サイバーディフェンスってどんな会社?そんな疑問を明るみにすべく始まった社員インタビュー企画第2弾!今回はサイバーディフェンスのCTO、ラウリ・コルツパルンさんにご登場いただきましたッ!
こんにちはラウリさん。本日はよろしくお願いします。さて、ラウリさんはサイバーディフェンスのCTOという役職についていらっしゃいますが具体的にはどのような業務を行っているのでしょうか?
よろしくお願いします。基本的にはCDIのビジネスに関する技術的な要件を取りまとめて新技術の開発を支援したり、社外でそのレベルの議論を交わすなどしています。
業務はどんな時が楽しいですか?
なにか今まで誰も考えていなかったアイデアを閃いて、それが実現できて、数年後にもそれが便利に使われている時です。自分の考えが間違っていなかった、それが他の人に通じたと皆さんの役に立つようになる喜びで楽しくなって次々とやりたくなりますね。またそれでチームワークが生まれるのも嬉しくて、仲間と一緒にお客さんの希望に応えて評価されることに喜びを感じます。
なるほど、では日頃から最新技術のキャッチアップにも余念がないと思うのですが、そういった情報は主にどうやって収集されているんですか?
主にCISAやサイバーディフェンス独自のニュースフィードやTwitter、Discord、Redditといったコミュニティフォーラムからですかね。他にもセキュリティ系のポッドキャストやyoutube、会社の雑談から収集することもあります。
中でも最近気になってる技術ってあったりしますか?
AIは半分諦められている技術でしたが、ChatGPTのおかげ(?)でまた復活している感じがあります。特にネットワークセキュリティの分野において「人間に頼る部分」に関して効果的なものになりそうです。
AIで自動的に生成される文章が人間が書いたかのようなもので誘導されやすいですし、他の人間のクセが関わるところでも攻撃者が悪用できるかもしれません。例えば「〇〇ネットワーク構成の場合は管理者が〇〇なミスをよくする」というところで役に立つのではないでしょうか。どちらにせよ防御側よりも攻撃者に使いやすいと思っているので、防御面もキャッチアップしていかないと(また)圧倒的に負けてしまう気がします。
そんなサイバーセキュリティ業界の最前線にいるラウリさんですが、この業界に入られたきっかけは何だったんでしょうか?
元々僕はセキュリティに関してそこまで強く意識してなかったんです。単にパソコンいじるのが好きなオタクだったっていうだけなんですけど、それを仕事にしていたらそれがセキュリティ教育の仕事に繋がったんですよ。
当時ある大学の管理者をやってたんですけど、ある時上司から「(管理者やってるから)セキュリティの教育も受けた方がいいよ」って言われて。それで受けに行ったら、授業の後に先生から「あなた次から教える側になりませんか?」って誘われたんです。それまで特にセキュリティのことを意識してきたわけではないんですけど、知らずのうちに(セキュリティに必要な)技術が身についていたんだと思います。
なるほど、大学でシステム管理者としてインフラの面倒を見てたらそこからセキュリティの分野に進んでいったわけですね。
はい、自分の知識やノウハウを伝えるってところから、その知識が攻撃にも使えるってことに気づいて段々と診断やペネトレーションテストなどに活かすようになりましたね。大学の管理者をやってた時に言われたのが「攻撃者は自分の生徒の中にいる」ってことでした。プラットフォームを作って遊び場的な感じでそれを生徒たちに使わせるんですけど、中には凄く攻撃(イタズラ)に熱心な生徒もいて。管理者の立場もあるので昼間はそんな生徒達と攻防を繰り広げながら日常の業務に取り組んでました(笑)
それって1990年代の話ですか?
1996年〜1998年あたりですかね。
その頃のインターネットの世界って割と無法地帯でしたよね(笑)
そうですね(笑)当時のエストニアはまだ法律も定まっていなかったですし、旧ソ連だったこともあってIP(知的財産権)に対して反対っていう意見が強かったので今の時代では違法となるようなことをやっている人も多くいました。
当時のエストニアが置かれていた環境が現在のラウリさんのハッカーとしての姿勢に何か影響を与えていたりしますか?
エストニアは旧ソ連だったこともありあまり裕福な国ではありませんでした。アメリカの何百分の一ぐらいのリソースしかなかったと思います。そんな中で「お金をかけずにどうやって自分の能力を磨くか」ということを常に考えていましたね。パソコンを使えば学習するのにリソースは必要ないので、そうやって生きていくための努力をしていた感じですね。
それがハッカーとして必要な「ハックする(別の方法を見つける)」という姿勢に繋がっているということでしょうか?
そうかもしれませんね。エストニアの電子政府の仕組みも元々少ない技術者たちが集まって、限られたリソースの中で作られたものです。それが攻撃への耐性もあり、運用コストも低いとあって今やその仕組みは世界中から注目される結果となっています。
世界中にパソコンやインターネットが急速に普及していった時代かと思いますが、ラウリさんが初めて触ったパソコンってどんなのでした?
僕にとって一番最初のパソコンはZX Spectrumっていうイギリスのパソコンのコピー品でした。当時Z80のプロセッサはインテルのものより優れたプロセッサだったんですけど、旧ソ連時代に結構コピーされていたんです(笑)友達に売ってもらって、普通のモノクロのテレビを繋げてディスプレイとして使っていました。他にも友達の家で遊ぶためにスポーツ用のバッグにマザーボードやらハードディスクを入れて持ち運んだりもしてましたね。あの時代ラップトップなんてお金なくて絶対買えませんから(笑)
どのようにパソコンの知識を身につけていったんですか?
近くにコンピューター・クラブがあったのでそこに通っていました。当時のそこの先輩たちが自分でジョイスティックを作ったりするような人達で、ICチップなんかも手に入りやすかったので「パソコンは半田ごてに近い」って思ったのはその頃ですね。
インターフェースを作るんですね!
はい、そんなに難しくないですよ。スイッチがいくつかあればそれを溶接すればいいだけなので。
すごい時代ですね(笑)僕が小学生ぐらいの時は街の電気屋さんに「PC-98」といった国産のPCが並び始めてた記憶があります。
「PC-98」と同じようなレベルのエストニア製のパソコンも存在してましたがOSがなくて、起動したらアセンブラのデバッガーに入るっていうのが最初に表示される画面でした。なので、そのコンピューター・クラブの先輩が「MS-DOS」のようにdirコマンドを打てるOSを作ってくれて。それをきっかけにエストニア人はみんなそのOSを使うようになりましたね。そんな先輩達を見ていたので自分も色々と学ぶことができました。
ラウリさんはそんな時代を経験して1990年代からハッカーとして活動しているわけですけど、サイバーディフェンスに入社してくる今の時代の優れたハッカーを見て感じることとかありますか?
自分が最初に触ったコンピューターはアセンブリのコマンドを打たないと使えないようなものだったので、わりとハードウェアのレイヤーに関する知識が身に付いていたんですね。ネットワーク上で何か問題があったらパケットを見ればわかるのが当たり前、みたいな。ところが今の人達はブラウザから入りますよね。ブラウザでF12を押すと当たり前のようにJavaScriptのデバッガを触れるわけですけど、そのJavaScriptという言語がどれぐらいハイレベルな言語なのかってたぶん意識してないと思うんです。逆にもっと下のレイヤーを勉強しようとすると大変なんじゃないかなと思いますね。
昔だったらそういう低レイヤーの知識がないとパソコン使えなかったですけど今は当たり前に使えますからね。
当時はパソコンの中で何が動いているのか、どういうハードウェアが反応しているのかって大体把握できてたんですね。でも現在はパソコン1台の中に何百ものアプリが入っていたりして、クラウドとかも含めると物凄く仕組みが複雑になっているので全ての設計や構造を理解するのは容易ではないですね。逆に複雑なぶん、穴を見つけやすいってこともあるかもしれませんけど。
ラウリさんはサイバーディフェンスに入社されてどれぐらいになります?
2005年に入社したのでもう18年になりますね。
18年ですか!入社のきっかけや初期のサイバーディフェンスについて聞かせてもらえますか?
僕がサイバーディフェンスに入った時は、ちょうどビジネスが色々と変わるタイミングだったんです。元々サイバーディフェンスは商事会社の子会社で、米国から輸入したものを展開する事業がメインだったんですが、iDEFENSEやFoundstoneといったセキュリティベンダーが次々と買収された事情もあってこのまま続けるのは難しいと上から判断されていました。
僕はその頃エストニアでZone-Hのメンバーとしてトレーニングをしたり、脅威情報の収集といった活動をしてたんですけど、ある時インターネットで「日本に行きます」ということを発信したらサイバーディフェンスの人がそれを拾ったんですね。
そのメッセージに反応した人ってどなたですか?
Sさんです。
あのSさん!Sさんはその時サイバーディフェンスに加わるハッカーを探してたんですか?
海外に目を向けてて、面白い人がいたら連絡を取ってたみたいです。当時は外苑前にオフィスがあって、そこで実際に会った際に「こんな案件があったらあなたならどう解決する?」みたいなことを聞かれたので、僕が技術的な解決策を提案すると「今後一緒に働きませんか?」とサイバーディフェンスに誘われました。
当時のサイバーディフェンスはセキュリティ教育のソースがFoundstoneだったんですがちょうどそれが無くなったタイミングでしたし、僕もエストニアでセキュリティの教育をやっていたこともあって、それなら日本でやりませんか?ってこともありました。
なるほど、Zone-Hの教育コンテンツを使ったセキュリティ教育を始めるためにラウリさんが来日したわけですね。その時はまだサイバーディフェンスはペネトレーションテストをやっていませんよね?
はい、僕はエストニアでペネトレーションテストの業務に携わっていたので、日本でもやるのはどうですか?ってアイデアを持ち込んでからサイバーディフェンスでもやるようになりました。
その当時の日本ってまだペネトレーションテストというものは一般的ではなさそうですね。
そうですね、やっぱり攻撃するってなると警戒されることが多かったです。何か起きて上の人を怒らせたらヤバいって思っちゃうんですね。最近では少しずつ考え方が変わってきているようですけど、まだまだペネトレーションテストに対して不安を感じる人も多いと思います。
今だから笑える当時の面白エピソードとか何かありますか?
ある金融系のお客様のデータセンターで診断の仕事をした時の話なんですけど、そこは入る時に必ずカードが必要で、入退出をしっかり確認するシステムもあってすごくセキュリティがしっかりしている場所だったんですね。ところがそのドアは内側からセンサーで感知して開くようになっていたんで、A4の紙を隙間から差し込んでペラペラってやったら開いちゃったんです(笑)さすがに次の年には全く違うシステムに変わっていました(笑)
なるほど(笑)意外と今でも通用しそうなところありそうですね。
物理的なセキュリティを意識してないところには通用するかもしれませんね。僕がサイバーディフェンスに来たばかりの時、僕も大きな組織としてのセキュリティ意識というものがわかってなかったので、当時一緒に診断をしていたアメリカのパートナー達の知恵を借りながら勉強していました。
それってPatch Advisorですか?
そうです。彼らのところには先時代のハッカーも在籍しているので彼らの考え方は今でも通じるなと感じますね。
インターネットをきっかけにSさんと繋がったことから今のサイバーディフェンスの礎が出来上がっていったんですね!そもそもなぜ日本に行こうと思ったんですか?
ただの観光です(笑)日本語も勉強していたので。
なぜ日本語を?
大学時代にコンピューターに没頭しすぎて体が鈍っていたので運動しないといけないな、と思って友達の紹介で合気道を始めました。当時の(合気道の)先生はエストニア人でエストニア語で教えてくれたんですけど、ちゃんと理解するためには日本の文化や考え方、何より言語を知る必要があると思って日本語を勉強していました。
合気道が日本を知る最初のきっかけなんですね!
そうなんです。日本語を勉強する一環としてアニメも観てましたよ。
実際に来日してエストニアと大きく違うなって感じたことはありますか?
エストニアは人口が130万人程度なので、ある一人にあったら残りの人生の中で必ずいつかまたその人に会うだろうって感覚はみんな持ってるんです。でも東京では会った次の日にはあっさり関係を切ることができるっていうのは衝撃的でした。まぁ大きい街の特徴なのかもしれないんですけど。
そんな中で現在の奥さんに出会った、と?
そうですね(笑)結婚してもう15年になります。
15年ですか!仲良いですね。
まぁ喧嘩もしますけどね。エストニアでは結婚して2年経ったら離婚して別の人と結婚、っていうのは普通によくあるのでそういう意味では僕の場合わりと日本式だと思いますね(笑)
子育てなんかについてもお聞きしたいんですけど、もし僕の子供が「ハッカーになりたい」って言い出したらどうしたらいいと思います?
やめた方がいいですね(笑)
え!なぜですか?
まず「ハッカーになりたい」という気持ちだけではハッカーにはなれません。特定の分野で十分な知識を持つことが大切です。
つまり勉強しろ、ということでしょうか?
勉強が好きならそれでもいいと思います。現代では学校以外にも知識を身につける方法は様々ありますから。でもハッカーになることを考えて勉強だけしていると、いつかつまらなさを感じるようになると思いますね。実際ハッカーの仕事ってつまらない繰り返しの作業なんかもわりと多いんです。なので様々なことに興味を持てるようパソコン全般のことを好きになる必要があります。
ではハッカーを夢見る子供のために親としてはどういう支援をしてあげられるでしょうか?
まずハッカーへの可能性のある道を用意してあげることですかね。例えば本人の「常識とは違う考え方や生き方」というのを許してあげること。その子の選択が必ずしも親の望んだものでないとしても、それをやめさせたり「間違っている」と言わないことです。子供にとって親の言葉というのは重要ですから、それによって子供の発想が妨げられるというのは良くないと思います。
なるほどー、と思いながら耳が痛いです(笑)ラウリさんはお子さんにそれを実践しているのですか?
できる限りはそうしていますね。以前ラスベガスで開催される「DEFCON」に子供を連れて行ったことがあるんですが、そこに「r00tz asylum」っていう8歳〜16歳の子供向けスペースがあるんですね。そこではロックピッキングだったり簡単な攻撃用のプログラミングを教えたりするちょっとしたワークショップが開かれていて。そこで得られる「自分でもやってみたら出来た」っていう経験だったり「決められたルール以外の方法もある」っていう発見は、ハッカーになるための重要なポイントだと思います。
ラウリさんはコンピューターのどういうところが楽しくてずっとハッカーを続けていられるんでしょうか?
僕はコンピューターやプログラムというのは小説の延長のようなものだと思っています。プログラムって最初から存在しているものではなくて、誰かが作ったものですよね。文字でも人に何かを伝えることはできますけど、プログラムは「世界をより良くするため」とか「生活をちょっと便利にするため」とか何かしらの作り手の考えが組み込まれていて、ユーザーはもっとインタラクティブになれます。僕にとっては自分のやりたいことを文字よりも表現できるってところが楽しいですね。
作る、表現するって意味だとなんだかアートに近い気もしますね。
そうですね、想像力を働かせて「どうやったらそれを実現できるか」って考えるのはアートに近いかもしれませんね。ただ自己満足のために作るのではなく、誰かの役に立つものを作りたいとは常に思ってますね。
では最後にラウリさんが今後サイバーディフェンスで目指していきたいことを教えてください。
これからも世界中でITや自動化などの進化は止まることはないと思います。またそれを悪用する人々も必ず存在しますし、ソフトウェア開発やシステム設計の中で必ず脆弱な部分も存在すると思います。サイバーディフェンスとしてはその不備を把握したうえで利用者に良い判断ができるように伝えるとともに、一緒により安全な世界を作るための協力をしたいと思っています。
僕が日本で活動を始めたころはペンテストと言う概念もまだ理解されていなかったですが、将来はその次のステップでもあるレッドチーミング、安全な運営や経営設計といった部分で力になっていければと思っています。
本日はどうもありがとうございました!
ありがとうございました。
Lauri Korts-Pärn(ラウリ コルツパルン)
エストニア出身。タリン技術大学で8年間Linux管理者を務める過程で、ネットワーク、Linux、複合セキュリティ環境等に関する高度な技術と知識を習得する。2003年、欧州で開催されたセキュリティ研究機関Zone-hのハッキングミッションを史上最速でクリア。その後、Zone-hの中心メンバーとして、世界各国で実践ハッキングセミナーの講師を務めた。 サイバーディフェンスでは、多数の重要な日本企業のペネトレーションテストやDefConのCTFコンテストの決勝戦に進むなど、数々の貴重な経験を積んでいる。卓越したハッキング技術に加え、エストニア語、英語、日本語、ロシア語、フィンランド語などの多言語を自在に操る。