ホワイトハッカーを「総務や事務」として雇用する企業には、優秀人材の採用は難しい(写真:kunioh / PIXTA)

サイバーセキュリティ対策が急務となる近年、ホワイトハッカーを独自に採用する企業も増えている。しかし、その正体はベールに包まれた部分が多い。彼らのスキルや経歴、そして優秀な人材を確保したい企業が理解すべき業界背景とは。その知られざる実態を、ホワイトハッカーの第一人者である杉浦隆幸氏に聞いた。

実は、日本のセキュリティレベルは先進各国の中でも高い

「サイバー攻撃の一番の目的はお金です。中には攻撃解除を盾に、身代金を要求してくる場合もあります。ITが家電や自動車にも搭載される中、それだけ攻撃対象も拡大しており、ハッカーは弱点を見つけて至るところに侵入してきます。

例えば、私だって調べようと思えば、かつて世を騒がせたワグネルのプリゴジンの住所と電話番号くらいはすぐに割り出すことができますよ」

そう語る杉浦隆幸氏は2000年に東京理科大学を中退し、ネットエージェントを設立。2004年にファイル交換ソフト「Winny」の暗号を世界に先駆けて解読したホワイトハッカーとして名を知られる、日本の第一人者だ。

2018年には日本ハッカー協会を設立したほかさまざまな案件を手掛け、現在はデジタル庁のデジタル戦略官も務めている。

「企業のサイバーセキュリティ対策は、大抵セキュリティマネジメントから入ります。しかし、これはセキュリティの管理のために規則や手法などを決めるもの。いくらセキュリティマネジメントを行っても、実態と異なる場合は少なくありません。

そこでセキュリティの実態的調査を行うのが、ホワイトハッカーです。完璧だと思われるセキュリティにも、確実に穴があります。その穴を見つけられるのはホワイトハッカーしかいない。セキュリティを強化して、サイバー攻撃からいかに企業を守るか。これがホワイトハッカーの仕事です」

サイバー攻撃は自動化され「秒単位」で起きている

サイバーセキュリティ対策が日本で本格化したのは2000年代。現在、ホワイトハッカーは国内に2000〜3000人いると言われているが、この20年超の間に知見やノウハウが磨かれ、日本のサイバーセキュリティレベルは先進各国の中でも比較的高いレベルにあるという。

むろん穴もある。報道されるサイバー被害はその「穴」を攻撃されたがために生じたもので、日本に限らずどの国にも防御の弱点は存在する。しかし、例えばアメリカでは被害を公表しない場合も多く、強い防御を敷いているように見えているのが実態だ。

「サイバー攻撃は毎日と言わず『秒単位』で起きており、自動化されているケースもあります。基本的なサイバーセキュリティ対策を行っていれば、ある程度は安全を保つことができる。しかし、そこに穴があれば当然攻撃を受けてしまうわけです。

また、サイバー攻撃は海外からされる印象がありますが、それ自体が見せかけのケースもある。実際には日本人が日本の企業を攻撃していることもあるのです」

企業のWebページも、リリース前に「穴」がないかホワイトハッカーが必ずテストをしている。このチェックがないと、サイトの安全性はほぼ確実に破られる。われわれが安心してWebページを利用できるのもホワイトハッカーのおかげというわけだ。


杉浦隆幸(すぎうら・たかゆき)/日本ハッカー協会 代表理事。デジタル庁 デジタル戦略官。2000年ネットエージェントを設立。2004年には「Winny」の暗号解読に成功した(写真は本人提供)

そのため企業では大抵、SIerやセキュリティ会社を通してホワイトハッカーを採用・活用している。直接ホワイトハッカーを雇用するのは大企業などに限られるが、国内では金融系やクレジット系の業種ではセキュリティレベルが充実しているようだ。

「外注では即時対応ができないため、大企業は直接雇用が多いのです。ただし、情報セキュリティ業界は比較的給与水準が高いため、総務や事務系の一員として雇用しようとする企業には、直接採用は難しいでしょう。ホワイトハッカーの昇進モデルがない企業も同様です。

それどころか、サイバー攻撃を防げなかった場合に全責任を負って辞めさせられるケースも少なくない。何もない一日一日こそが評価対象であるのに、それを理解してくれる人が組織内にいない点は問題でしょう」

本気を出せば「社長のパスワードはすぐ割り出せる」

優秀なホワイトハッカーは、暗号やネットワークなど基本的なセキュリティ対策を積み上げて高度な知識やノウハウを有しており、OSCP(Offensive Security Certified Professional)という資格を持つ者も少なくない。

「ホワイトハッカーが本気を出せば、社長のパスワードはもちろん、システムをハッキングしてスケジュールを簡単に割り出すこともできます。実際にやる人はいませんが、ハッカーの実力とはそれくらいのレベルだと考えていただければいい」

とはいえ、すべての分野を網羅しているホワイトハッカーは必ずしも多くない。当然ながら、得意不得意分野がある。また、世間一般ではサイバー攻撃を受けるとホワイトハッカーが敢然と闘うイメージがあるが、実際には異なる。

「サイバーセキュリティの対策は、攻撃を受けないよう事前対応をしていることが大前提ですから、直前ギリギリで防ぐということはほぼありません。現実には、皆さんが思い描くような派手な場面はあり得ないと言っていいでしょう」

陣容はさまざまだが、一般的に大企業のホワイトハッカーは5名前後。経験を積んだ30〜40代のセキュリティ会社出身者が多く、年収は最低600万〜1500万円程度。多くは職人的気質を持っているが、中には昇進してCISO(最高情報セキュリティ責任者)を目指す人もいるという。ただ、ホワイトハッカーに対する採用基準や待遇、昇進モデルは国内企業ではあまり確立されていない。

「そもそもホワイトハッカーは人手不足で、求人してもなかなか採用できない状況です。高専卒や中卒後、個人でスキルを磨いてきた人も少なくありません。しかし、採用基準を四大卒におくような大企業では、能力的に非常に優秀な人材をみすみすはねてしまうことも。ホワイトハッカーには学歴と年齢は不問にしたほうがよいと、日本ハッカー協会からも要請しているのですが」

「セキュリティマネジメント」だけでは意味がない

今後、企業はどのようにセキュリティレベルを上げていけばよいのか。

「中高年はITに苦手意識を持つ人も多く、IT弱者も多い。日常の業務ではそこが穴となって、外部ハッカーに侵入されてしまうケースがあります。また、いくらセキュリティレベルを高めても、侵入されるきっかけは必ず出てきます。

例えば、暗号資産などは狙われやすく、少しでも気を抜けば侵入されてしまうでしょう。企業はサイバーセキュリティに対する意識を全社的に向上させる必要があります。セキュリティマネジメントを一通りやったとしても、実態的調査を強化しなければ意味がないことを理解してほしいです」

企業はインシデントがない平和な期間が続くと、セキュリティ予算を減らしがちだ。しかし、防御のレベルを弱めれば次は何が起こるかわからない。最悪、攻撃を受けたことに長期間気づけなかったり、攻撃を受けたまま何も手出しができないこともある。ホワイトハッカーの存在意義は、今後ますます正しく把握されるべきだろう。


東洋経済Tech×サイバーセキュリティのトップページはこちら

(國貞 文隆 : ジャーナリスト)