COLUMN COLUMN
2022.4.28 /
注目されるセキュリティ人材「ホワイトハッカー」とは
最近ITセキュリティ分野で「ホワイトハッカー」という職業が注目されてきています。
大企業や政府が人材育成を進める「ホワイトハッカー」とはどのような職業なのか、なぜ最近注目されているのかについて詳しく解説します。
ハッカーとは
ハッカーと聞いてイメージするのは、企業や個人のコンピューターやネットワークなどに不正にアクセスして、情報を盗んだりシステムを破壊したりするなどの犯罪をする人など、圧倒的に負のイメージが強いかと思います。
しかし、ハッカーの本来の定義としては、コンピューターやプログラム、ネットワークなどIT関連の仕組みに精通し、非常に高度で幅広く深い知識をもった人のことで、特に悪いことをする人だけを指すものではありません。
ただ高いIT技術を使って犯罪行為をするハッカーが、先行して社会的に知られていったことで、ハッカー=犯罪者というイメージが定着したものと思われます。
ホワイトハッカーとブラックハッカー
特に最近はIT分野の見識や技術を、悪意を持って使って不正アクセスや機密情報を窃取したりする負のイメージのあるハッカーの通称「ブラックハッカー」との対比として、企業や社会のためなど健全な目的で使用する人のことを「ホワイトハッカー」と呼んで区別しています。ブラックハッカーもホワイトハッカーも高いIT技術や知識を有しているという意味では変わりませんが、そういった高い技術や知識を使う目的が犯罪活動なのか、社会や企業を守るためかという意味で、その方向性は真逆と言えます。
需要が高まるホワイトハッカー
具体的にホワイトハッカーとはどのような人なのでしょうか?
IoTにより様々な機器がインターネットに接続され動作することで、社会はどんどん便利になっています。企業や社会はより大量の情報を扱うようになり、企業の機密情報や個人情報の重要性がより高まる一方で、それらを窃取・破壊しようとするブラックハッカーも日々新しい攻撃手法を開発し、その攻撃は多様化かつ高度化しています。
一般的なIT管理者だけではそのような攻撃を把握・推測し対処することは極めて困難になっています。
そのような攻撃に対抗できる人材としてホワイトハッカーが注目されています。
特に多くの機密情報を保有する大企業や、個人情報を扱うサプライチェーン、国家の安全を司る政府機関などでは、情報を守ることは単に会社や組織の財産を守るだけでなく、社会的信用の失墜や場合によっては国家の存続にも関わる非常に重要なことです。
ホワイトハッカーに求められるのは、情報セキュリティシステムの構築・運用、悪意のある攻撃を防ぐための様々な対策、万が一攻撃を受けた場合に被害を最小限に抑える迅速な対処や復旧、その後の改善対策策定など、幅広い分野での情報セキュリティを検討・実施していく能力です。
ホワイトハッカーに必要な能力
ホワイトハッカーの主な仕事としては「サイバー攻撃を防ぐための対応」と「サイバー攻撃を受けてしまった際の対応」の2つがあります。
サイバー攻撃を防ぐための対応
防御のための対応の目的は情報資産を保護することで、主な業務としてはセキュリティ環境を整備することです。
様々なシステム、WEBアプリケーション、ECサイトなどの脆弱性診断の実施、問題がある部分の改修作業などを行います。
また、外部からの攻撃だけでなく、内部スタッフの不正行為や意図的か偶発的かに関わらず情報が流出してないかどうかなど、単なる防御だけではなく攻撃者側の視点でセキュリティ環境を整備します。
依頼先のクライアントとの間で、発見した脆弱性などの報告や改善提案などをおこなうこともあるため、人としてのコミュニケーション能力も求められます。
サイバー攻撃を受けてしまった際の対応
万が一サイバー攻撃を受けてしまった場合を想定して、その被害を最小限に抑えられるような対策を施すことが重要です。
また、セキュリティインシデントが発生した場合に、迅速な調査や分析をおこない、すぐに的確な対処をする必要があります。侵入経路や攻撃方法などを調査し対応ができるようにするための環境づくりも必要となります。
サイバー攻撃を受けないようにすることばかりが注目されますが、万が一攻撃された際にいかに対応するかも同じくらい重要であり、そのための環境構築もホワイトハッカーの対応分野となります。
ホワイトハッカーに必要な資格とは
ホワイトハッカーに関する資格には「認定ホワイトハッカー」というものがあります。
ホワイトハッカーの国際認定資格CEHは「Certified Ethical Hacker」の略です。
Google翻訳などで翻訳すると「認定倫理的ハッカー」と表示されますが、日本では「認定ホワイトハッカー」と訳されています。
この資格はEC-Council社が実施している国際的なセキュリティ専門家の試験により認定される資格で、アメリカ国防総省「CND-SP」防衛指令8570により、アメリカ国防総省の情報システムにアクセスする全スタッフが必ず取得する必要のある資格のひとつとして規定されているものです。
攻撃者側の視点でサイバー攻撃の技術を学ぶことで、攻撃者側の心理を理解しつつサイバー攻撃に対するより実践的なスキルや知識を身につけることを目的としています。
日本では現状あまり知られていませんが、特に外資系企業などでは非常に評価される資格であり、アメリカではセキュリティ関連の資格で平均年収のトップ10にランキングされているほどです。
またそのほかに、高度なスキルを証明できる資格としては「高度情報処理技術者」があります。高度情報処理技術者には「ITストラテジスト」、「システムアーキテクト」、「ネットワークスペシャリスト」などの種類があります。
経済産業省が認定する国家試験である情報処理技術者試験には、10種類以上の資格において1〜4のスキルレベルが設定されていますが、レベル4に相当するものは高度情報処理技術者試験と呼ばれ、どれも合格率が20%に満たない非常に難易度の高い試験になっています。日本国内において試験で測ることのできる最高のレベルとされていますので、高度情報処理技術者の資格があればCEHと同等のスキルを保有しているといえるでしょう。
最後に
IoTの発達やビッグデータの活用など扱う情報の種類も量も増える一方の中、それら情報を守るには高度な知識や技術を持ったホワイトハッカーの存在は不可欠です。様々なインシデントに対応できるホワイトハッカーの育成を加速していくことは、社会的な急務と言えるでしょう。