【パートナーインタビュー】Webアプリケーション診断士からペンテスターへ。キャリアチェンジのリアルに迫る。

こんにちは！人事の小高です。

現場メンバーにフォーカスしたパートナーインタビュー企画。
第一弾は篠宮さんにWebアプリケーション診断士としてのキャリアについて、第二弾では馬場さんにペンテスターのキャリアについて伺いました。

第三弾である今回は、GMOサイバーセキュリティ byイエラエ（以下、GMOイエラエ）へ新卒入社し、Webアプリケーション診断士を経てペンテスターとして活躍する渡部（わたなべ）さんにインタビューしました！渡部さんがセキュリティエンジニアになった経緯やインプット方法、なりたいエンジニア像に迫ります。

渡部裕（写真：右）
高度解析部　アプリケーションセキュリティ課　
2020年4月、新卒でGMOイエラエに入社。入社当初はWebアプリケーション診断を担当。その後ソースコードへの理解や経験を評価されペンテスターとして活躍中。

「好奇心」に駆られて開いたキャリア

ーまず最初に渡部さんの自己紹介をお願いします。

渡部です。今のように大々的に新卒採用を実施していない頃の新卒としてGMOイエラエに入社し、セキュリティエンジニアとして活動しています。現在はWebペネトレーションテストをメインに行っていますが、以前にはWebアプリケーション診断の経験もあります。もともと学生時代のアルバイトやインターンにて、Webアプリケーション診断や事業会社でのセキュリティコードレビューに携わっていたこともあり、セキュリティエンジニアとしての道を選びました

ー新卒でGMOイエラエに入社しようと思ったきっかけはどういったものでしたか？

大きな要因は知り合いが多く働いていることでした。シニアエンジニアである馬場さんをはじめ、顔を知っている人からGMOイエラエのポジティブな話を聞くことが多く、魅力的だなと思っていたことがきっかけです。あとはいわゆる大企業でのインターンを通して、働き方がマッチしないと感じたこともGMOイエラエを選んだ要因ですね。

フルリモートやフレックスといったエンジニアが働きやすい環境づくりをしているイエラエなら、と思い入社を決めました。

ー入社当初はWebアプリケーション診断をしていたとのことですが、現在の業務であるWebペネトレーションを担当することになった経緯を教えてください

入社後はアセスメントサービス部（以下、AS）に配属されました。一般的なWebアプリケーション診断に加えて、gRPCやFirebase等を利用する、当時GMOイエラエでも診断実績が少ない案件を担当していました。

そして半年間ほどこれらの診断をしていましたが、ソースコードがない状態、いわゆるブラックボックスの案件をこなす過程で、アプリケーションの実装を想像することしかできないことに対するもやもやを感じるようになりました。例えば脆弱性を見つけた際において、どのような実装に起因するかは想像する他ありません。もちろん、なんとなく実装が透けて見えるような脆弱性もたくさんあるものの、そうではない脆弱性になればなるほど原因となる実装を知りたいと思う気持ちが募ります。

また以前より、脆弱性を見つけるだけでなく、実際にどこまで悪用できるのかという点により興味を持っていました。そういった思いから、このような形式の診断を担当できる高度解析部への異動を希望しました。

ー自ら希望されての異動だったんですね。実際にペンテスターとして働いてみて、Webアプリケーション診断とWebペネトレーションテストはどう違い、どちらの方が難しいと感じましたか？

大きな違いで言えばWebアプリケーション診断は幅、Webペネトレーションテストは深さという違いだと思います。Webアプリケーション診断では特定のシステムに脆弱性があるかを網羅的に診断するのに対し、Webペネトレーションテストでは事前に想定脅威に基づきゴールを設定し、発見した脆弱性を悪用して達成可能かどうか調査を行う、という違いですね。

難しさは比較しにくいところではありますが、自分にとってはWebアプリケーション診断のほうが大変だなと感じました。ソースコードがない中でアプリケーションの実装を推測しつつ網羅的に診断を行う必要があり、ブラックボックス診断であるが故の限界はあるとはいえ、ちゃんと見つけられたかなといった不安が常にあります。

対してWebペネトレーションテストにおいては、ソースコードがある状態で診断を行うことも多く、非常に多くの情報を得た状態で脆弱性を探すことができます。一方で、対象となるシステムが大きくなればなるほど、膨大なソースコードを読み解く力やテストの目的に応じて情報を取捨選択する力といった調査力が求められます。

Webペネトレーションテストは深さが求められるためシステムやアプリケーションへの理解、ソースコードを読む力など必要とされるスキルが多いですが、探究心があれば養える要素だと思っています。

ー渡部さんはそういったスキルをどのように身につけられましたか？

コードを読む力に関しては自身でコードを書いていたことが特に活きていると思います。高校生の頃から趣味でプログラムを書いていました。そのときに「何か面白いことできたりするのかな」とふと思い、脆弱なプログラムを書いて攻撃をしていたら楽しくなり、趣味が高じてCTFをやってみたり、独学でいろいろ学んでみたり、IPA主催のセキュリティキャンプに参加してみたりしました。

大学での研究もスキルを身につけるのに役立ちました。研究自体はセキュリティに関連するものではないですが、研究の過程において、大きなソースコードを読んだり機能追加をしたりしていたこともあり、そのときの経験もコードを読む力を養ってくれたと思います。

こういった背景もあり、システムやアプリケーションの理解は自分の興味や探究心が大きく影響していると思います。例えば、「このシステムはなぜこのような造りになっているのか」といったことなどを自然と考えながらソースコードを読んでいたため、意図的にスキルを身につけようと思って身についたというよりも、性格や趣味によって自然と養われたと考えています。

ペンテスターへのキャリアチェンジの道とは

ー渡部さんのようにキャリアチェンジするためには何を学ぶ必要があると考えますか？

少しずれますが、まずは「もっと深く調べたい！」と裏側が気になり、追求したいという気持ちがあるかどうかが重要だと思ってます。ペネトレーションテストでは案件で知らない技術に出会うことも少なくなく、立ち向かって自ら調べるといった姿勢は重要かなと思います。

技術面においては、何でもいいので、まずはプログラムを書いてみたり、あるいはOSSのソースコードを読んでみたり、といったことを繰り返すとよいのではないかなと思います。それによって、ソースコードを読み解くことに慣れていけるのではないかなと思います。

また、既知の脆弱性の解説記事を調べてみたり、実際にソースコードから確認してみたり、あるいはソースコードから新しい脆弱性を見つけてみたり、といったことも有用かなと思います。繰り返すことで、脆弱性を見つけるためのソースコードの読み方がだんだんとわかってくるといいですね。また、自身で脆弱なコードを書いて攻撃をすることも重要かなと思います。

ーWebアプリケーション診断士からペンテスターになるのは大変ですか？

どちらも脆弱性を見つけるといった点では共通しているものの、それぞれの診断で求められる能力は異なるため、ある種の壁はあるかもしれません。Webペネトレーションテストにおいては、設定したゴールを達成できそうな脆弱性を見つけることや、ソースコードを読み解く力が求められるといった違いがあり、この基盤を作るゼロイチの部分が意外と難しいのかもしれません。とはいえ、ここを乗り越えることができれば、その先は早いのではないかなと思います。

GMOイエラエのペンテスターの方ってコードを書くことや脆弱性を見つけることがもはや趣味という方が多いんですよね。毎日毎日趣味でコードを書いてて、新しい発見を見つけることが好きで、とにかく深く調べたいと手を動かす。そういった方々が多い環境でもあるので、実際に手を動かして調査できることは重要かなと思います。

探究心と楽しむことを忘れないエンジニアへ

ー渡部さんが感じるWebペネトレーションテストの魅力はなんだと思いますか？

たくさんありますが、特に感じているのはより安全にインターネットを使えるようになる、ということです。安全性を保つことで、誰かの生活が脅かされないということに寄与できているというのは嬉しいですね。実際にお客さんからのお声やフィードバックをもらうと「よかったな」って思います。

あとはやはり様々なシステムの内側を見られることでしょうか。セキュリティエンジニアだからこそ許される業務ではありますし、何よりシステムを実装した人の意図がわかってくるのが面白いです。ソースコードは各社各様ですが、ソースコードを見たときに「どういった意図でこのようなコードを書いたのか」というのが見えるのも魅力だと思います。脆弱性を見つけたときに、どこまで悪用できるのか徹底的に検証できることも非常に魅力だと思います。