サイバーディフェンス研究所(CDI)で活躍するエンジニアたちの素顔に迫る社内インタビューシリーズ。 今回は、脅威インテリジェンス(Threat Intelligence)の分野で長年活躍し、近年ではAI・LLMのセキュリティ活用にも取り組んでいる中島さんにお話を伺いました。
まずは、現在担当されている業務内容について教えてください。
所属はスレットインテリジェンスグループです。主な業務領域としては、APT(Advanced Persistent Threat)、脅威インテリジェンス、マルウェア解析、アトリビューション(攻撃者の特定)、そして最近話題のアクティブサイバーディフェンスといったキーワードに関わることであれば「何でもやる」というスタンスのグループですね。
最近だと、脅威インテリジェンスに加えて、LLM(大規模言語モデル)やAIといった新しい技術にも積極的に触れるようにしています。
「何でもやる」というのは、具体的にはどのような動き方なのでしょうか?
毎年決まったルーチンワークがあるというよりは、その時々の要請に対してソリューションを提供する仕事が多いですね。 大きく分けてやっていることはいくつかあります。
一つは「脅威リサーチ」。国家背景を持つような攻撃者の分析やレポート作成です。これは仕事としてもやりますが、半分は趣味というか…(笑)。日々怪しい検体や気になったブログ記事を分析しています。
二つ目は「対外的な活動」。これは自社のPR活動を軸としつつ、自分自身のキャリア形成も兼ねて、海外のカンファレンスで積極的に発表を行っています。
三つ目は「アドバイザリーや製品開発支援」。最近のサイバー攻撃の事情をお客様に共有したり、CDIで開発している製品(Google Threat Intelligenceを活用したものなど)の支援、あるいは自分たちで脅威インテリジェンスを収集・活用するためのツール開発などを手掛けています。
あとは、演習(トレーニング)のシナリオ作成ですね。実際の攻撃を模したレッドチーム演習や、ブルーチームの演習シナリオを作るなど、本当に多岐にわたります。
学生時代からセキュリティには関わっていたのですか? リサーチの動機はどこから湧いてくるのでしょう。
学生時代はCTF(Capture The Flag)をやっていました。ただ、CTFというのは「解けるように作られたゲーム」であり、ある種スポーツ的な要素が強いんです。
一方で、実際の「マルウェア解析」には正解が用意されていません。本物の攻撃には、我々が想像していない荒い部分や、生々しい部分が含まれています。そういった「リアルなもの」を解析し、実在する脅威を明らかにしていくプロセスに面白さを感じました。
現実社会とリンクしている部分に惹かれたと。
そうですね。サイバー空間って目に見えないものですが、どんなに日本が攻撃されていても街は平和だったりしますよね。でも実際には、その見えない攻撃が現実社会と繋がっている。 仕事をしているとあまり意識しないことも多いですが、某サイバー攻撃でふとコンビニで空の棚を見た時に「あ、これはサイバー攻撃によって物流が止まったからなんだ」と気づくような。自分が追っているサイバー上の事象が、現実世界にリンクしていると感じられた時に、この仕事の重要性を感じますね。
また「リアルなもの」だからこそ、そこにある事実を明らかにしたいという「知的好奇心」がベースにあるんだと思います。
これまでで印象に残っているプロジェクトはありますか?
二つあります。 一つは、CDIに入社して初めて担当した国内の大きなAPT案件です。実際の攻撃に使われた生のマルウェアと向き合い、リバースエンジニアリングをして、プロキシログを復元して、攻撃者が何をしたのかを明らかにする。学生時代のCTFとは違う「プロの仕事」「実際のインシデント対応」の緊張感とやりがいを肌で感じた案件でした。
もう一つは、インターポール(国際刑事警察機構)関連の仕事で、 サイバー犯罪捜査のために、各国の警察組織の連携を支援する仕事でした。インターポールというと華やかなイメージがあるかもしれませんが、実際に行ってみると、国によってレベル感も違えば、サイバー攻撃に対する考え方も違う。キラキラした世界と、現地の泥臭い差分。そのギャップも含めて、リアルなサイバー犯罪対策の現場を見られたのは印象深かったですね。
英語でのコミュニケーションも多かったと思いますが、元々得意だったのですか?
いえ、全く(笑)。今も得意ではないです。 ただ、プライベートで友達を作る英会話と、ビジネスで目的を達成するための英語は別物だと思っています。仕事の商談ではないなら、英語が流暢じゃなくても、図を書いたりコードを見せたりして「こういうことがしたい」と伝えれば通じますから。 「英語が話せないからできない」ではなく、「必要だからやる」。拙いなりにコミュニケーションを取ってきました。そういう環境に飛び込んでいく度胸みたいなものはあったかもしれません。もっと英語が話せたほうが、良いとはいつも思ってます。
現在はAIやLLMの活用にも力を入れていますね。
新しい技術には常に触れていたいと思っています。同じことだけをやっていても面白くないですし、何より「楽をしたい」ので(笑)。 AIがすごいというより、「AIに任せられる単純作業は任せて、人間はもっと面白い・高度な部分に集中したい」という思いが強いです。 ただ、流行っているから使うのではなく、その原理や「なぜ動くのか」といった本質的な部分への理解や好奇心は忘れないようにしたいですね。LLMを組み込んで業務を自動化したり、逆にセキュリティエンジニアの視点でLLMの弱点を検証したり、そういった試行錯誤を楽しんでいます。
最後に、どのような人がこの仕事に向いていると思いますか?
「才能」という言葉がありますが、僕は「好きなことをやり続けられること」自体が才能だと思っています。 「努力」と言うと苦しそうですが、傍から見て努力に見えることでも、本人にとっては「好きでやっていること」「興味があって調べていること」であれば、それは苦になりません。
サイバーセキュリティの世界は、答えのない課題や、面倒くさい泥臭い作業の連続です。でも、「困難な課題を楽しむ姿勢」や、「分からないことを知りたいという好奇心」があれば、それは立派な才能です。 自分の興味を突き詰められる人、困難を楽しむことができる人と、ぜひ一緒に働きたいですね。
| 中島 将太 株式会社サイバーディフェンス研究所にて、マルウェア解析、脅威リサーチ、脅威インテリジェンス製品開発に従事。マルウェア解析の専門家であり、特にマルウェアのリバースエンジニアリングに精通している。さらに脅威インテリジェンス領域では、最新のAPTを追跡し、JSAC、VB、HITCON、AVAR、Black Hat Arsenal、CODE BLUEなど様々な国内外のカンファレンスに登壇、多くの研究成果を上げている。こうして培った専門知識を活かして、実用的な脅威インテリジェンス製品の開発をおこなっている。 また、セキュリティコミュニティでも積極的に活動しており、技術書の執筆、講演、OSSへのコントリビューションに加え、セキュリティ・キャンプで講師も務め、若手の育成にも貢献している。というのは世を忍ぶ仮の姿である。 |
|---|
サイバーディフェンス研究所は、やる気のある技術者の採用を常時行っています。 採用や選考に関する質問や相談は、弊社ウェブサイトのお問い合わせフォームやXのDMなどでお気軽にどうぞ!
