＠IT：ファイアウォール・スペシャリストになるには

第一線エンジニアに聞く！
ファイアウォール・スペシャリストになるには

下玉利尚明
2002/11/16

外部ネットワークからの攻撃や、不正アクセスから組織内部のネットワークを守るのがファイアウォールだ。では、ファイアウォールのスペシャリストを目指すには、どうすればいいのだろうか？トップエンジニアに聞いた。

■ファイアウォール・スペシャリストに求められる条件

　セキュリティ対策の代表格の1つであるファイアウォールだが、それだけで運用するよりも、ルータやIDS、ウイルス対策ソフトなどを組み合わせて利用する機会も多い。それによって、より高度なセキュリティを確保できるためだ。そのため、ファイアウォールのスペシャリストには、各社からリリースされているファイアウォールの製品・運用知識はもちろんのこと、インターネットやセキュリティ全般に関する幅広い知識とスキルが求められる。そこで、インターネットイニシアティブ（IIJ）の取締役技術本部システム技術部部長歌代和正氏に、ファイアウォール・スペシャリストに求められる条件について伺った。

歌代和正（うたしろかずまさ）●IIJ 取締役技術本部システム技術部部長。UNIXを中心とするソフトウェア開発を経て、1994年よりIIJでセキュリティサービス開発に従事。WIDEプロジェクトボードメンバー。JPCERT/CC運営委員。

――ファイアウォールのスペシャリストになるためには、やはり、ファイアウォール製品に関する深い知識が求められるのでしょうか。

歌代氏　製品に関する知識はもちろん必要です。ですが、あくまでも必要条件であって十分条件ではありません。IIJでは、ファイアウォールやIDSなどのセキュリティサービスを、「IIJマネージドサービス」として提供しています。製品やシステムの提供・サポートだけではなく、マネジメントまでを含め、トータルで提供しているのです。そうなると、製品の知識は不可欠ではありますが、それと併せて、セキュリティポリシー、セキュリティ技術やインターネット技術に対する見識、トラブルへの対応能力など、製品以外の知識とスキルが求められます。大まかにいってしまえば、製品知識や運用ノウハウが3割程度で、それ以外の知識・スキルが7割ですね。

――製品や運用ノウハウ以外の知識・スキルとは具体的にどのようなものでしょうか。

歌代氏　セキュリティエンジニアやファイアウォールのスペシャリストに不可欠の知識やスキルといっても特別なものではありません。インターネットがどういったプロトコルでどういう仕組みで動いているのかといったインターネットの構造、TCP/IP、DNSなどのインターネット技術です。つまりは、セキュリティのベースとなる知識を押さえておく必要があるのです。

――以前は、ファイアウォール製品のデファクトともいえる「FireWall-1」を勉強しておけば間違いないという風潮があったと思います。現在は、それ以外の知識やスキルが求められているのですね。

歌代氏　プログラム言語と同じようなことです。例えば、C言語だけしか知らないプログラマはこれから生き残りは難しいでしょう。FireWall-1だけしか知らないというのではセキュリティエンジニアとして経験を積んでいるとはいえないのです。製品の運用ノウハウはもちろんですが、それらのツールを通して「本質的なものは何か」を考えなくてはなりません。

――本質を見抜く力はなかなか身に付けられるものではないと思います。歌代さんご自身は、サービスを提供するうえで、どのように製品を選択しているのですか。

歌代氏　IIJがファイアウォールのサービスを開始したのは1994年の暮れです。その後、FireWall-1と「WatchGuard」をマネジメントまで含めて提供するに当たり、アメリカに乗り込んで開発担当者と直接会って、そのコンセプトを聞き出しました。「どういう人間」が、「どういったコンセプト」で、「どのような作り方」をしているのかが知りたかったのです。われわれの提供するサービスに適しているかどうかは、表面的な仕様だけではなく、その背景にある本質的な部分を見なければ判断できないからです本質を知らなければマネージドサービスとして、どういった方向性で提供すればいいのかが分からないからです。

――ファイアウォールのスペシャリストを目指すエンジニアにとって、そのようなチャンスが与えられればベストですね。ただ、多くのエンジニアはそうした機会に恵まれてはいないと思います。では、これからファイアウォールのスペシャリストを目指すエンジニアは、どうすればいいのでしょうか。

歌代氏　抽象的な言葉になりますが、予測する力、想像力をたくましくすることが重要ではないでしょうか。よくフィードバックという言葉を耳にしますね。何かトラブルが起きたときに、その経験を踏まえてシステムを改善することですが、セキュリティの世界では、フィードバックのほか、「フィードフォワード」も求められます。起こっていないことを予測し、あらかじめ対処策を講じておくことです。

　これができれば、ヒマそうにしているセキュリティエンジニアほど優秀なエンジニアとなります（笑）。トラブルは予測済みで、対処策も構築されているため、あわてることがないのです。反対に、いつもトラブルに追いまくられて、忙しそうに働いているエンジニアは優秀とはいえないわけですね（笑）。

　想像力は身近な生活の中で鍛えられます。私は、エスカレーターに乗っているときに、「目の前の人が自分に倒れかかってきたらどうしようか」と考えることがあります。このように、「こんなことをされたらどうしよう」「こんなことが起きたらどう対処しようか」を常に考えておくことが大切だと思います。『カムイ外伝』という漫画の中に、「必殺技を思いついたら、それを破る技を考える」といったせりふがあったように記憶していますが、それはセキュリティエンジニアの心構えにも通じる言葉だと思っています。

――『カムイ外伝』とは、意外なところにセキュリティのヒントが隠されているのですね。

歌代氏　囲碁や将棋などでもそうですが、すべての可能性をすべて考え尽くすことは不可能です。そこでは、「勘」も重要になります。人知を超えたインスピレーションではなく、経験と知識を総合的に結集して、うまく説明はできなくても、何かがおかしいと感じられるような能力が「勘」と呼ばれるような気がします。

　例えば、あるWebサイトのファイルにトロイの木馬が隠されていたのをIIJのエンジニアが発見したのですが、それも当初「何かがおかしい」というところから始まったのです。問題のファイルをFTPでダウンロードしても、毎回トロイの木馬が隠されているのではなく、一定の割合で隠されていたので、ほとんどのファイルは正常でした。そのため、当初はこちら側のFTPクライアントがおかしいのではないかとも考えたのですが、「いや、何かが違うぞ」と、さまざまな可能性を探ったのです。

　結局そのWebサイトのログを調べてもらうと、サイズの違うログが一定の割合で交じっていたことが判明しました。トラブルが起きる場合には、必ず予兆があるのです。「何かおかしい」と心に引っ掛かるものを見逃さず、多くの情報を基に分析し、可能性を探る。情報収集力と経験が、想像力や第六感の裏付けになるのです。

――想像力がセキュリティエンジニアにとっては重要なことなのですね。

歌代氏　後はトラブルを楽しめるような気持ちを持てるかどうかも大切ですね。トラブル対応は、セキュリティエンジニアの重要な仕事の1つです。しかも、深刻なトラブルが多い。厳しい状況でもパニックに陥らず、反対に楽しめるような精神的なタフネスも重要です。見方を変えると冷静に判断できて、深刻なトラブルも意外に楽しめるようになるものですよ。

■歌代氏のお薦め書籍

　ファイアウォール・スペシャリストを目指すうえで、読んでほしい書籍をとお願いしたところ、次の3冊を推薦してくれた。ファイアウォールと直接関係のない本が2冊あるが、心構えや考え方を学んでほしいという。

ファイアウォールを実用的なアプローチから解説

　現実的かつ効果的なファイアウォールの構築と設定を、実用的なアプローチから解説している。技術だけではなく、セキュリティポリシーの立案と実践方法、上司やユーザーの説得手法といった現場で役立つノウハウも網羅。

歌代氏：「1996年に初版が出版され、以降、インターネットの世界は技術が飛躍的に進歩しました。そのため、年内にはニューバージョンが出版されます。上下の分冊となり、上巻は『インターネットセキュリティ』や『ファイアウォールのコンセプト』など、読み物として理解できる内容です。下巻は、プロトコルごとに脆弱性を分析するなどリファレンスとして活用できます。セキュリティエンジニアにとって必携の書籍です」（今回紹介しているのはニューバージョンではありません）

ファイアウォール構築　インターネットセキュリティ

D. Brent Chapman、Elizabeth D. Zwicky著、歌代和正監訳、鈴木克彦訳
オライリー・ジャパン 1996年7月
ISBN4-900900-03-6
5200円（税別）

問題の発見方法と解決方法が理解できる

　さまざまな架空の問題に対して、問題の発見方法と解決方法がわかりやすく解説されている。

歌代氏：「セキュリティエンジニアに限らず、多くのエンジニアに推奨の1冊です。何事も目の付けどころを誤ると、何が問題であるかを発見できず、解決もできません。『何が重要なのか』を常に判断しなければならないセキュリティエンジニアにとっては、視点の変え方を学ぶのにとても役立つはずです」

ライト、ついてますか問題発見の人間学

ドナルド・C・ゴース、ジェネラル・M・ワインバーグ著、木村泉訳
共立出版 1987年10月
ISBN4-320-02368-4
2000円（税別）

孫子の兵法はセキュリティ対策の本質

　約2500年前に書かれたとされる孫子の兵法についての解説書。

歌代氏：「敵が向かってこないことを期待するのではなく、敵に立ち向かえるだけの準備をしろ、敵が攻めてこないことを祈るのではなく、攻めさせないような備えをしろといったあたりは、まさにセキュリティ対策の本質を語っています。技術的に役に立つというものではありませんが、敵に対峙（たいじ）するための心構えのようなものを与えてくれます。IIJで最初にファイアウォールのサービスを立ち上げろといわれたころに読んだ本です。セキュリティサービスに備えて読んだ本は、この1冊だけかもしれません（笑）」