【徳丸浩×LINE】なぜ、若者は情報発信しないの？─三世代の視点でセキュリティエンジニアを分析！

セキュリティ界を牽引する徳丸浩氏とLINEの新進気鋭の若手エンジニア志賀氏によるセキュリティ対談。後編は、二人の中間世代をセキュリティエンジニアとして活躍してきた、LINE中村智史氏を加え、世代によるセキュリティコミュニティの変遷、これからのセキュリティへの取り組み、人材育成など、より深掘りしたお話を伺っていきます！

コミュニティもコミュニケーションもクローズドな方向へ
セキュリティ分野は情報発信が難しい
事業が多角化するLINEのこれからのセキュリティへの取り組み
セキュリティエンジニアに向いているタイプとは
セキュリティに携わるそれぞれのモチベーションのあり方
対談者プロフィール

あなたの知らない自分を発見できる。「グッドポイント診断」（無料）

コミュニティもコミュニケーションもクローズドな方向へ

中村智史氏（以下、中村）: 前回の二人の対談を聞いていて世代にギャップがあるなと感じていたんですが、私はちょうど徳丸先生の世代と志賀君ら若手世代との、ちょうど中間世代なんです。

▲LINE株式会社セキュリティ室アプリケーションセキュリティチーム中村智史氏（写真左） / 同志賀遼太氏（写真右）

徳丸: なるほど、プロキシが現れましたね（笑）。最近の若い世代は、なかなか情報発信をする人がいないなと感じるのですが、どうなんでしょうか。

▲EGセキュアソリューションズ株式会社代表取締役徳丸浩氏

中村: 徳丸先生の世代は、そもそもセキュリティについて知っている人がいなくてコミュニティなどもなく、個人のブログやウェブ媒体での発信がすごく強力でしたよね。特に私は徳丸先生のブログを読んで勉強していました。

⇒ 参考: 徳丸浩の日記

中村: その後に、徳丸先生の世代の方をゲストに呼んでコミュニティ運営をして勉強するというのが、ちょうど私の世代でした。志賀君の世代だと、彼のようにチームを組んで（※）仲間内で意見交換や技術を磨き合うことができるので十分満たされていて、あえてコミュニティに出ていく必要がないのではないかと思います。

※志賀氏はCTF出場のため10人ほどのチームを組んでいる。前編を参照。

徳丸: それはまさにネットワーク上のコミュニケーションがブログ、登録制SNS、LINEとクローズドな環境に移っていったことと重なりますね。全体的にそういう風潮になっているんでしょう。

志賀: 全体のセキュリティ人口が増えたので、逆に細分化したのかもしれません。

徳丸: オヤジ的な発言をしてしまうと、優秀な若い方がたくさんいるのでやはりもっと情報発信してほしいですね。コミュニティに出てくる若い人ももちろんいるけれど、主な顔ぶれが数年来あまり変わっていないように思います。

志賀: いざ自分でブログを書いたり発表したりしてみようと思っても、調べてみると結構解説がでてきて、もうどこかに書いてあるよなあという気持ちになるんですよね。完全に真新しい情報ってほとんどないので、難しいです。

セキュリティ分野は情報発信が難しい

徳丸: セキュリティの性質上、発信することが難しい側面もありますよね。詳細に発表したら悪用できてしまうじゃないかとか、リバースエンジニアリングで著作権問題が生じたりだとか。

志賀: ブログに書きづらいのはその点もあります。一般的なことはいいんですが、深い話はどこまで書いていいのか。

中村: どうやって情報を外に出したら問題にならないかという経験値は、ぜひこの若い世代に教えてあげてほしいです。

徳丸: 僕が発信してた頃は、バリバリに斧を投げられる時代だったのでなんとも（笑）。もしかして、僕ら世代が斧を投げ合っていたので若い世代が萎縮しているんですかね……。

徳丸: その点で、最近いろいろな企業ブログが結構流行っているのは、他のエンジニアのレビューや会社のサポートがもらえるので安心という面があるかもしれないですね。

志賀: そうですね。内容的にも「弊社はこんな仕組みで動いています」というのは情報として新しいですし、書きやすいです。

⇒ 参考: LINE Engineering Blog

中村: 私も、この仕事について一番身についたのは斧耐性かもしれません。でも、第三者の意見は大事ですが過剰に怖がることはなくて、正しく受け入れ正しく聞き流すことが大事ですよね。

徳丸: そうですね。きちんと聞いて、過剰にくよくよしないようにと。

事業が多角化するLINEのこれからのセキュリティへの取り組み

徳丸: かつてはLINEさん暗号化してないんじゃないかという根拠のない噂が流れる時代もありましたが、今はセキュリティでもユーザー企業を牽引する立ち位置ですよね。最近のセキュリティへの取り組みはどうでしょうか。

中村: 同規模の企業と同じくらいのセキュリティレベルには達したと思います。ただ、最近は事業の多角化に伴ってセキュリティを対応させることが優先されていて、先進的な取り組みはこれからというところです。

中村: 2017年からはパスワードレス認証の国際標準化団体の「FIDOアライアンス」に参加しています。現在ID・パスワードがメインの認証は将来的にどうなっていくべきかを考えています。

徳丸: 認証は難しいですね。閉じているサービスなら問題ないけど、端末を変更して引き継ぐとか、ショップと連携をするとか多面的な機能が必要ですし。

中村: そうですね。パスワードの管理は大丈夫ですかという問題も、フィッシング問題も、対策はもうわかっているのに同じ攻撃手段が未だ有効なんですよね。同じ話題をずっとやってしまっているので、一つ抜き出ないといけないと思っています。

現状は答えはまだ出ていないんですが、業界をあげて活動を進めることが今後重要になるのではないかと思います。

セキュリティエンジニアに向いているタイプとは

徳丸: 具体的にセキュリティの技術はどんなものを採用しているんですか？LINEは開発でいろいろな言語を使っていると思うので、習得が大変じゃないですか？

志賀: ツールはBurpSuiteなど一般的なものです。開発言語も一般的ではない開発言語を使うことはないので、ある程度読めればいいのでそれほど困らないですね。たまに診断用のツールを書いたり、拡張を書いたりということはありますが、IDEの力を借りたり開発者に聞いたりして進めています。

徳丸: 開発者が身近にいて聞けるというのはうらやましいですね。僕たちはお客様の開発言語に依存するので、以前馴染みのない言語で依頼がきたときは、ソースを見ても全然わからなくて困ることがありました。

中村: LINEでは彼のようなセキュリティ一筋のタイプもいれば、開発サイドに近い部分を好むタイプのセキュリティエンジニアもいるんです。

徳丸: タイプの違うエンジニアの方がいるんですね。セキュリティに向いている、開発に向いている、というのは性格で全然違っていますよね。僕は開発が面白いと言いましたが、弊社の社員は「セキュリティはいい。デスマーチがないからいい」と。開発は終わらないこともありますが、脆弱性診断は終わりがないことはないですからね。

志賀: そうですね、スケジュールがあまりにも厳しいということは滅多にないです。

中村: 無理なスケジュールを提示された時には、私が間に入ってスケジュールを調整しています。

志賀: 事実ではあるんですけど、いい上司アピールがすごい……。

一同: （笑）。

セキュリティに携わるそれぞれのモチベーションのあり方

徳丸: 志賀さんはこれから登壇や発信はされていかないんですか？

志賀: うーん。「セキュリティ・キャンプ九州 in 福岡」の講師を務めたりはしましたが、登壇はまだあまりモチベーションはないですね。

中村: 私は経済が活性化したり自分の仕事が広がったりするために、インターネットは安全で楽しい方がいいという思いがあるんですけど、志賀君はそういう段階ではないよね。

志賀: 全然そういう気持ちはないですね。単純に自分が知りたいから勉強しているという段階です。身近にセキュリティを面白いと思う人がいたら議論したいという気持ちはあるんですが。徳丸先生はなぜ積極的に登壇や執筆など情報発信をするんですか？

徳丸: なんでかは……よくわからないですけどねえ。正しい情報を知ってほしい！という突き上げてくる衝動があるんです。

徳丸: 机の上の物が全て90度にしておかないと嫌だという人、いるじゃないですか。僕は、間違った情報が流れているとむずむずしちゃうんです。課題が課題のまま放置されていたり、見当外れのことが書いてあったりすると答えたくなってしまうのは性分なんでしょうね。

中村: 性格が影響するところも大きいのかもしれないですね。私はいろいろなタイプの良いところを引き出してあげれるよう努めていきたいです。

志賀: 僕も今日の対談を通して必要性が少しわかったので、これからは発信することを意識してみます！

徳丸: 楽しみにしています。僕も今日は若い世代の方とお話して若返ったので、頑張っていこうと思います（笑）。

――対談ありがとうございました。気になる今後の発信は「LINE Engineering Blog」を要チェックです！

⇒前半を読む

対談者プロフィール

▲LINE 株式会社セキュリティ室アプリケーションセキュリティチーム志賀遼太（しが・りょうた）氏
学生時代に参加したSecurityのContestでSecurityに興味を持ち、早稲田大学を卒業後、2016年 LINE株式会社に入社。脆弱性診断、設計Reviewなどを担当し、現在はAIアシスタント ClovaのSecurityなどIoT技術にも携わっている。

▲LINE 株式会社セキュリティ室アプリケーションセキュリティチーム中村智史（なかむら・ともふみ）氏
Web serviceの開発や運用を経験した後にセキュリティへ転向。2011年にNHN Japan株式会社（現 LINE株式会社）に入社。脆弱性診断、フィッシング詐欺対策などを担当。現在は若手の採用や育成に注力中。

▲徳丸浩（とくまる・ひろし）氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現：EGセキュアソリューションズ）を設立。2015年　イー・ガーディアングループに参画。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」（日経BP社）「体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践」（ソフトバンククリエイティブ）がある。EGセキュアソリューションズ株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構（IPA）非常勤研究員。技術士（情報工学部門）。
徳丸浩の日記　/　Twitter: @ockeghem

取材・執筆：dotstudio, inc. ちゃんとく

大学までは文系で法学を学んでいたが「モノを作れる人」に憧れて知識ゼロからWebエンジニアの道へ。転職し現在はIoT中心のエンジニア・テクニカルライターとして活動。Node.jsユーザグループ内の女性コミュニティ「Node Girls」を主催。Twitter: @tokutoku393 / dotstudio, inc.