既存のアプリケーションやサービスの脆弱性を発見し、その穴をふさいでいく。そんなホワイトハッカーの1人として知られているのが、リクルートテクノロジーズ サイバーセキュリティエンジニアリング部 西村宗晃(にしむら・むねあき)氏だ。IPAが主催するセキュリティ・キャンプでの講師を務めるほか、週末にはオープンソースソフトウェアの脆弱性を探り出す「バグハンター」としても活躍。セキュリティの第一線で活躍する西村氏に、その仕事の魅力について伺った。

 

自分に自信をつけるための「バグハンティング」

– 講演活動など社外でも活躍なさっていますね。プライベートの時間まで「バグハンター」として活躍しているそうですが、始めたきっかけを教えて頂けますか?

西村宗晃氏(以下西村):自分の技術に自信を持つためです。私は毎年、IPAが主催するセキュリティ・キャンプで講師をしています。2014年にお声掛けいただいた時も、引き受けていいものか迷いました。セキュリティ業界では本当に権威のあるイベントで、講師の方の多くは業界内で非常に有名な方ばかりだったので戦々恐々でしたね。


◇リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部 クオリティマネジメントグループ 兼 インシデントレスポンスグループ 西村宗晃(にしむら・むねあき)氏

まず1度講義を終えた上で思ったのが、自分の実力を客観的に判断したいということでした。あのような方々に混ざって講師をやる資格があるのかどうか、なにか根拠のある自信を持ちたかったんです。そこで目をつけたのが「バグハンティング」でした。

そもそも「バグハンター」とは、一部の企業が、製品にバグを見つけて報告した人に報奨金を支払う「脆弱性報奨金制度」(バグ・バウンティ・プログラム)にトライする人のことです。これにチャレンジして得られた金額で自分を測ろうとしたわけです。「2014年中に1つも見つけられなかったら、来年は講師を引き受けるのをやめよう」と思っていました。

結果的に、なんとか無事に見つけて報奨金を得ることができたので、自分はまだ前線でやっていけるんだという自信がもてていますね。だからといって自分の技術力の衰えに対する不安がなくなるわけではないので、不安を晴らすために毎週、バグハンティングに挑戦しています(笑)

 

カスタマーに身近なサービスを提供するリクルートグループで高い技術を磨きたい

– リクルートテクノロジーズでの仕事以外に、社外でも精力的に活動されていますが、セキュリティを専門にしたきっかけは何でしょうか?

西村:いまでこそセキュリティのことを四六時中考えているような感じですが、もともとはセキュリティとあまり関係のない分野で働いていました。新卒のときは、ちょうどドットコムバブルの頃だったのもあってWebデザイナーになったのです。ところがすぐに需要が低くなり、この分野で仕事をしていくのは難しいと感じました。そこで転職にあたって、「長くきちんと食べていける仕事を選ぼう」と考えたのがセキュリティに携わるきっかけだった気がします。

その後、携帯電話を開発する企業に転職してセキュリティ担当となりました。そこで、携帯電話が10年後にどうなっているかはわからないけれど、セキュリティは長く仕事にできそうだと感じました。たとえば、日本の大切なシステムを海外の業者に丸投げしてしまうということはないですよね? だから「セキュリティは今後も需要がなくならないはず、ここでやっていこう」と考えたわけです。

– セキュリティの専門企業などではなく、リクルートテクノロジーズを選択したのはどうしてでしょうか?

nisimura-3

西村:セキュリティ製品の開発・販売を手がける企業でも仕事をしたことがあるのですが、そこでの営業スタイルがどうも性に合わなくて。セキュリティ製品というのは、なにかが起こる前、いざという時に備えて導入するものですよね。となると、「なにか起きたらこれだけ大変なことになるんですよ」と脅すような営業をせざるを得ない。仕方のないことかもしれませんが、これが嫌でした。

ちょうどその頃ヘッドハンティングを受け、ピンときたのがリクルートテクノロジーズでした。リクルートグループでは、求人情報サービスの『リクナビ』や結婚に関する情報を提供する『ゼクシィ』など人生の転機に立ち会うサービスを提供していますよね。

自分でも使ったことのあるサービスが多く親しみがありましたし、そうしたサービスを自社で持っているということは、つまり自社サービスの改善のために技術を使うわけで。サービスを守るためのセキュリティって健全でいいな、と思いました(笑)

また、リクルートグループには様々な分野でのプロがいるでしょうから、技術を高いレベルで維持できそうだという期待もあったので決めました。

 

当事者としてセキュリティに取り組む醍醐味

– 現在はどのようなお仕事を担当されていますか?

西村:所属しているサイバーセキュリティエンジニアリング部のなかで、大きく2つのミッションを担当しています。
1つ目は、採用しているオープンソースソフトウェアや商用製品の脆弱性の調査です。脆弱性の検証、評価をおこなって危ないところがあれば修正していきます。

もう1つは、自社サービスの検査です。自分でつくったサービスを叩いて問題のある部分がないかを探します。

現在はメンバーのマネジメント業務も増えていますが、現場の技術を活かした仕事も多く担当しています。ゆくゆくはもっとマネジメントのことも考える必要があるのだろうかと思いながらも、今は管理業務も現場も、いろいろとやっている状態ですね。

– 独自の検証を行うということは、高い技術力が求められるのではないでしょうか。

西村:そうですね。実際、高い技術をもった人が集まっていると思います。たとえば、海外の有名なカンファレンスでは、来週こういう脆弱性について発表しますという予告がされることがあります。その予告内容から怪しいと思うところを調べていくうちに発表前に脆弱性を発見し、対応策まで用意できたということもありました。

nisimura-4

そういうことが1度や2度ではなく、頻繁にあるのがすごいところですね。このあたりが怪しいぞとヒントはもらっているわけですが、そのヒントさえあれば自力で脆弱性を発見、対応できてしまうメンバーが揃っています。

– 仕事をするなかでリクルートならでは、と感じる部分はありますか?

西村:自社サービスなので、「当事者として動ける」というのは大きいですね。他社から依頼された開発やセキュリティチェックだと、ここに問題があるから直した方がいいですよと指摘はできても、サービスを止めてまで直すべきかどうか、いつやるのかというような判断の最終決定権はクライアントが持っていますから。

リクルートならば当事者として、いますぐサービスを止めて対応する必要があるほど致命的だとか、これは危険性が低いから次回のバージョンアップに合わせて修正するので十分だとか、タイミングまで判断できます。腹をくくって責任を持つ立場になれることが、やりがいがあっていいですね。

また、リクルートグループは事業側に技術力のある人が多いのも特徴です。セキュリティ情報もしっかり集めていますから、こちらが修正をしないと決めても、なぜやらないのか、やらなくて大丈夫なのかというような質問をされることがあります。そしてこちらが判断基準を説明すれば、理解してくれます。

つまり、依頼者と技術者ではなく技術者同士の会話ができるのです。交わされるコミュニケーションが、総務部門の人に対して、イメージを伝えながら説得するようなものではなく、データという根拠を持ってしっかり対話できることがいいですね。

– 先ほどの「バグハンター」のお話など、仕事でもプライベートでもセキュリティのことばかりといった印象を受けますが(笑)

西村:仕事でプライベートをつぶしているわけではないんです、単純にセキュリティの話が楽しいという(笑)。あとは自分の力をしっかり確認しておきたいし、指標がないと自信が持てない。心配性なんでしょうね。

– 周りの方はいかがでしょうか?

西村:一緒に働いている仲間もそんなところがあります。たとえば、仕事仲間と一緒に酒を飲みに行くと、楽しい雑談としてセキュリティの話で盛り上がったりして。たまたま同席した別業界の方がいると申し訳なくなることもありますが、それくらいセキュリティのことを考えて、楽しく追求していける人たちだからこういう仕事ができるのだと思っています。

 

高い技術力を持つ仲間と尊敬でつながる

– それは、たまたまそういう人が集まっているのでしょうか。それとも、そういう人材を求めた結果なのでしょうか。

nisimura-5

西村:どちらもあるのかなと思いますが、要するにプライベートでも面白がっていろいろやるような人でないと、高い技術レベルを維持していくのは難しいのだと思います。教えられないとやらない、教えてもらったことしかわからない、というのではダメでしょうね。自分で考えることが必要です。

繰り返しますが、プライベートの時間をつぶせという話ではありません。たとえば、サイバーセキュリティエンジニアリング部では、技術を向上させられるような仕事を自ら見つけていこうという意識をもって仕事をしています。

– ちなみに、技術向上のために特におこなっている取り組みなどはありますか?

西村:海外からホワイトハッカーを招いて一緒に仕事をしたり、勉強会をしたりしています。いろいろな国で最先端の技術を持つ人を招くわけですが、国によって事情や切り口が違うのが本当に勉強になりますね。そうした技術者と一緒に仕事をすることで、新しい視点や技術を身につけるわけです。

リクルートテクノロジーズはかなり高い技術をもっている人が集まっている場でもあるので、部内から刺激を受けることも多いです。たとえば、フォレンジックを専門にしていてハードディスクを見ただけでマルウェアの正体がわかる人がいます。マルウェアのバイナリが解析できる人もいます。前職では社内でも人によって技術のギャップがあったのですが、今はそういう不満もありません。尊敬できる仲間、尊敬でつながる仲間というイメージですね。

– ありがとうございました。

提供:リクルートテクノロジーズ


今回取材した方

リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部
クオリティマネジメントグループ 兼 インシデントレスポンスグループ
西村宗晃(にしむら・むねあき)氏

2016年中途入社。前職はメーカー関連のセキュリティ企業で、自社のセキュリティコンサルティング・保守を担当。リクルートテクノロジーズ入社後は、オープンソースソフトウェアや商用製品の脆弱性調査や、リクルートグループ関連サービスのセキュリティ検査を実施。「バグハンター」としても名をはせ、2014年よりセキュリティ・キャンプの講師も務める。