【パートナーインタビュー】未経験からペンテスターへ。Webペネトレーションテストの魅力と求められるスキルとは

こんにちは！人事の小高です。

現場メンバーにフォーカスしたパートナーインタビュー企画。
第一弾は篠宮さんにWebアプリケーション診断士としてのキャリアについて伺いました。

第二弾である今回は、アプリケーションセキュリティ課にて、シニアセキュリティエンジニアとして活躍中の馬場さんにペンテスターとしてのキャリアについてインタビューしました。高い技術力を持った優秀なエンジニアが数多くいるGMOサイバーセキュリティ byイエラエ（以下、GMOイエラエ）ですが、そんな当社のなかでも突出した技術力を持ち、社内でも憧れを集める馬場さん。そんな彼の現在までのキャリアや日々のインプット方法、なりたいエンジニア像に迫ります。

馬場将次（写真：左）
高度解析部　アプリケーションセキュリティ課
デザイン系の専門学校に通ったのちに印刷会社に入社。その後、フリーランスとして活動を行う。CTF（Capture The Flag）をきっかけにセキュリティに興味を持ち、神戸にあるセキュリティ会社へ入社し、セキュリティサービスの開発やWebペネトレーションテストに従事する。2019年8月にGMOイエラエへ入社し、現在はシニアセキュリティエンジニアとしてより深い診断に携わる。

幼少期からの興味が導いたセキュリティエンジニアへの道

―まず最初に、馬場さんの簡単な自己紹介をお願いします。

馬場です。GMOイエラエではセキュリティエンジニアとして、Webセキュリティ診断に関する業務に取り組んでいます。実際に手を動かして脆弱性を見つけたり、クライアントのご依頼に基づいて攻撃して、その上でセキュリティに穴がないかテストしたりするのが主な業務です。頑張りを会社から評価していただいて、シニアセキュリティエンジニアという肩書を与えられました。

―現在の業務についてより具体的に教えていただけますか。

僕が主に取り組んでいるのは、「Webペネトレーションテスト」と呼ばれるものです。一般的な脆弱性診断（Webアプリケーション診断）は、あらかじめ決められた診断項目に基づいて、「セキュリティに弱いところがないか」をできるだけ多くの側面から網羅的にチェックするものです。例えるなら、会社で行うような健康診断に近いと思います。

それに対してペネトレーションテストでは、テスト対象の想定脅威に基づいて攻撃シナリオを設定して、検出した脆弱性等を用いてその攻撃シナリオを達成できるかテストするものです。例えば、テスト対象がECサイトで注文者の個人情報等がデータベースで管理されていた場合、悪意ある第三者による外部からの攻撃によって、データベース上の個人情報を窃取できるか試してみる、といったことを行います。焦点を絞ってより綿密に検査して病気を特定する精密検査ようなものです。

これをWeb領域で行っているので、Webペネトレーションテストと呼んでいます。

―脆弱性を調べるといってもいろいろな手法があるんですね。ちなみになぜ、セキュリティエンジニアになろうと思われたんですか。

CTFというハッキングコンテストがきっかけでセキュリティエンジニアに興味をもちました。

実は僕はもともとWebデザイナーだったんです。デザイン系の専門学校に通ったのちに印刷会社に入社しました。そこはITに力を入れている会社で、クライアントから預かった原稿をただ組版して印刷するだけではなく、印刷データを活用してWebに展開して発信できるシステムを提供したり、当時まだ目新しかった電子書籍等にも取り組んでいました。そこで僕は、デザインやWeb開発スキルを活かし、紙以外のメディアへ展開する部分を担っていました。

そうしてスキルを高めたのち、次のステップとしてフリーランスの道を選びました。1社目で培った知見を活かして独自にWebサービスを構築・展開する業務に主に取り組みました。当然ですが、フリーランスになると自由度が飛躍的に向上します。言ってしまえばなんでも自由にできる。そんな時にたまたまCTFに出会いました。機密情報に見立てられたフラグ(FLAG)という情報を、セキュリティスキルを用いていかに手に入れるかを競うものです。それぞれのフラグに点数がついていて、入手したフラグの合計得点が高い人間が勝利します。

その競技に挑戦してみたら面白いと感じて、セキュリティに興味を持ち始めたのはそれからですね。

―どんな点に興味を惹かれましたか。

ゲーム性ですかね。僕は昔からゲームの裏技が好きだったんです。それも巷で流行っている方法をただそのまま実践するのではなく、それをアレンジしてたくさんのパターンを試してみることがすごく好きでした。開発者が想定していた手法を外れると、何が起きるのかを実験するのがとても面白くて。そういった趣向もあってか、みるみるうちにCTFにハマっていきました。

―その好きという気持ちに従って、セキュリティエンジニアの道に進まれたんですね。

そうですね。CTFの参加者はもちろんセキュリティに関心が高い人が多く、中にはセキュリティ系企業に勤める人もいました。懇親会では彼らと話すことがよくあり、何度かCTFに参加しているうちにセキュリティサービスを提供する神戸の企業に声をかけていただいて、それを機にセキュリティエンジニアとしてのキャリアをスタートさせました。その会社ではセキュリティサービスの開発に携わりつつ、サブ業務としてペネトレーションテスト等も行って経験を積んでいきました。セキュリティエンジニアとして活動していくなかでさまざまな交流があり、代表の牧田から声をかけてもらって、GMOイエラエに入社して現在に至ります。

未知のものに果敢に挑戦しながら磨き上げたスキル

―これまでの経験で、現在行われている業務で活きていると感じるスキルはありますか。

僕のしている業務では、教本はあまり役に立ちません。自分で教本を書けるようなスキルを自ら生み出すことが必要です。また、Webペネトレーションテストを行うなかでは、初見では何を目的で作られたのかわからないサービスに出会うこともあります。こうした状況下でも自ら調べて試行錯誤していくことが求められます。

そこで必要になるのが、未知のものに出会った時にも臆せず取り組めるスキルです。

僕は自身のキャリアも紆余曲折を経ていますし、ある種行き当たりばったりに課題があったらそれにチャレンジしてみるスタイルでこれまでやってきました。そうして培われた未知の課題に対峙したときに自ら調べて解決できるところは僕の強みだと感じています。

たとえば、GMOイエラエに入社したばかりの頃、ロボットに搭載されているソフトウェアのセキュリティ診断に取り組むことになりました。しかし当然ながら知見はありません。そこでまずはそもそもロボットがどんなものかを調査することからはじめて、試行錯誤しつつ診断を終えることができました。

もうひとつ、ペネトレーションテストに必要なスキルはソフトウェアやアプリケーションに対する深い理解です。よりインパクトの大きい攻撃を実現するためには欠かせないスキルです。そして、ソフトウェアやアプリケーションがどのように作られていてどんな仕組みで動いているのかを知っておくことで、未知の脆弱性や問題点であっても、どう進めていけばいいかが見えてくることがあります。

一方、一般的なWebアプリケーション診断ではこのようなスキルはあまり重要ではなく、決められた診断項目をいかに漏れなく確認するかが重要になってきます。

―どのようにしてそのスキルを身につけたのか教えてください。

未知のものに積極的に取り組む姿勢は、もともとの性格に加えてこれまでの経験だと思います。経験においてはGMOイエラエでのバックグラウンドが大きいように感じます。僕が入社した当初のGMOイエラエの採用は業務ありきと言うよりも人ありきでした。「この仕事があるからこういう人に入ってもらおう」ではなくて、「いい人に入社してもらえたら会社はもっとよくなるだろう」という方向性です。そのなかで、「こんなことができるからこのサービスを作ってみよう」と、Webペネトレーションテストや、ブラックボックスでは発見することが難しい脆弱性をソースコードから発見する診断サービスを提供する試みを行ってきました。そのように手探りで進めてきたのが経験としては大きいように感じます。

またスキルの成長において技術的な知見を強化するには、身も蓋もないですが、とにかくやるだけです。未知の技術やチャレンジングな領域においてもとにかく手を動かして、知ることが重要です。手を動かす以外のインプットにおいては、セキュリティカンファレンスで発表された内容を読んだりしていますね。専門的な資料を読むと、自分だけでは知り得なかった知見が手に入ることもあるため、最新情報を取り入れる重要性を感じます。手を動かすこと、そして自ら情報を拾いにいくことが成長において大切だと思います。

―手を動かして実践で学ぶことを大切にされているんですね。

そうですね。ただ、たとえば最近はAIがトレンドになっていますが、こうしたツールをただ使うだけでは不十分だと考えています。チャット形式のAIツールはこんな仕組みだから、こうしたらセキュリティの信頼性を高められるんじゃないか。そんな風に手探りでやってみるのもそうですし、実践して外部に発表してる人の情報を集めるのもひとつです。このようにさまざまな側面から学んでいく必要があります。

どちらかというと、口を開けて情報が降ってくるのを待つよりも、自分から探しに行くスタイルをとっていますね。僕としてはゲームの攻略サイトを見つつ、実際に自分でプレイしてバグを見つけていくのと同じ感覚なので、一般的に想像される学習とはまたちょっと違うかもしれません。

新しい波をキャッチアップし続ける

―セキュリティエンジニアという職業の魅力は何だと思いますか。

うれしいなと感じるのは、社会的な信用を勝ち得てきたことです。昔はセキュリティの攻撃の知見を持ってる人は危ないと思われがちでした。ハッカー＝悪い奴と思っている方がほとんどだったんです。ただ、セキュリティエンジニアがホワイトハッカーと呼ばれはじめて、印象が大きく変わりました。こうして仕事として懸命に取り組んできたことが、社会的に認められてきたのはとてもうれしいことですよね。

僕としては趣味の延長というか、仕事じゃなくてもやるというスタンスなんです。先ほどのゲームの話にも繋がりますが、購入した家電製品も普通に使うだけではなく動く仕組みを調べたくなるし、そういうことがとにかく好きな人間です。

そんな風に自分がやりたいからやっていることですが、セキュリティエンジニアという仕事は自分がやりたいことをやらせてもらって、さらに報酬をいただけて、とても魅力的だなと感じています。

―この先、なりたいエンジニア像はありますか。

新しい知見やサービスは雨後の筍のごとく出てくるし、それに伴ってセキュリティ侵害も当然ながらどんどん出てきます。そこにチャレンジし続けて、どんどん知見を取り入れていきたいですね。物事へ取り組む姿勢は今までとあまり変えず、新しいものをさらに取り入れてアップデートしていこうと考えています。

ただ、自分がセキュリティエンジニアをやっているなんて、10年前には想像すらしていませんでした。同じように、10年後はもしかしたらセキュリティ以外に興味を持ってまったく違ったことをしているかもしれません（笑）でも何をしていたとしても、挑戦と学びを続けることは変わらないのではないかと思います。

―その実現のために、これからやろうとしていることを教えてください。

カンファレンスに出席して情報収集したり、自分で調べたりといった取り組みを愚直に続けていくことでしょうか。学習する上でもちろん基礎は大事です。ただ、その基礎で満足せずに、新しい領域を開拓していくことがスキルアップに直結すると考えています。自分でも引き続きこうした取り組みをして、さらに強いセキュリティエンジニアを目指したいです。