コンピュータやインターネットを悪用したサイバー犯罪。そうした犯罪に高度な知識や技術で立ち向かう「ホワイトハッカー」にはヒーローのようなイメージがあります。しかし、イメージばかりが先行し、どのような仕事をしているのかはよくわからないという人が多いのではないでしょうか。
そこで、ホワイトハッカーが具体的にどのような仕事をしているのか、どのような企業で働いているのか、さらには求められる知識や技術などを、株式会社justInCaseTechnologiesに所属し、ホワイトハッカーとして働く長谷川隆司さんに解説してもらいました。
ホワイトハッカーとは?
コンピューターに関する専門性の高い知識を持ち、不正アクセスから守る
「ハッカー」と聞くとマイナスなイメージを持つ人もいると思います。正しい意味を教えていただけますか?
「おっしゃる通り、『ハッカー』という言葉からは他人のコンピュータに不正アクセスしてサイバー攻撃をする人といったイメージをしがちだと思います。けれども本来は、コンピュータについて豊富な知識を持っている人や、コンピュータに精通している人のことを表す言葉です。
また、実際に企業が求人募集する時は『ホワイトハッカー』という言葉はあまり使われません。『脆弱性(ぜいじゃくせい)診断士(企業の情報システムやWebサービスの脆弱性に対して判断をする人)』や『ペネトレーションテスター(脆弱性を見つけるテストを行う人)』、もしくは大きなくくりで『セキュリティエンジニア』という職種名で募集されることが多いです。
企業が対外的に、自社に高い専門性を持った人材がいることをアピールする時などに、『当社にはホワイトハッカーが在籍しています』と『ホワイトハッカー』という言葉を使うことがあります」(長谷川さん。以下同)
※脆弱性:コンピュータのOSやソフトウェアで、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと
システムをハッキングして弱点を見つけ、攻撃に備える
ホワイトハッカーはどのような仕事をしているのかを具体的に教えていただけますか?
「システムに対して模擬的にハッキングを行い、そのシステムが攻撃可能か、情報を盗み出すことができるかなどを調べます。そして、セキュリティの弱点を調べてレポートにまとめるのが基本的な仕事です。
実際には大きく2パターンあり、1つ目は企業から依頼を受けるパターンです。具体的には、依頼を受けた企業のシステムにハッキングを行い、セキュリティの弱点をレポートにまとめて提出し報酬を得ます。
2つ目は、所属する企業のシステム対策です。例えば銀行の場合、銀行内にはセキュリティチームがあり、ホワイトハッカーはそこに所属します。そして自社である銀行のシステムにハッキングを行い、セキュリティの弱点を調べてレポートを作成します。攻撃を受けた時に対応するのはセキュリティチームの別の職種の人ですが、日本では職種の垣根があいまいなので、セキュリティエンジニアとして採用された人が、ハッキングの仕事と、実際に攻撃を受けた時に守る業務の両方を担当することもあります。
私自身、セキュリティエンジニアとして働いていた時にハッキングをし、いざという時は防御もしました。インシデント(重大な事件・事故に発展する恐れのある事態)といって、『攻撃されたかもしれない』『情報が漏れたかもしれない』など、事件・事故の可能性が考えられる段階で防御に動きます。具体的には『システムにおかしな挙動があった』『見えてはいけないものが見える状態になっていた』などです。その段階では攻撃されたかどうかわからなくても、防御をしたうえで早めにインシデントを見つけて対処するのです。銀行のようにシステムがたくさんあるところでは、日常的な仕事の一つです」
ハッキングの技術で『世の中を守る』
実際にお仕事をしていて、どのようなことに魅力ややりがいを感じていますか?
「ホワイトハッカーの仕事はもちろん、セキュリティ分野そのものがあまり知られていない職業です。だからこそ、企業やそのサービスを利用しているお客様をかげながら守っているという自負があります。何より、専門性が高いハッキングの技術を『世の中を守る』ことに使えるのは、この仕事ならではの魅力だと思っています」
ホワイトハッカーを目指す前に知っておきたいこと
給料、年収は実績によって変わる
ホワイトハッカーの給料、年収はどれくらいなのでしょうか?
「経験や実績で給料や年収は変わってきますが、ホワイトハッカーと呼ばれる人たちの年収は一般的に400〜1200万円ほどだと思います。経験とは単純に年数ですが、実績にはいろいろあり、特定の業界での経験が重視されることがよくあります。例えば、金融業界では多くのエンジニアがホワイトハッカーとして働いていますが、その中でも銀行、証券、保険、仮想通貨など業種はさまざまあります。それぞれの業種でどのような経験をしてきたかが実績として重視されるのです。特に銀行は、不正侵入、サーバー乗っ取り、機密情報の奪取などを防ぐために高いレベルのセキュリティが求められるので、そこでの実績は重宝されます」
就職先はセキュリティ会社やデジタルサービスを行う企業
ホワイトハッカーの就職先はどんなところか、具体的に教えてもらえますか?
「ハッキングだけをやりたいのであれば、ハッキングサービスを提供しているセキュリティ会社に就職するのがおすすめです。一方、セキュリティ全般を広くやりたいのであれば、一般の企業に就職して、その中のセキュリティ部門で仕事をするのがいいと思います。先ほどお話した通り、一般の企業の中でもホワイトハッカーの採用数が多いのは金融業界です。また、システム化が進んでいる医療業界も採用数は多いと思います。
最近では、ネットショップやフリマサイトなどのデジタルサービスが増えています。そういったデジタルサービスを行っている企業は、個人情報を取り扱うのでホワイトハッカーが必要になってきています。企業全体の売り上げの中でデジタルサービスの占める割合が高いほど、そのシステムが攻撃された時の企業のダメージは大きくなります。それを避けるためにセキュリティに力を入れ、積極的にホワイトハッカーの仕事ができる人を採用しているようです」
ホワイトハッカーになるには
向いているのは「ハッキングの知識を正しいことに使いたい」と思える人
ホワイトハッカーになるのは、やはり難しいのでしょうか? また、ホワイトハッカーに向いている人はどういう人だと思いますか?
「他のエンジニアとの比較で言えば、ホワイトハッカーのようなセキュリティに関わる人の募集はかなり少ないです。企業が採用する場合、大量採用することはほとんどありません。それに比べればセキュリティ会社のほうが就職しやすいですが、いずれにせよ高い技術力が必要になると思います。
新人の場合、すぐにホワイトハッカーの仕事を任されるのではなく、最初は研修や仕事を通じてエンジニアの基礎であるネットワーク、コンピュータの基本となるOSなどを学び、そうしたエンジニアの基礎を習得してからハッキングの基礎を学ぶことになるのが一般的です。
また、適正があるのは『ハッキングの技術を正しいことに使いたい』という意思を持った、善悪をわかっている人。ハッキングは悪用もできてしまうからです。
『文系の人には難しいですか?』と聞かれることもありますが、私は文系・理系はあまり関係ないと思っています。文系の人でも物事を突き詰めたいタイプや、仕事以外でもハッキングを学ぶことが楽しいと思える人ならば向いていると思いますよ。例えば、セキュリティの本を読んだりハッキングを練習できるサイトで試してみたりと、興味を持って自主的に取り組める人は仕事を楽しみながら長く続けられるからです」
エンジニアとしての基礎があることが大前提
ホワイトハッカーには、どのような知識やスキルが求められますか。また、ホワイトハッカーになるために必要な資格はあるのでしょうか。
「エンジニアとしての知識や技術がベースとしてあるうえで、ハッキングの知識や技術が求められます。資格が必要な仕事ではありませんが、ハッキングの実力を示すものとして最近注目されているのがOSCP(Offensive Security Certified Professional)という海外の資格です。知識と技能が求められる試験で、取得するのはとても難しいと言われていますが、持っていれば就職に有利になると思います」
専門学校へ通い、実践的に学ぶ
ホワイトハッカーを目指して専門学校に通う場合、どんなカリキュラムなのでしょうか?
「例えば、『バンタンテックフォードアカデミー』では、まずエンジニアの基礎をしっかり習得します。そのうえでハッキングを実践的に学ぶことができるカリキュラムになっています。
ハッキングをどのような流れで行うのかは、エンジニアでも知らない人が多いです。そこで、授業ではハッキングの一般的な流れを経験してもらいます。さらにハッキングに用いられるさまざまなツールを使い、それらを細かく習得していきます。ハッキングをするのは初めてという学生ばかりですが、『難しい』と言いながらも興味を持つ学生も少なくないですよ」
ホワイトハッカーになりたい人が、独学で目指すことは可能でしょうか? また未経験からホワイトハッカーを目指す場合、どのような勉強をしていくべきでしょうか?
「まずは、エンジニアの基礎を身に付けていることが絶対条件です。そのうえで独学の場合、おすすめなのはハッキングが練習できるサイトを利用する方法です。そのサイトを使って何度も練習すれば、ハッキングの流れを学ぶことができると思います。
また、例えばTwitterでハッキング練習用のアカウントを作り、『今日はこういう勉強をしました』という投稿をしていくのもいいと思います。興味のある人たちとつながることができればそれは人脈になるので、将来、就職する際に役立つかもしれません」
自由な働き方ができ、女性も増えている職業
今後ますます需要の高まるホワイトハッカー。手に職をつけることで、自由な働き方もできると長谷川さんは言います。
「ホワイトハッカーはマニアックな仕事ですが、デジタルサービスに力を入れる企業は増えていますから、需要はますます増えていくと思います。ハッキングの技術に興味がある人はもちろん、自分が好きなサービスを守りたいという気持ちがあれば、ぜひ挑戦してほしいですね。
また、最近は女性も増えています。ホワイトハッカーに限らずエンジニアという職業はある程度経験を積めば、実績を生かして自由度が高い働き方ができます。例えば、子育てをしながらフルリモートや時短でも働きやすい、育休からの復職がしやすいといったメリットがあるのも女性が増えている理由の一つだと思います」と長谷川さんは語ります。ホワイトハッカーを目指す方は、参考にしてみてください。
【監修者プロフィール】
長谷川隆司さん
マニラの日系企業ソリューションアーキテクト。日本でインフラエンジニアを経験したあと、メルカリ、コインチェック、カンムなどでコーポレートエンジニア、セキュリティエンジニアを経験。現在はマニラへ移住し、日系企業でAWS(Amazonが提供している100以上のクラウドコンピューティングサービスの総称)やセキュリティのソリューションアーキテクト、エンジニアリングを担当。情シス転職ミートアップ主催、専門学校でセキュリティ講師も勤める。
♦この職業を目指すなら
バンタンテックフォードアカデミー(IT・プログラミングの専門校)
https://techford.jp/course/comprehensive/