ハッキングによる目標到達成功率90％以上。日本で数少ない“攻撃力”の高いOffensive Securityチーム

sponsored by デロイト トーマツ サイバー

レッドチームオペレーション、という言葉をご存じだろうか。クライアントに疑似的なサイバーアタックを仕掛け、セキュリティの課題や脆弱（ぜいじゃく）性をあぶり出す手法のことだ。デジタル化やDXの浸透により注目を浴びている分野だが、日本において「守り」ではなく「攻め」のノウハウを持った企業は数少ない。

今回は、そんな希少な存在であるデロイト トーマツ サイバー（以下、DTCY）のお二人に、レッドチームオペレーションの醍醐味（だいごみ）やここで得られる成長について話を聞いた。

※内容や肩書は2022年11月の記事公開当時のものです。
 

国内には出回っていない最新ノウハウも、存分に学ぶことができる

――柴﨑さんは2020年に新卒で入社されたそうですが、貴社への入社を決めた理由を教えてください。

柴﨑：レッドチームオペレーションの仕事をしたかったことが主な理由です。クライアントに疑似的なサイバー攻撃を仕掛け、システムや組織の問題点を洗い出して対策を立案するのですが、まさにこの領域に強い興味を持っていました。

学生時代からそういった技術を学んでおり、IT企業や通信会社のセキュリティチームからも内定をもらっていたものの、技術的な面に加えてコンサルティングスキルも身に付けられることが決め手になりました。あとは、手を挙げれば若手でもいろいろ任せてもらえると聞いていたので、そこも魅力でしたね。

――実際に入社して、その思いは叶えられていますか？

柴﨑：DTCYに新卒で入社する際には、Cyber Advisory・R&D・CICの3つの職種から選択します。サイバー戦略の企画立案などの戦略・マネジメント系のチーム、インシデント・フォレンジック対応や脆弱（ぜいじゃく）性診断などのテクノロジーに尖ったチームなど、多種多様な分野があるCyber Advisory。産学官連携による基礎技術研究などのR&D。24時間365日体制でサイバー脅威を分析・監視するCIC。私自身はCyber Advisory職で入社し、戦略からオペレーションに至るまでいろいろなチームがある中で9割方レッドチームオペレーションの案件にアサインしてもらっているので、期待していた通りです。入社直後の研修で平川さんがコーチとしてついてくださったのですが、その時からOffensive Securityチームに入りたいですと伝えていました。

――平川さんはその時のことは覚えていますか？

平川：よく覚えています。柴﨑さんは意欲も高かったですし、サイバー攻撃のシミュレーションを行う研修でも圧倒的な技術力を見せていました。教えていないところまでどんどん先に進んでいっていましたね。Offensive Securityチームはかなり技術力を求められますし、人柄も素晴らしかったので「ぜひうちのチームに来てもらいたいですね」とチーム内のメンバーやマネージャー、パートナー層とは話していました。

――ということは、Offensive Securityチームは入社時点でもかなりの知識レベルが求められるのでしょうか？

平川：いえ、専門的に学んでこなかった方でももちろん大丈夫です。というよりも、日本の大学で攻撃側のスキルやノウハウを学ぶ機会を得ることは難しいんですよ。サイバーセキュリティにもさまざまな側面がありますが、日本で学べるのは守る側のスキルがほとんどです。疑似的なサイバー攻撃を勉強したり実際に行ったりすることに、興味はあってもやったことはないという方が大半なので、そこはご安心ください。

柴﨑：たしかに攻撃側の最新ノウハウやレポートは英語のものがほとんどですし、学生時代に学べることには限界がありますよね。私はネット上の英語コンテンツにもいくつか目を通してはいましたが、現場に出ると最初はやはり苦労しました。

クライアントの環境によって適した攻撃手法も異なりますし、相手に攻撃を検知されないために考慮すべき点も多くあります。見つからないように目的を達成する、つまりシステムを掌握するところまでいくのは簡単ではありません。

平川：新しい攻撃手法も日々世の中に出てきますから、常に勉強することが大切です。とはいえベースとなる考え方は時代が変わっても共通なので、専門性を積み上げながら成長していける仕事です。

――未経験から入社した方へのフォローや研修体制についても教えてください。

平川：新卒入社の皆さんには、DTCY全体で半年ほどのカリキュラムを用意しています。社会人としての基礎やコンサルタントとして必要なPowerPointをはじめとしたドキュメンテーションスキル、Excelスキルなどを学ぶことができます。外部から講師を招いてのIT基礎研修もありますね。その後は先輩社員が講師になってさまざまなユニットの仕事内容を学んだり、現場でのジョブをシミュレーションしたり、かなり手厚い内容になっています。Offensive Securityチームが講師を担当する、攻撃者の目線に立って実際に疑似的なハッキングを学ぶ研修もあります。

あとは、会社が用意した研修に限らず自分の興味のある外部研修や講座に参加することも可能です。予算の上限はあると思いますが、仕事に役立つものなど明確に必要な理由があればOKが出る可能性が高いです。私も入社したばかりのころに、シンガポールとラスベガスにトレーニングに行かせてもらいました。先ほどお伝えした通り攻撃側のスキルを国内で学ぶのは限界があるので、海外研修や資格取得の補助も行っています。

セキュリティ領域のコンサルタントには、あらゆるスキルと知識が求められる

――本当に手厚い教育体制ですね。お二人が、ご自身の成長にとって最も良かったと感じる制度やカルチャーはどんなものですか？

平川：私は入社時点で英語がそこまで得意というわけではなかったのですが、Offensive Securityチームの立ち上げ時にオランダから何人かデロイトのメンバーが来てくれて、共に働きながら技術を学び、日常的な会話の中で英語に触れさせていただく機会を多く得ました。我々のチームは特にグローバル連携が強いと感じます。DTCYにも外国籍のメンバーは数多くいますので、海外の事例について学んだり、英語の実践を積んだりしたい人には最適な環境だと思います。

柴﨑：いろんな制度もありますが、私が良かったと思うのは裁量権の大きさですね。OJTの時点からクライアントへの報告書や成果物の作成を任せていただき、実践することで成長スピードが大きく上がったと感じています。もちろん先輩たちからのサポートを受けながらですが、任せてもらえるからこそ判断力や責任感が身に付いたことは間違いありません。

元々コミュニケーションが得意なタイプではないのですが、クライアントとの質疑応答やプレゼンを通して、そうした領域への苦手意識もなくなってきました。

平川：苦手なことや普通の人が面倒だと思う仕事にも、積極的に立ち向かっていくのが柴﨑さんの素晴らしいところですね。チームにとって必要な仕事だというのもありますし、自分自身の成長機会だと捉えているところもあるのでしょう。私としてもそういう姿勢を学ばせてもらっています。

――どこまでいっても学びは終わらないのですね。

平川：今申し上げたのは人としての姿勢のような部分ですが、Offensive Securityチームの仕事という意味でもおっしゃる通りです。日々新しい技術が出てくるともお話ししましたが、そもそもセキュリティ領域は非常に幅広い知識が求められます。例えばプログラムやシステムを作る業務であれば、ある特定の言語や知識、クライアントの業務内容など、比較的限定された範囲の知識で対応することができる場合もあると思います。

しかしセキュリティは、ITのあらゆる分野に精通していないと対応できません。どんな手段でどこを攻撃されるか分からない状態で対策を立てなければならないので、全方位的な知識が求められるわけです。幅広くレベルの高いスキルを身に付けなければならない点が、この仕事の難しいところであり、私自身がセキュリティ領域に魅力を感じた理由でもあります。

――なるほど。サイバーセキュリティは、マーケット全体も貴社としても急成長中だと思いますが、それだけ今世の中に必要とされているということですか？

平川：昨今取り沙汰されているDXも含め、ITの導入や更新の際には必ずセキュリティを考えておく必要があります。以前は業種的に特にセキュリティ意識の高い金融領域のクライアントが大半でしたが、この数年でインターネット関連の業界や製薬関連、インフラ関連など、さまざまなインダストリーからの引き合いが増えています。今後さらに拡大していくことも間違いないと感じています。

ただ、一方でまだまだ過渡期であることも事実です。被害が出ていない段階ではセキュリティに巨額の投資をする判断を下すのが難しいということも理解できますし、投資するとなっても単純に機器やシステムを入れて終わりという企業も少なくありません。もっと本質的な部分から変えていくことが必須なのですが、この辺りをしっかりお伝えしていくのもリーディングカンパニーとしての我々の使命だと考えています。

それぞれの持つ強みを生かし、市場価値の高い人材を目指す

――先ほどおっしゃったサイバーセキュリティの「本質的な部分」というのはどういうことでしょうか？

平川：例えば、どれほど高額な機器を入れたとしても、パスワードが数桁で簡単なものであれば、攻撃者からすれば容易に解析できてしまいます。もちろんシステム的な脆弱（ぜいじゃく）性（＝セキュリティ上の欠陥）も問題ですが、実は実際のハッカーはそういったところは使わない場合も多いです。

当社の提供しているサービスは、実際のサイバー攻撃者と同様、基本的に事前の情報を伺わずに侵入をする形式（ブラックボックス型）で行います。そのような場合は、パスワードを名前と誕生日のようにシンプルなものにしているとか、人間の油断、心理的な部分を突いて侵入を試みますし、実際の攻撃者も同様のアプローチを取ると考えられます。

だからこそ、システム的な制限を設けていくことに加え、一人一人の考え方や組織風土の変革こそが、セキュリティ対策の本質だと考えています。企業内である一つのセキュリティ上の不備を発見すると、その会社の文化を推測することもできますから、そこからどんどん入り込めてしまう。謎解きゲームのような感じですが、そうした課題をあぶり出すことができるのも我々の強みですね。

柴﨑：本当にハリウッドのスパイ映画のようなイメージです。平川さんは心理戦に強いですし、ICカードをコピーして物理的に侵入した上でマルウェア（悪意のあるプログラム）を仕込むような方法もあります。わりとしっかり対策をしているという会社さんでも、従業員の方がメモ帳にパスワードを残していたりするケースもありますね。

我々がサイバー攻撃を仕掛けて、「実際に狙われるとこうなりますよ」という姿をリアルにお見せすると、クライアントの経営層にとってもインパクトは大きいようです。デロイトの技術力を直接的にご理解いただけるので、やはりレッドチームオペレーションの仕事はやりがいを感じます。

平川：一つのプロジェクトで2～4週間ほど疑似的な攻撃を仕掛けるのですが、当社のRTOやTLPTのような疑似攻撃をしかける評価では、90％以上の確率でターゲットとしているシステムの掌握や情報までたどり着いています。もちろん簡単ではありませんが、設定したゴールに到達できれば達成感がありますし、柴﨑さんの言う通りクライアントからの信頼も得られるので、醍醐味（だいごみ）は大きいと思います。

――90％以上というのはすごいですね。逆に難しい、大変だと感じるのはどんなところですか？

柴﨑：レポーティングは難しいですね。どこに課題があるかを私たちだけが理解しても意味がないので、クライアントに分かりやすいように説明することは非常に重要です。この領域は専門用語も多いですし、直感的に理解しづらいこともあると思います。そういった部分をどうかみ砕けば伝わるか、図や表も駆使しながら資料を作成するのは今でも苦労しています。

ただ、平川さんをはじめとしてDTCYの先輩たちは、質問すればとても丁寧に教えてくれます。親身に寄り添い見守ってくれる上司の存在は、非常に心強いですね。現在は、自分自身でも試行錯誤しながら、上司やコーチにも相談しながら、一歩一歩前進しているところです。

平川：用語を含めた専門的な内容を分かりやすく説明する工夫は、報告の際に参加されている方全員が同じ知識レベルではないという点もあり、通常のコンサルティング業務以上に求められる部分だと感じます。逆にそこができる方は即戦力なので、国語力や説明能力の高い方にもぜひご入社いただきたいですね。

――理系的な知識や技術面にフォーカスされることが多いと思いますが、国語力も重要だというのは面白いですね。これから入社される方に、他にはどんなことを期待しますか？

柴﨑：当社を志望してくださる学生さんは、文理大体半々ほどですが、バックグラウンドを問わず「技術面に興味がある」という方も多くいらっしゃると思います。

もちろんそれも必要ですが、技術に限らずレポーティングやその他の面も積極的に学んでいける方に来てほしいですね。この会社で数年本気で働けば、非常に市場価値の高い人材になれるはずです。語学も含めて幅広く学んでいきたいという思いを持った方にご入社いただければ嬉しいです。

平川：指示を待つのではなく「この状況であればこうした方がいいだろう」と能動的に動ける方であればきっと活躍できるでしょう。答えがないものに対してアプローチしていく仕事なので、そういった積極性を持っている方に来ていただきたいと思います。

冒頭でもお伝えしましたが、技術力や知識は入社してからの習得で全く問題ありません。それよりも、個人的には学生時代にしかできないような出会いや成功、挫折を数多く経験している方がいいですね。そうした経験を経て人間としての成長を遂げてきた方と、お互いに刺激しあいながら働くことができれば、これほどうれしいことはありません。育成環境は十分に整備していますので、少しでも興味を持っていただけたなら何も心配せず門を叩いてください。皆さんが納得のいく就職活動をできることを願っています。