【徳丸浩×LINE志賀遼太】セキュリティにはブラックボックスを解き明かす、パズル的な面白さがある

世の中ではIoTや仮想通貨が流行る一方で、いま再びセキュリティの重要性が取り沙汰されています。

長年セキュリティの第一線で活躍し、ブログ、講演、勉強会などを通じて広く啓蒙活動を行いセキュリティ界を牽引する、徳丸浩氏と、学生時代からセキュリティの魅力に引き込まれ、競技では世界大会で活躍する新進気鋭の若手エンジニア、志賀遼太氏。

世代も価値観も違う2人の対談から、セキュリティの面白さやセキュリティ界隈の動向、リテラシー問題など、セキュリティの今までとこれからを紐解きます。

セキュリティの道へのきっかけは純粋な興味か、必要性か
「いろいろな分野を勉強できるのが面白い」セキュリティの魅力
セキュリティを社内で実施する強みとは
セキュリティに対する意識はどう変わった？
対談者プロフィール

セキュリティの道へのきっかけは純粋な興味か、必要性か

志賀遼太氏（以下、志賀）: 大学2～3年の頃に当時関わっていたベンチャー企業の方に誘われて、mixi主催のScrap Challengeというイベントに参加したんです。脆弱性チャレンジを体験して、「結構面白いな」と興味を持ったのがきっかけです。

▲LINE株式会社セキュリティ室アプリケーションセキュリティチーム志賀遼太氏

徳丸浩氏（以下、徳丸）: おお！そのイベントは私もゲストで参加しました。
私の本に書いたようなことが出題されていたと思います。それでそのままに仕事に？

志賀: そうですね。それ以来セキュリティ系の大会に参加するようになって、大学でもセキュリティ研究室に入って、そのままセキュリティエンジニアとしてLINEに就職しました。

徳丸: すごい！ネイティブ・セキュリティエンジニアといった感じですね。
私の世代やその下の世代では、そもそもセキュリティエンジニアの領域がそれほどなく、開発やインフラ出身の人ばかりでした。

▲EGセキュアソリューションズ株式会社代表取締役徳丸浩氏

徳丸: 私がセキュリティに関わり始めたのは、1999年にガラケー向けのアプリケーション開発に携わった時からです……ガラケーって、わかりますか？

志賀: わかります、わかります（笑）。99年だと、僕は6歳ですね。

徳丸: 当時のガラケーで、携帯電話の通信料金にコンテンツ料金を乗せて回収代行できる仕組みというのはすごく画期的だったんです。そこで課金基盤の開発に携わったのですが、認証や課金の仕組みにはセキュリティが特に重要ですよね。
でも情報がほとんどなく、自分で取り組み始めたというのが始まりです。

そのうちにもっともっと手を動かしてセキュリティについて知りたいという思いを持ったのですが、当時は私が事業部長でマネージメントをしないといけない立場でした。そこで2008年に独立して、セキュリティを仕事にしました。

志賀: マネージメントの立場から現場に戻るのはすごい決断ですね。当時はセキュリティをやる人がそれほど多くない時ですし、本当にセキュリティを面白いと思っていたんですね。

徳丸: そうですね、僕らの時代でセキュリティをやっていた人間は変わり者が多かったと思いますよ（笑）。
なので、セキュリティ・ネイティブな世代が増えてきたのは喜ばしいことです。

「いろいろな分野を勉強できるのが面白い」セキュリティの魅力

志賀: 僕自身は、セキュリティ自体が面白いというよりは、セキュリティをやっていると色々な分野を勉強できることが面白いと感じています。

例えばCTF（※）では、バイナリとか実行ファイルとかOSとか、どうなっているか全部見る必要があるのが面白いです。

※CTF…プログラミングコンテストのセキュリティ版。Capture the Flag。

徳丸: CTFに参加されているんですね。

志賀: 学生時代からCTFに参加しています。今は10人くらいのチームを組んでいて、年間10回以上は大会に参加しています。2017年の6月には世界中のトップチームを招待して開催された中国のWCTFに参加して2位、Google主催のCTFでは5位になりました。

⇒ 参考: WCTF 2017 参加レポート（LINE Engineering Blog）

志賀: WCTFは平日3日間の開催なので無理だと思っていたんですけど、上司がいつの間にか知っていて「行かなくていいのか」と。業務の一環として参加させてもらいました。

徳丸: いい会社ですねえ（笑）。

徳丸: CTFだとクイズみたいな感覚で面白いですよね。でもCTFでやるセキュリティと仕事でやるセキュリティは、根は一緒だけど結構違うものではないですか？

志賀: 活かせる部分はありますけど、全然違うものですね。仕事ではそもそもあらかじめ対策しようというのが大事で、その奥まで行く技術はあまり使わないですからね。脆弱性診断で対策の隅を突いてくぐり抜けた時なんかは役に立ったなと思いますが（笑）。

徳丸: 僕がセキュリティに傾倒していった理由も似ていると思います。セキュリティにはブラックボックスを解き明かすパズル的な面白さや、そもそもなんでこんな攻撃ができるんだろうという知的好奇心をくすぐる部分があるんですよね。

志賀: でも最初からセキュリティだけを専門にすることには懸念があるのかなと思っています。「脆弱性や、その攻撃方法を知っているが、仕組みを理解できていない」ということになってしまって、元の構造や経緯がわからない人が増えるのはあまり良くない気がしています。

徳丸: それはセキュリティを専門にしている私自身の悩みでもあります。私は会社を立ててから最近の開発現場を見ていないので、いわば机上の空論な部分があるんです。もちろん予測は大抵当たりますが、セキュリティ会社の特性上、自社で経験してオススメするということは難しいんですよね。

セキュリティを社内で実施する強みとは

志賀: 僕の世代でいまセキュリティやってる人は、みんな開発に行こうとしています。セキュリティを勉強してても、セキュリティ分野に行かない人ばかりです。セキュリティを研究したらセキュリティいきたいと思うのが普通だと思うので、僕は変わり者ではないと思うんですが…（笑）。

徳丸: もともと僕も開発をやっていた人間なので、開発は面白いからセキュリティやれっていっても難しいよなと思ってしまうこともあります。弊社の面接では、「1日中BurpSuiteと向き合う仕事になりますけどどうですか」と話していて、「大丈夫、問題ないです」という人を採用しています…僕自身は、1日中はちょっと嫌かもと思いますけど（笑）。

志賀: 僕も1日中はさすがに飽きますね（笑）。僕はホワイトボックスでやっているので飽きずにやれていることもあるかもしれません。ソースコードを読んでアタリをつけてから、最後の検証でブラックボックステストを行っています。

徳丸: それは大きいですね。いわゆるグレーボックス的にやっているということですね。

志賀: 基本的に社内のソースコードには全てアクセス権限があるので、ここにこのコードを追加すれば直りますよというやり方が取れます。社内でセキュリティをやることのメリットは、ソースを辿ることができることかなと思います。

徳丸: それはすごく羨ましいです。依頼元にソースコードを見せてもらうことはあまりないので、基本的にブラックボックスでやっています。僕がやっていることの方がCTFに近いかもしれませんね。以前には、何かSQLインジェクションのような部分がなかなか解明できなくて、あとで調べてみたら前半だけバリデーションしていて後半はしていなかったというのがありました。

志賀: それは超能力的な判断が必要になりますね……。

徳丸: たまに天才肌な人はいますけどね。以前の面接で「得意技はバグ探しです」と言うのでどうやって見つけるのか聞いたら、「いや、なんかわかるんですよ」と。それはもう「採用」（笑）。ブラックボックスの中身が想像できるタイプでしょうね。

志賀: 天才肌だけど、こうあるべきっていう理想の仕様とか構造をよく理解しているんでしょうね。何か違和感を感じて、調べてみるとバグだったという。

セキュリティに対する意識はどう変わった？

徳丸: よく開発者コミュニティに顔を出すんですが、エンジニアのセキュリティに対する意識は随分変わったと思います。セキュリティ意識が高い層はかなり高くなっていて、下手すると「徳丸さんそんなんじゃダメですよ」と言われかねない勢いです（笑）。それに比べて、意識のない人は変わらず意識のないままです。

志賀: セキュリティ意識の差が激しいですよね。

徳丸: その格差をなんとかしたいというのが今の問題意識です。昔は平均してダメだったものが、より格差が広がってきていて、これはインターネットの安全の足を引っ張っているのではと思います。僕自身はずっとインターネットは自由なものとしてやってきたので嫌だなと感じますが、昔は建築基準法も運転免許もないことが当たり前だったように、インターネットにも規制や法律が入ってくるのではないかと思います。

志賀: IoTのセキュリティでも、かつてのウェブと同じ議論がされていますよね。

徳丸: 総務省が頑張っていますけど、ウェブ同様のセキュリティレベルに追いつくのに10、20年かかるのではないかと思います。何をしたらいいかはわかっているけど普及には時間がかかるという、インターネットが始まった頃と同じ道を辿るのではと。

志賀: LINEでも先日発表されたFinancial事業や、ClovaのようなIoT関連の事業など、会社のサービスの幅が多角的に広がってきています。そういう新しい分野に対応できる、新しい技術に対応できるエンジニアをもっと増やしていかないといけないのかなと思います。

徳丸: ソフトウェアのセキュリティ、脆弱性の成り立ちそのものに興味を持って調べる人が増えていくといいなあと思っています。かつてはリリースに合わせて徹夜で脆弱性を探して、ということをしていましたが、社長業もありますし、もうすぐ60に届こうというところで徹夜が厳しくなってきたので（笑）。私自身もいくつになっても手を動かしたいという気持ちは持っていますが、日本の若手にも頑張ってほしいです。

⇒ 後編「なぜ若者は情報発信しないのか？──それぞれの視点で語るセキュリティエンジニアのあり方」に続きます！

対談者プロフィール

▲LINE 株式会社セキュリティ室アプリケーションセキュリティチーム志賀遼太（しが・りょうた）氏
学生時代に参加したSecurityのContestでSecurityに興味を持ち、早稲田大学を卒業後、2016年 LINE株式会社に入社。脆弱性診断、設計Reviewなどを担当し、現在はAIアシスタント ClovaのSecurityなどIoT技術にも携わっている。

▲徳丸浩（とくまる・ひろし）氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現：EGセキュアソリューションズ）を設立。2015年　イー・ガーディアングループに参画。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」（日経BP社）「体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践」（ソフトバンククリエイティブ）がある。EGセキュアソリューションズ株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構（IPA）非常勤研究員。技術士（情報工学部門）。
徳丸浩の日記　/　Twitter: @ockeghem

取材・執筆：dotstudio, inc. ちゃんとく

大学までは文系で法学を学んでいたが「モノを作れる人」に憧れて知識ゼロからWebエンジニアの道へ。転職し現在はIoT中心のエンジニア・テクニカルライターとして活動。Node.jsユーザグループ内の女性コミュニティ「Node Girls」を主催。Twitter: @tokutoku393 / dotstudio, inc.