「セキュリティ・プリンセス」――。米IT大手、グーグルの"雇われハッカー"、パリサ・タブリズ氏の名刺にはこんな肩書が記されている。赤く染めた髪に鋭いまなざし。「お姫様」というよりは「女戦士」といった雰囲気を醸し出す。

タブリズ氏は約10年間、グーグルのセキュリティチームで自社のウェブアプリケーション製品におけるセキュリティ向上を担ってきた。これまで彼女が手掛けてきたのは、それらの製品に対するハッキング。アプリ上の脆弱な部分を発見して修復する。これが雇われハッカーといわれる理由だ。

現在はウェブブラウザ「クローム」のセキュリティチームリーダーとして、ウェブ全体やブラウザの安全性を高める開発に取り組みつつ、社内のセキュリティ教育などを行っている。

広告を消したくて、ハッカーになった

ダブリズ氏が初めてハッキングをしようと思ったのは、大学生だった時。自作のウェブサイトの両脇に出てくる広告が気に食わなかったからだという。「小さいころからキャンバスいっぱいに絵を描くのが好きだった。このときも、広告をなくして"キャンバス"(コンピューターの画面)をすべて自分の作品で埋め尽くしたかった」(タブリズ氏)。

大学でコンピューターサイエンスを専攻していたタブリズ氏は、見事広告のブロックに成功した。「今は広告収入で稼いでいる会社にいるのに、最初は広告をブロックしようとしていたなんて皮肉だわ」と笑う。以来、ウェブサイトなどの脆弱性を見つけ出すことにパズルのような楽しさを感じるという。

そんな彼女は今、グーグル社員に向けたセキュリティ講座を開いている。授業は「ハッカー的思考」を鍛えるところから始まる。最初のお題は、自動販売機への攻撃方法だ。「お菓子用の自販機から、効率よく商品を盗み出すにはどうすればいいでしょうか」。彼女はそう生徒に問いかける。

「ハンマーで自販機を壊す」。「偽の通貨を用意する」。授業では様々な回答が飛び交う。中でもタブリズ氏の印象に残った回答が、自販機の中を水で満たし、水と商品を一緒に吸い出すというもの。成功するかどうかよりも、発想の独創性に惹かれたという。

自販機の例を用いる理由は3つある。一つ目が、ハッキングと同様に様々な攻撃の手法を考えることができるため。二つ目が、防御策を考える際に、コストとリスクのバランスを考えるきっかけになるから。守衛を雇って一日中自動販売機の前に張り付かせることもできるが、自動販売機の中身の価値を考えると、割に合わないのは当然だ。

最後に三つ目が、自販機という身近な例を用いることでセキュリティに対する心理的なハードルを下げられる点だ。「セキュリティというとどうしても身構えてしまうが、誰にでもできるクリエイティブな活動だ。自販機を例にとることで、"悪者"の思考をしやすくなる」(タブリズ氏)。

東出拓己(東洋経済記者)※東洋経済オンラインより転載