ACSiON 安田貴紀氏に聞く、セキュリティ開拓の道

ACSiON 安田貴紀氏に聞く、セキュリティ開拓の道

セブン銀行の商品開発者として活躍していた安田貴紀氏は、2013年に判明したインターネットバンキングの不正送金対応がきっかけで初代CSIRTリーダーに就任した。当時はサイバーセキュリティに関してほぼ素人だったというが、いつしか他の金融機関からも頼られる存在に。2019年には、社内発セキュリティ会社「株式会社ACSiON(アクシオン)」を立ち上げ、代表取締役となった。

  今の安田氏を見ていると、6、7年前まで素人同然だったとは決して思えない。「もともとはずっと商品開発をやっていたので、好奇心の赴くままに調べたり、一つの物事をマニアックに掘り下げるのが得意でした」と安田氏は自己分析する。

 激レアなキャリアを突き進む安田氏は、いかにしてサイバーセキュリティの知識やスキルを身につけていったのか。ターニングポイントとなったインシデント対応や、普段の学習スタイルについて聞いた。


「シーサート」「ゼウス」「シタデル」

 安田氏がサイバーセキュリティに携わるようになったのは、2013年5月、セブン銀行を見舞った不正送金事案がきっかけだ。急きょ対策チームとして白羽の矢が立ったのが、安田氏と商品開発部の相棒 西井健二朗氏だった。この頃の2人はまだサイバーセキュリティに関して素人同然。他行のCSIRTに助言を求め、「シーサート」「ゼウス」「シタデル」など、出てきた単語をカタカナでメモし、ググるというところから始まったという。

ベンダーの提案書は最高の教科書

 安田氏は、普段何気なくやり過ごされてしまうコミュニケーションの中にも、スキルアップのチャンスが潜んでいるという。

 「インターネット上にはさまざまな情報があり、少し専門的な内容でも大抵のことは検索すれば出てきます。でも一番わかりやすかったのは、セキュリティベンダーの提案書やセミナー資料でした。専門用語やインシデントの事例を非常にわかりやすく解説してくれて、概念的にキャッチアップできる要素がたくさんありました」

 安田氏は新しい技術への関心が高く、自社の課題を解決してくれるものであれば導入実績の有無に関係なく検討し、国内ファーストユーザーになることも厭わない。そのため、まだ目新しい提案を持ち込まれる機会も少なくないという。「われわれに提案したいベンダーや、情報交換がしたいと言って連絡をくださる方は業界越えていらっしゃいます。新たな知見が得られる機会になりますし、ほとんど断ることなく会っていると思いますね」

他社のCSIRTやインシデント対応経験者との継続的な情報共有

 日常的なCSIRT活動やインシデント対応に関しては、他社のCSIRTやインシデント対応経験者に聞くのが一番早かったという。安田氏は積極的に社外の人たちと繋がっていった。商品開発部出身だと言うと、相手も専門用語を多用せず、よりわかりやすい表現や簡単な例を交えて教えてくれたという。そのおかげで理解が早かったのではないかと安田氏は述懐する。

 「やはり情報共有することで得られる気づきはたくさんあります。一方的に話を聞くだけではなく、自分がやってきたことを言語化したり、資料にまとめたりしていくプロセスの中で、さらに自分の理解も深まります。その繰り返しですね」

 社内の別の部門が詳しい情報を握っているというケースもある。CSIRT活動の一環で社内に情報共有する枠組みを作ると同時に、役員や有志のセキュリティ勉強会は現在も定期的に開催している。

本を読む前に、ログを読む

 技術的な理解に関しては、「まず自分でちょっとやってみることが大事」だという。人から聞いた知識だけでは身についたとまでは言えず、実際のインシデント対応では役に立たない。

 「例えば、ログの見方って聞けばだいたい分かるとは思いますが、実際に自分でちょっと見てみるとか、やはり自分で手を動かしてみること。過去のセキュリティインシデントのログを見て、自分でその事件を突き止めるみたい形でスタートしてもいいかもしれません。やってみて、その奥の深さだったり、見るべきところ、やるべきことを自分で理解するって大事なことだと思っています」

 「手を動かす環境」とは、どのようなものを用意したのか。「社内にスタンドアローンのPCと回線を用意して、わざとフィッシングサイトを踏みに行くとか、感染しに行ってどういう動きするのかを確認してみました。本番環境以外にそういった環境があると、そこで攻撃者やマルウェアが次にどんな動きをするのか、手の内が分かりやすくなります」

 インシデントの被害を最小化するには、まず起きている事象を正しく理解できるかがポイントだ。攻撃者の動きの一端でも推測できれば、より迅速な対応が可能となる。

 また、安田氏は、自分で手を動かしてから専門書を読むことをお勧めするという。「専門書を読むことから入ると、書いてあることだけをやって、自発的な気づきや工夫といった大事なものが欠落してしまう可能性があると思っています。本当はもっと深く理解できたはずのことが、表面的に理解になってしまうかもしれない。自分で『手触り感』を持ってやった方が断然身につくと思います」

とにかくアウトプットしてみる

 自分の得た知識が正しいかどうかは、さまざまな機会で積極的にアウトプットしていくことで精査できるという。記事にしたり、講演したりする機会がなければ、同僚など身近な相手に教えるといったことも効果的だという。体系立てて説明できなければ相手にはうまく伝わらない。相手からの質問に答えることで自分の理解も深まる。それを繰り返すことで、知識だけではなくインシデント対応現場で求められるコミュニケーション能力も高まっていくのだという。

(以上)