる“ShowNet”とは

広報の馬場です。 幕張メッセにて6月12日(水)から14日(金)まで開催されている「Interop Tokyo 2019」…

イベント広報 2019.05.22

PHDays 9 現地レポート

広報の馬場です。 現在、ロシア・モスクワで開催されている情報セキュリティカンファレンス「Positive Hac…

イベントエンジニア 2019.05.17

ペパコンナイトを開催しました

2019年5月13日(月)にペパボ研究所とココン技術研究室との共同研究成果の発表会であるペパコンナイトを開…