Eyes, JAPAN
EJ社員インタビュー【第3回】得意分野を生かし、3つの場所で働く
Eyes, JAPAN Blog 編集部
Eyes, JAPANで働くスタッフ一人ひとりにスポットを当て、インタビュー形式でご紹介する特別連載「Eyes, JAPAN 社員インタビュー」。
Facebookのいいねなどの応援を多数いただいており、本当にありがとうございます。
第3回目は、セキュリティ・エンジニアの金子正人(かねこ まさと)です。
金子は毎週金曜日に会津大学の課外プロジェクトで講師を勤め、毎月2回、IPA(独立行政法人 情報処理推進機構)の非常勤研究員として会津から東京都文京区にあるオフィスまで出向しています。
また、社内では、ネットワーク管理者として社内のネットワークはもちろんのこと、お客様の大切なサーバや通信インフラの保守運用を行う重要なポストを担当しています。
表向きは華々しく活躍している金子ですが、社内では地味で目立たないネットワーク管理を堅実に行うという2つの顔を合わせ持っています。クールで普段プライベートのことはあまり話さない金子ですが、車好きという一面があり、休日は愛車のカスタマイズに費やしたり、他にバドミントンのクラブチームに所属していて、仕事の後に練習に参加したり、休日に大会に参加しているとのこと。
今回は3足のわらじを履く金子の社内外での活動や、セキュリティエンジニアとして仕事観についてインタビューを行いました。
(聞き手:韓)
Eyes, JAPANとの出会い
– 今日はよろしくお願いします! まずは、金子さんとEyes, JAPAN(以下、EJ)との出会いを教えてください。
(金子) 会津大学でバトミントン部に所属していて、その時は特にバイトもしていなかった普通の大学生でした。同級生で同じくバトミントン部だった綱藤ともう一人の友人がEJに先に入っていて、そこでネットワークやプログラミングの話が聞けると聞いて、彼らの紹介を受けてEJのミーティングに参加したのが始まりです。
– もともとネットワークやプログラミングには興味があったのですか?
(金子) 自分でサーバーを立てたり独学で勉強をしていましたが、同じ学年で話せるような人はいなくてモヤモヤしていて、そういう話が分かる人がいるところに行きたいなっていう気持ちはありました。
– 会津大学はコンピューターサイエンスの単科大学なので話の合う人がいそうな気がするのですが、意外ですね。
(金子) 在学当時は、ネットワークをやっている人がまずいなかったですね。授業以外でやっている人がいなかったです。ネットワークの知識がある人たちと話せる機会がEJにあるかなと思い、大学1年の11月にEJにアルバイトとして入りました。
– いざEJに入ってみてどうでしたか?自分が思っていた環境でしたか?
(金子) 入る前はどういう環境か想像もついていませんでしたが、入って良かったと思っています。自分の話したい話もできましたし、ソフトウェア開発やデザイン業務など、自分の知らなかった分野の話にも触れることができ、先輩の話を聞けて関わりを持てたことは大きかったです。優秀な先輩が沢山いて、自分の知らないことを色々と教えていただき、良い刺激になりました。当時は時期的にもメンバーが特に濃かったので。
– 特に印象に残っている先輩やエピソードがあれば教えてください。
(金子) C++でお客様のWindowsのアプリを開発したり、数学や物理が好きなプログラマの社員がいました。また、Haskell好きで、作業環境は全画面表示のEmacsのみで、絶え間なくタイピングをしながらアプリケーションを実装する先輩もいました。
ネットワーク関係の社員では、お客様の30〜40拠点間のVPNの構築・設計・サーバーの運用をしていて、めちゃくちゃ刺激になりましたね。ちなみにその方は今はEJを退職して仙台の高専で先生をされていて、11月12日(日)に仙台でCTFがあるのですが、それに呼んでいただいたので久しぶりにお会いする予定です。
– いろんな方がいたんですね!その時に教わったことはありましたか?
(金子) ありましたね。当時自分が大学に入った時はLinuxしか使っていなかったのですが、会社ではFreeBSDと言うOSを使っていました。それを先輩に教えてもらい、実際の仕事でお客様のサーバーでFreeBSDを使うところも学びました。EJ独自の設定とかを教えてもらって、「あぁ、こういう使い方をしているんだなぁ」ということも分かりました。
EJと大学とIPA。三つの顔で仕事をする
– EJではどのような仕事をしていますか?金子さんはIPAや会津大学でも仕事していますが、そこを含めて教えていただけますか?
(金子) 自分はネットワークやサーバの運用などのインフラが好きだったので、お客様のサーバやネットワークを構築する仕事を入社当時からやっていて、現在でも引き続き携わっています。お客様のウェブサイト、メールやDNSといった、お客様が業務で使うサーバや事業所ネットワークの運用・構築をメインでやっています。
セキュリティも好きで、学生時代からセキュリティ関連のイベントに参加したり、CTFに参加をしていました。2013年頃に山寺さんが知り合いの会津大学の先生を紹介してくださったのですが、その先生の授業の枠のコマを借していただけるという話になり、2013年の4月から、情報セキュリティに関する課外授業の外部講師をしています。課外授業は自由単位なので必修ではないのですが、意識が高い学生やセキュリティに興味あるような学生が参加しています。今年度は約8人くらいですね。
内容は、CTFを題材にしてセキュリティの世界観や面白さを伝えられるような授業をやっています。技術的なことを知ってもらえることが1番いいんですけど、1年生だと大学に入って間もないので何もわからない、という学生が結構います。また、セキュリティは前提知識や基本知識がないとできないところがあり、いきなり始めるのはハードルが高いです。自分の課外授業では、ただ単に技術的なことを体系的に教える普通の授業で終わるのではなくて、「これをこうやっていくとこういう面白さがありますよ」というように楽しさを伝えるようにしていて、彼らが自分で勉強するきっかけづくりやセキュリティについての世界観と面白さに気づけることを目指しています。
IPAは経済産業省所管の独立行政法人で、様々なITの推進事業をやっていますが、自分は人材育成に携わっています。人材育成でも複数の人材育成事業が走っていて、その中の一つのセキュリティ・キャンプ事業に携わっています。
セキュリティ・キャンプは、セキュリティに関して尖っていて優秀な人材を発掘するという内容の事業で、22歳以下の学生・生徒を対象に実施しています。セキュリティ・キャンプ事業の中でも最も規模の大きいもので、セキュリティ・キャンプ全国大会というイベントがあるのですが、応募の際に課題が与えられ、それを解いた上で選考を通過すると参加することができます。今年の全国大会は、全国から絞り込まれた82名の参加者がいました。全国大会は、都内の会場にほぼ1週間泊まり込みで、朝から晩まで合宿形式で授業や実習が行われます。セキュリティ業界で有名な講師が40〜50人集まって、いくつかの専門分野から授業や実習が構成されます。参加者は様々な知識を身につけたり、同じ志をもつ先輩や仲間と出会い、交流をすることができます。
– 金子さんはセキュリティ・キャンプ事業では具体的にどのような仕事をしているのですか?
(金子) 自分はセキュリティ・キャンプ全国大会では、事務局で運営を担当していました。他には、今までキャンプを受講し終わった修了生が沢山いるのですが、IT の基礎技術にフォーカスしたフォローアップ講座の講師をやっています。今のところは毎回30名程度の参加者が集まって、彼らの前でセキュリティの基礎やネットワーク系の話をしています。先日も東京でDNSの講習をやりました。
– 会津大学の課外授業とは違う内容をやっているんでしょうか?
(金子) 課外授業とは全然違いますね。会津大学ではCTFを題材にして行う実習がメインで、一方フォローアップ講座はセキュリティという切り口はありますが、CTFは扱っていません。実際に使われている技術の仕組みについて主に扱っていて、通信技術などの動作を解説したり、体験してもらう感じです。
– 金子さんにはEJ、会津大学、IPAという3つの仕事環境がありますが、それぞれどこが違うのか教えてください。
(金子) EJではお客様のサーバーの障害対応などの実務をやりますが、大学は実務とかけ離れてアカデミックな内容になるので、そこには温度差があります。しかし学生の中には将来的には実務をやる人もいると思うので、一般的な授業では対象にしない実務的な話もします。大学の課外授業で実務に活かせる内容を知れるのは学生のためにもなりますし、こちらも話しやすいですからね。
IPAは国の事業でやっているので、規模も大きく、進め方などが民間と違いますね。仕事のやり方や決まり方が違ったり、利益を追求してはいけない側面があり、独特の縛りがあると感じています。
セキュリティは基本を抑え、攻撃者の視点を考える
– セキュリティ・エンジニアとして意識している事はなんですか?
(金子) セキュリティというのは自然現象的に起こる話ではなく、悪意を持った攻撃者がいて何か攻撃をしてきた時に初めて問題になります。それは常に起こり得ることなので、攻撃者の考え方や目の付け所、どういう思いで攻撃するのかを意識しています。守る側だけを考えると「何を守るべきか」ということを見失う場合もあるので、逆の立場になって常に攻撃者の意識を持ち続けて考えることを心がけています。
– 技術が進化すると攻撃者のレベルも上がるのではないかと思うのですが、金子さん自身はどのような勉強や対策をしているのでしょうか?
(金子) セキュリティの話では、脆弱性の種類や攻撃手法の大部分はパターン化されていると思います。
最新情報はカンファレンスに行くと知ることができますが、そういった情報は高度かつ非日常的で、実務だとそこまで高度な事例はあまり見られません。実務で起こるレベルの問題は「CMSのバージョンアップデートしていなかった」といった基本的な運用の問題が原因であることが多く、最低限の対策をしていれば防げるものや、当たり前のことができていないということが多いので、基本に忠実に、そして地道に対策していくことで問題の発生を防ぐことができると思います。ちなみに、最新と言われるのは攻撃手法が最新という意味ではなくて、典型的な脆弱性が新しい箇所で見つかったというものが多く、脆弱性がどこにあるかという話なんですよね。
何かに熱中し視野を広げることで、EJはもっと面白くなる
– EJにはどのような人が向いているか聞かせてください。
(金子) 尖っている人ですね。「これが得意だ」とか「これしかやってません」といった研究者のように自分の専門がある人はEJには向いていると思います。あとはハングリー精神とかモチベーションが高い人だったり、特に知的好奇心が強いのは大事な要素だと思います。
– 金子さんはEJに入って専門が深くなりましたか?
(金子) EJに入ったら、まず視野が広がりましたね。自分の専門分野でも知らないことが多くありました。仕事で色々と必要になるものが多かったので。もちろん深くなった部分も多いです。
– EJで今後どのようなことをやっていきたいか教えてください。
(金子) 新しい人がEJに今後も入ってくると思うので、こういう人がEJ向いてるとかEJの文化をしっかりと残していきたいと考えています。
– それは具体的にどのようなことをしていくのでしょうか?
(金子) 会社のスタッフと外部のイベントに参加するということですね。11月23〜25日に開催される『OWASP hardening-2017-fes』というイベントに、自分を含めた会社のメンバー数名と参加してきます。OWASP hardeningは2013年にも参加したのですが、その時はみんな仕事ばかりしてて「社内に刺激がない」がないと思っていて、自分から声をかけてほぼ強制的に社内のメンバーを連れて行きました。人・モノ・金を動かさないと、何も生まれないじゃないですか。その中でも手早くできるのが人を動かすことだったので参加させた感じですね。外の世界を見てもらうことで視野を広げる試みは続けていきたいです。そこは学生と社会人は関係ないですね。
特に会津若松という地方で仕事をしているということもあり、外部の勉強会や競技に参加するという対外的な活動も大事だと思っています。そういう活動を積極的にやっている人が社内にあまりいなかったので、自分が中心になってやろうとしています。
その話に関連すると思いますが、今は情報がたくさんあるので狭い世界で生きていてほしくなくて、情報収集して使うサービスの選択肢を増やして、中立的にものを見ることや考え方を身につけていくのが大事だと思います。
お客様に提案する際に選択肢が広いところがEJのいいところなので、そこをうまく利用して色々な視点を持ってこれから提案をしていきたいです。
最初から規定路線でやっていくのでなく、「本当にそれでいいの?」っていうことが考えられる環境がEJにはあって、積極的に提案していくとお客様にとってもいいことなので、それを心がけています。
最後に
– 最後にメッセージをお願いします。
(金子)何か尖った技術や才能がある人は、それらを試すという意味でもぜひEJのプロジェクトに携わってほしいです。また学生には少し難しいかもしれないですが、自分の好きなものを見つけてほしいです。あと、いろいろ手を伸ばすと言うのはやめたほうがいいですね。在学当時、自分は1つのことしかやっていなかったからこそ、いま良かったと思うこともあるので、変に中途半端で終わるより1つを突き詰めた方がいいと思います。幅を広げたり広く知ることは社会人でもできますし、学生だと時間があるので、1つの分野を深く集中してがっつり学ぶというのが大事ですね。
– ありがとうございました。
Eyes, JAPANは、エンジニアリング・セキュリティ・デザイン・ディレクションと様々なポジションのメンバーが集まっています。
Eyes, JAPANに興味がある方・話を聞きたい方は、下記のフォームからご連絡ください。学生、社会人かかわらずお待ちしてます!
お問い合わせフォーム
次回のEJ社員インタビューもお楽しみに!