セキュリティエンジニア

私はIT関連の仕事をしているのだが、その中でもジャンル分けするならば、セキュリティエンジニアという職になる。名前を聞けば何となく分かっていただけるだろうが、通信だったり、Webサイトだったりを安全に使ってもらうための施策を考えたり、そこに脆弱性や脅威がないかを調べたりする仕事である。見過ごしたり、放置しておくと大変な目に遭う。

倫理観を持たない者が技術の抜け穴を見つけると、己の利益のため、あるいは単なる好奇心、あるいは恨みのある企業の社会的失墜を目的として攻撃をしかけるのだ。

その者たちは「クラッカー」と呼ばれる。巷でよく聞く「ハッカー」は褒め言葉であり、ITの知識を広く深く持ち、高度な技術を備えている者を指すのである。ではクラッカーの由来はというと、Crime Hackerの略語から来ている。Crimeは犯罪という意味を持ち、そのまま訳せば理解していただけるだろう。

本来のハッカーと区別をするために生まれた言葉であるが、残念ながら浸透していない。

セキュリティエンジニアは、その職業の名前だったり、仕事のために覚える必要のある単語、専門用語などは、表面的に見れば華やかである。一例を上げると、脆弱性攻撃にはクロスサイトスクリプティングや、クリックジャッキングといった、いかにもそれらしい名前がついており、なんとも少年の心をくすぐるものがある。また、クラッカーと企業との技術や計算を駆使した頭脳戦などは、ドラマやアニメでもワンシーンとして描かれるほど魅力的に映る部分もある。これらについては否定はしないが、実際のセキュリティエンジニアの仕事は地味であり、泥臭い作業が大半とも言える。

まず見習いのセキュリティエンジニアが行うであろう作業が、脆弱性診断だ。経験を積んだ者がエクセルなどに「こういった文字列を入力して、Aのような動作が起きたら○、それ以外の場合は挙動内容を記載するように」といったリストをまとめる。見習いはそれに従い、上から淡々とこなしていく。

バグの確認を行うテスターと近い仕事になるが、あまり自身の頭を活用しているとは言い難い。しかもこれが何十人もいたりする。

もちろん、この作業は安全を確保するうえで重要であり、繰り返すことで、感覚的にセキュリティの知識を得ることにもつながる。上流のエンジニアになるためには、こうした地味な仕事をひたむきにこなしていくという精神も大切だ。

華やかな印象を持ったままセキュリティエンジニアになろうと意気込んで、いざ就職して仕事になると、「こんな単純作業は望んでなかった」というようなギャップに悩まされることになるので注意するべきである。

かく言う私がそうであった。

また、セキュリティの宿命だが、脆弱性を見逃し、攻撃されたあげくに損害が出てしまうと大目玉を食らう。部下が上司に叱責されたり、企業自体がSNS上で罵声を浴びせられたり、といったように。

仕事である以上、ミスをしてしまえば責任を問われるのは当然といえばそうである。しかし、セキュリティが常に守られていると勝手に思われるのは、なんとも堪らない気持ちになる。

無料アプリのゲームで、サーバが予期せぬ停止をした際でも提供会社は謝罪の文章をどこかしらに記載するケースもある。謝罪文を考えた者たちはどのような心情なのだろうか。

もし謝罪文を出さなかった場合、「この会社は誠意がないからもう使わない」となり、ライバル企業に顧客を奪われたりする。なんとも世知辛い。

セキュリティによる事故が発生した場合、最も悪いのは攻撃をしかけた者であり、脆弱性を見つけることができなかった者たちでなければ、サービスを展開した企業でもない。

攻撃をしかけた者以上に、サービスを展開していた企業関連の者たちが非難を受けるという悲しい実態は、セキュリティエンジニアとしてのモチベーションを低下させても仕方がないであろう。

「そんなわけだから、事故は大目に見てくれ」と言っているわけではなく、常日頃から使っているサービスは、見えないところで多くのセキュリティエンジニアたちが苦労して安全を守ろうと努力していることを知っていただきたい。使う度に、とは言わないが、時々でいいので、その事実に対して感謝をしてもらいたい。これが私からの願いである。