連載
» 2018年02月26日 05時00分 公開

プロエンジニアインタビュー(9):教えて! キラキラお兄さん「なぜ、フォレンジッカーは何も信じないの?」 (2/3)

[高橋睦美,@IT]

師匠と共に、寝ても覚めてもフォレンジックでスキルを磨く

 川崎さんは新卒でいきなりコンピュータフォレンジック業務に携わることになり、「入社直後は用語1つ取っても分からないことだらけで、この時が一番辛かったです。人生で一番勉強しました」と振り返る。過去のコンピュータフォレンジック案件に関わる文書や書籍を、それほど得意ではなかったという英語の文献も含めてひたすら読み、知識を身に付けていったそうだ。

 そんな川崎さんにとって大きな力になったのが、当時の会社の教育制度だ。チューターが1対1でつきっきりで指導してくれる「パダワン制度」を通じて、大きく成長できたという。

 「師匠と寝食を共にしながら、寝ても起きてもフォレンジックという日々を送りました。今思うと、何もできない新人のお守りは大変だったと思いますが、『お前を一人前に育ててやる』と言ってくれ、心構えから技術まで、何でも教えてくれました」

 机上での研修ではなく実際の案件を手掛け、手を動かすことでもスキルを磨けた。

 その師匠の教えで印象的なことがある。「何も信用するな。本も、ネットの記事も、俺の言うことも信じるな」というものだ。人が言ったことをそのまま鵜呑み(うのみ)にしてはいけない。1つ1つ自分で検証し、自分の目で確かめる……それが真犯人を見つけ、冤罪(えんざい)を防止することにつながると、川崎さんはたたき込まれたという。

 1つのログ、1つの証拠だけを信じないことも、大切な教えの1つだ。

 「人が何かをすると、たいていの場合、1つではなく複数の痕跡が残ります。未熟なフォレンジッカーならば、何か1つ証拠を見つけると、すぐ『見つけたぞ、お前が犯人だ』と言いたくなるかもしれません。しかし、他の証拠と組み合わせると、その推論が適切ではない場合もあります。必ず複数の痕跡から1つの事象を説明できるように証拠を探し、証明できるように報告書を書けと教えられました」

 また、情報漏えいにせよ、その他の不正にせよ、調査は時間との戦いになる。

 「インシデントが起きたら、いかに早く調べるかが重要です。そのためにもしっかりヒアリングしたり、状況を整理したり、あるいは人をプロファイリングしたりといったアナログ的な視点も組み合わせて優先度を付けていかないと、時間内に終わらなかったり、見つけられなかったりします。例えば、『この人はブラウザはIEしか使っていないから、そんなにITスキルが高くない可能性がある。高度な手法で持ち出しをしていない可能性が高いから、ベタなところから探していこう』といった戦略が立てられます」

内部不正だけでなく、セキュリティに関するフォレンジックにも興味

 こうして川崎さんは師匠と共に、実際の案件調査を通してスキルを高めていった。数年前から、内部不正だけでなく、マルウェア感染や不正アクセスといった外部の要因に起因するインシデントが増えてきたことから、徐々に、サイバーセキュリティに関するフォレンジックにも興味の範囲が広がっていったという。

 「フォレンジックを極めようと思ったら、内部不正に関するフォレンジックだけでなく、サイバーセキュリティに関するフォレンジックのスキルも必要だと思いました。先ほど申し上げた通り、内部不正に関するフォレンジックではアナログ的な視点が必要な一方、サイバー犯罪の場合は相手がプロということもあり、求められる知識や技術が深いんです。それぞれ異なるスキルセットが必要なんですが、両方ともできるフォレンジッカーになりたいと思って、独学で知識を広げていきました」

 川崎さんは当時、フォレンジッカーが情報交換を行う「デジタル・フォレンジック研究会(IDF)」の事務局も務めており、既にサイバーセキュリティのフォレンジックに携わっている名和利男氏といった「先達」から、「君もこっち側に来なきゃ」と、最新の動向を伝えられたことも刺激になったという。

 「当時の会社やセキュリティ専門ベンダーでは、できることが限られていると思ったんです。フォレンジックならフォレンジックだけに閉じがちで、他の部署との交流もあまりないと感じていました」

 もっと携わる領域を広げたい、それに必要なスキルも深めたい……そんな思いを抱いて転職を考えた際、縁があったのがリクルートテクノロジーズだった。

 「ここの求人内容は、他のCSIRTとはまるで違いました。『マルウェアアナリストはもういるけれど、ペネトレーションテスターが欲しいし、フォレンジッカーも欲しい』というもので、普通のユーザー企業がフォレンジッカーを欲しがるなんて、と驚きました」と振り返る。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。