転職は非線形な成長のきっかけになる。専門外から飛び込んだセキュリティ業界でギャップを乗り越えて【はせがわようすけさんインタビュー】

ひょうひょうとした自然体。専門家だと偉ぶることもなく若手エンジニアと議論に興じ、子どものように無邪気に技術を楽しむ──Webセキュリティ企業のセキュアスカイ・テクノロジー(SST)でCTOを務めるはせがわようすけ@hasegawayosukeさんは、技術力や発想力だけでない不思議な魅力の持ち主です。

そんなはせがわさんですが、エンジニアとしてのスタートは組み込み領域における回路設計。単純に勤続年数としては最も長く経験された企業だとか。同じコンピュータ関連とはいえ、畑違いの世界からいったい何を考えてセキュリティ業界に移り、どんなキャリアを歩むことで現在のはせがわさんになったのか? いくらかの笑いも交えながらお話を伺いました。

セキュアスカイ・テクノロジー CTO はせがわようすけ氏

目の前の課題をできるだけ抽象化してから解決したい

── 現在のポジションはCTOですが、具体的なお仕事について教えてください。

はせがわ セキュアスカイ・テクノロジーでCTOのタスクが明確に定められているわけではないですが、僕自身が一番重視しているのは、自分の技術ではなく、会社全体の技術力を上げていくことです。

── そうすると自分で手を動かすより、マネジメントの時間が長いのでしょうか?

はせがわ 自分としては、スペシャリストとしての自分とマネジメントとしての自分を半々くらいにしたいのですが、実際は2:8でマネジメントの比重が多いイメージですね。もっと手を動かしたいなという思いがあるのは確かです。

── マネジメントの仕事は、やはりやらざるを得ないものなんでしょうか。

はせがわ いえ。もともと課題を極力抽象化して解決したいというモチベーションが、けっこう大きいんです。目の前に課題があったとき、エンジニアならコードを書いて解決しますよね。それも嫌いじゃないんだけれども、それだと本質的な解決に至らないことも多いんじゃないか。それで、解決手法をどんどん抽象化された領域に移そうとすると、自ずと仕事がマネジメントのレイヤーになっていくわけですね。

── 課題の抽象化とはどういったことでしょう?

はせがわ 自分が直面した複数の課題や事業から、本質的に同じもの、共通するものを洗い出すことですね。それから、自分にしかできない仕事を減らして、極力どの人でもできるようにしていく。自分がいなくても成り立つ形を作っていくことも、抽象化の一端だと思います。

── それは現場で手を動かしたいという気持ちと相反してきますね……。

はせがわ まったくです(笑)。手を動かすエンジニアリングが好きだとさっきも言いましたが、それと同じくらい人を見ることや、抽象的な領域を観察することも好きなんですよね。例えば趣味でも、最近はDIYに凝っていて一日中やすりがけをして筋肉痛で動けなくなったりもするし、一方で社会学や心理学の本を読みあさることもすごく好きです。

電子回路の設計を通して学んだ「品質」とハックの原点

── 問題を抽象化するアプローチを気にするようになったのはいつ頃でしょうか?

はせがわ セキュリティ業界に入る前に、産業機器の電子回路などのハードウェア設計を長くしていました。回路設計でミスがあると、自分たちはもちろん、お客さんからも再発防止策が求められます。その場合、目の前の課題を解決するだけでは本質的な解決にはならず、同じミスが起こらない仕組みやレールを敷かないといけない。つまり、問題の本質がどこにあったのかを見定めた上で、抽象化された部分で解決していかないといけないんですね。

そういったアプローチを取ると、同様の問題が違う場所でも発生しない状況を作っていけることに気が付きました。つまり、エンジニアが技術を使って課題を解決するときには、少しでも抽象化された領域を解決していかないといけない。そう思うようになりました。

── ハードウェアでの経験がセキュリティ業界で生きることもあるんですね。

はせがわ たくさんあります。産業用機器を作っていたので、Webの世界なら許容されるようなちょっとしたバグも許されないし、厳しい品質が求められました。その中で「どうすれば品質が上がるのか?」という考え方が自分に根付いたんだと思います。そもそもセキュリティの道に進むきっかけも「品質を上げたい」という考えがベースですから。

品質マネジメントにおける「ISO9001」のようなルールについても、当時は「すごく窮屈だな」と考えていましたが、いざそういうルールのないWebの環境に来て、逆に「やりにくいな」と感じることもありました。品質に対して、何から手を付けたらいいか分からない不安があるんですね。ああいったルールにも大きな意味があることに後から気付きましたね。

── 当時はどのように仕事をされていたんでしょうか?

はせがわ わりとアナログなところもあって、回路図を書いたら印刷して、みんな紙の図面を見ながらペンを片手に型式や極性をチェックしてました。けれど僕は、回路図のエディターのフォーマットを解析して、チェック用のプログラムを自作してたんです。すると他の人が2日かかる仕事を2時間で終えることができる。仕事が桁違いに早く終わりますから、他のことを勉強したりする余裕ができました。やっぱりプログラミングはできた方が、自分の能力を飛躍的に伸ばせますね。

── それはまさに本来の意味でハックですね。プログラマの三大美徳にいう「怠惰」の体現というか*1

はせがわ そうですね。他にもシステムをいろいろハックしながら仕事をしていました。1つよくなかったのは、それを自分のためにしか使っていなかったことです。きちんと社内に展開すればみんなの効率が上がったんでしょうけれど、その後のサポートに巻き込まれるのが嫌で(笑)。

コミュニティ黎明期から生じたWebセキュリティへの興味

── セキュリティ業界に興味を持った経緯を教えてください。

はせがわ 回路設計とともに、最低限動作するコードを用意するためソフトウェアを書くことも多かったんです。そのため2000年前後から、ソフトウェア技術についてネットで調べたりはしていました。当時はセキュリティに限らず、あらゆるITコミュニティが立ち上がり始めた黎明期で、開発系でもオープンソース系でも何でも見ていましたし、いろいろな人がさまざまな切り口で議論してる中からたくさんの学びがありました。ネットで起きている全てが知りたい、みたいな欲求もありましたね。

── セキュリティもその1つというわけですね。

はせがわ そうですね。「セキュリティホールmemo」を起点にいろいろな個人のホームページや掲示板を見て回っていました。ACCSの事件*2の際も、僕は会場にはいませんでしたが、ネットへのリアルタイムの書き込みなどを見ていて、しばらくしてそれが新聞に載ったことに大きな衝撃を受けました。

── 当時のセキュリティ系のコミュニティや勉強会では、アンダーグラウンドな雰囲気もかなり強かったのではないでしょうか。

はせがわ そういうところもあったかもしれませんが、僕は大阪にいたので、実際にたどり着いたのは、まっちゃだいふく@ripjyrさんが2004年に京都で始めた「まっちゃ139勉強会」で、セキュリティのイメージを変える雰囲気もありましたね。僕も感化されて、まずブログを書きはじめました。

── まっちゃ勉強会はどんな雰囲気でしたか?

はせがわ 知り合いが固まっていつも通りの話をしているコミュニティって入っていきづらいじゃないですか。そういう雰囲気を意図的に壊して「初めて来た人でも話せるようにしよう」という意識が強くありました。参加者に感想を聞いたり、お菓子を食べる時間を取って会話が弾むようにしたり。すごく入りやすかったですね。

── そうこうするうちに、自分でもアウトプットしはじめるわけですね。

はせがわ 今になって考えるとおかしいんですけれど、勉強会に参加する頃にもう「こういうネタなら自分でも話せる」というテーマがいくつかあって、まっちゃ勉強会に何回か参加したらすぐメインの枠で話をしていました。

例えば、そのころ社内でファイルサーバの構築も任されてたんです。お金がなかったのでオープンソースのSambaなのですが、当時のコードはそこまで枯れていなかったので日本語周りなどでバグがあり、僕もいくつか踏みました。

Sambaの日本語文字コードについては開発者のメーリングリストでも込み入った議論がされていて、分からないなりに知識を集めるうち、気が付けば門前の小僧として「これをセキュリティという切り口でまとめ直すと、こんな応用ができるんじゃないか?」といった知見がまとまってきたんですね。

── そういった活動を続けるうちに、セキュリティコミュニティでもすごいエンジニアだと認知されてきたわけですが……。

はせがわ その認知は間違っていると思います(笑)。僕は口が立つだけで、技術が特別すごいわけじゃない。これは今も思っていることです。ただ、勉強して、自分の中で新しい発見が次々と出てくるのはすごく面白かったですし、発表すると間違いの指摘も含めていろいろな形でフィードバックが得られることがありがたかったですね。

── 最初はSambaなどがテーマだったとのことですが、はせがわさんといえばUTF-7とXSS(クロスサイトスクリプティング)のように、2000年代後半から本格的に活用されてきたWebアプリケーション関連のセキュリティを熱心に情報発信されてきた印象があります。

はせがわ もともとセキュリティはネットワークを中心とした技術でしたが、それがサーバの話になり、Webが広がるにつれて、ブラウザやWebアプリケーションの話になってきました。僕はネットワークにはそれほど興味がなかったんですが、ブラウザの話は面白いなって感じていました。

今でも同じ流れがあって、技術がコモディティ化して裾野が広がると、ちょっと遅れてその分野のセキュリティの話題がやってくる。数年前にはIoTのセキュリティが盛んに議論されましたし、その少し前はATMや車のセキュリティが語られていました。広く普及してネットワークにつながるタイミングで、セキュリティが話題になる。以前に経験したことが、これからもあちこちで起きるでしょう。

セキュリティ業界への転職で感じた期待と能力とのギャップ

── 数年にわたるコミュニティ活動をへて、2008年にセキュリティ企業のネットエージェント*3に30代で転職されましたが、やはり興味が高じてセキュリティ専門家のキャリアを選択したのでしょうか。

はせがわ 実はそれほど仕事を辞めたかったわけではなく、積極的に転職しようとも思っていませんでした。ただ、自分で「案外セキュリティ業界に向いているのかな?」と思いはじめたタイミングでたまたま声をかけられ、ちょっと挑戦してみようという感じですね。違う環境が面白そうだったことと、当時の社長が語っていた「技術で世界を平和にする」というビジョンに共感したことがあります。

── 違う環境に足を踏み入れて、実際にセキュリティを仕事にしてみてどうだったでしょう?

はせがわ 当時のネットエージェントには化け物みたいな人がそろっていて、自分が第一人者です、スペシャリストですといった感覚にはならなかったですね。それが自分の中でギャップというか、困惑がありましたよね。周りからは専門家として振る舞ってくれる期待があったと思うんですが、自分はそこまでじゃないというか、興味の赴くままに勉強してきたため偏った範囲には詳しくて、セキュリティ一般のことを何も知らない。

そういう状態だったので、いざお客さんと話をする段階ですごく困りました。例えば「マルウェアに感染してしまって、どうすればいいか分かりません」と相談されたときに、自分は何の知見も持っていないので答えられない。そういうことが何度もありました。現場から「何の役にも立たないのに、偉そうなことを言っているだけの人」と見られていた可能性はありますよね。

── その状態をどうやって乗り越えたのでしょうか?

はせがわ 短期的には口ですよね(笑)。話術で乗り切る——乗り切るというと語弊がありますが、一緒に考えましょうということです。対話を重ねることで困っていることを洗い出し、持ち帰って解決方法を考える、という方法が1つ。さらに2つ目として、セキュリティだけでなくコンピュータをきちんと学んだ方がいいなと考えて、勉強し直しました。

── 対話から困りごとを引き出して解決するのは、案外正しい方法だとも言えますね。

はせがわ そうだと思います。ごまかそうという気はなく、その場で最善のことをしようとは思っているんですよ。この場合の最善とは、できないことはできないときちんと伝え、できそうなことを洗い出し、そこに対して答えを出していくことです。当時もそうだったし、今でもそう考えています。

── 技術が足りないことに対するコンプレックスはどう解消していったのでしょう?

はせがわ できないのは承知の上で転職してますし、当時はセキュリティ業界が自分の居場所とも思っていなかったので、それほどコンプレックスを感じることはなかったですね。もともと人生全般において「できることしかできない、できないことはできない」としか思っていなくって、だからダメだったら元の業界に戻ればいいかというところもありました。

僕は、自分を典型的な器用貧乏だと思ってるんです。面白いか面白くないかはともかくとして、たぶんあらゆることが人並み程度にできるけれども、特別これといって突出したものはない。だけど食べていく分くらいの給料はもらえるだろう、という開き直りは常にあるんですよね。

── セキュリティ業界に転職したことは、トータルでは成功だったのでしょうか?

はせがわ 何が自分を成長させたかを考えると、やはり一番大きなきっかけは転職なんです。環境が強制的に変わって、それまでの技術ややり方が通用しなくなる。そうなると自分が非線形に、飛躍的に変わるしかありません。転職は、非線形な成長のチャンスなんです。僕の立場で言うのも変ですが、若いエンジニアはカジュアルに転職を考えてもいいのではと思います。

── その後、2015年に現在のSSTに転職されています。以前から関係はあったということですが。

はせがわ ときどき外部顧問として遊びに行く関係で、会社の雰囲気もよく知っていました。自分が持っているWebの技術をどうやったら生かせるかを考えていたときにSSTから声をかけてもらい、思わぬ形で拾ってもらったというところです。

「楽しい」と思ってもらうことが継続した学びの後押しに

── ここで、はせがわさんが仕事以外で参加されているコミュニティや、若手人材の育成についても伺います。国際的なWebセキュリティ専門家の非営利団体OWASP(Open Web Application Security Project)のローカルチャプターであるOWASP Kansaiはどういった活動をされているのでしょう?

はせがわ OWASP Kansaiは、支部リーダーがユーザー企業の立場ということもあって、技術色よりも交流を重視し、セキュリティの専門家でなくてもセキュリティについて腹を割って話せる場にしたいという思いがあります。関西的な発想かもしれませんが、明確な答えはないかもしれないけれど相互にアイデアを出し合い、助け合えるようなコミュニティを作っていこうと、2014年の発足から協力しています。

海外のセキュリティ関係者がOWASPの冠が付くイベントに登壇しているのを見たりして、そういう第一人者にOWASP Kansaiの活動を通して日本に来てもらったり、コミュニケーションも取れるのではないかという期待もあります。

── IPA(情報処理推進機構)とセキュリティ・キャンプ協議会による学生向けのセキュリティ人材育成事業「セキュリティ・キャンプ」で、はせがわさんは2008年から2019年まで講師を務めていましたね。

はせがわ セキュリティ・キャンプは2004年に始まった取り組みで、現在も続いています。以前から存在は知っていましたが、ネットエージェントに転職したタイミングで声をかけてもらいました。

それまでセミナーや勉強会で発表する経験は比較的ありましたが、トレーニングという形で教えたのは初めてでした。今から思うと一方的に話すだけで、学生にしてみたら学んだ感覚にならない、下手クソな講義でしたね。

── セキュリティ人材の育成に重要なことは何でしょうか?

はせがわ 教えるという行為は押しつけに近いところもありますが、実は教えたことをその場で理解してもらうよりも、その後も継続して学んでもらうことが大切で、そのためには参加してる学生に「楽しい」と思ってもらうことが重要だと気付きました。それからは事前学習に力を入れたり、講師も含めて議論したりすることで関係性を築き、楽しい雰囲気で参加できるようになったのはいい感じだと思います。

自分が一番面白かったのは、チーム戦を用いた講義です。脆弱性が含まれたWebアプリケーションのソースコードを渡して、修正方法や攻撃手法を考えてもらいます。時間が来たらそれぞれサーバを立てて攻撃したり、守り切るといった攻防戦をしたのですが、受講者も面白そうにやっていましたし、自分自身もすごく面白かったですね。

課題を一緒に考えて議論をリードしていける存在に

── あらためて現在のCTOというポジションについてお聞きします。先ほど「会社全体の技術力を上げ」ることが重要と言われましたが、具体的にはどんな取り組みをしてるのでしょう?

はせがわ 例えば、何らかの脆弱性を見つけてJVNに掲載されたら、CVSS(共通脆弱性評価システム)のスコアに応じて報奨金を出す制度を設けています*4。このように人を楽しく技術に向き合わせて、その背中を押していくことは、自分にすごく向いているように感じます。

── SSTの事業においては、今どういう役割を担っているのでしょうか?

はせがわ 社内における「技術の最終的なよりどころ」になるのかもしれません。新しい脆弱性、新しい認証技術、またWebサイトの挙動に対して「セキュリティという切り口では、どう考えればいいのか?」という問いに、僕は常に答えを出せる状態でいたいと思っています。

実際、そういう相談は頻繁にあります。それが知らない技術というだけなら勉強すればいいんですが、新しい考え方や概念が出てきたときに、セキュリティとの折り合いをどう付けていくか? そういう話になるとけっこう難しいですね。つい先日も、多要素認証に関連して「スマートフォンは所持情報だと言われるけれど、本質的には知識情報ではないだろうか?」という議論をしていました*5。やや哲学的ですね。

そんな議論が、粒度はまちまちですが1日に数件は社内のあちこちで起きています。そこに皆が参加し、正しい方向で盛り上がるようコーディネートすることもCTOの役割です。そういった意味では、何か答えを出さなければいけないときに、一緒に考えて議論をリードしてくれる存在だと言えるかもしれません。

ただ、僕は聞かれるとうれしくてついつい自分で答えてしまう傾向があり、あまり役割を果たせていないと社内のメンバーから思われている可能性はあります(笑)。

── 答えたことに間違いがあって「違いますよ」なんて言われると困ってしまいますね。

はせがわ 僕が常に正しいとは誰も思ってません。間違ってたら「違いますよ」と言ってくれる文化の方が好ましいし、そういうカルチャーを創出することもCTOの役割です。

ともあれCTOである以上、技術に対する信頼は得ておかなければいけない。メンバーから「技術のことは分からないだろうから、はせがわには聞かない」と思われてしまうとたぶん終わりです。

セキュリティだけではない何かの「軸」をもう一本

── はせがわさんがセキュリティに興味を持って20年くらいになりますが、その間に業界を巡る状況はどのように変わったでしょうか?

はせがわ 例えばセキュリティ・キャンプに参加する学生を見ていると、10年前はもっと荒削りで「技術を我流で伸ばしてきたんだな」という人が目立ったのですが、今は大学院などで体系的に学んだ上で、入るべくして入ってくる人が増えました。

大学や専門学校でも、セキュリティを切り口にした講義が珍しくなくなっています。昔に比べると、技術を学ぶことそのものは、すごくやりやすくなっている。これはセキュリティの裾野がすごく広がったからだと思います。

── コンピュータサイエンスをしっかり学んでいないと、今やセキュリティ業界でやっていくことは難しいでしょうか? 以前は、はせがわさんのように異業種から転職するケースもあり得ましたが。

はせがわ そうですね。未経験者をポテンシャルだけで採用できるかどうか、採用する立場から言うと難しい状況になっているとは思います。ですが会社によって、あるいは会社の文化によっては、そうじゃないこともたくさんあります。

特に最近は、これまでセキュリティにあまり縁のなかった業種業態でも、セキュリティは不可避な技術になっています。逆に言えば、セキュリティに携わる仕事をしたいと考える人にとって、必ずしもセキュリティ会社だけが選択肢ではない。今やどんな会社にでもセキュリティの仕事はあり得ますし、むしろその方が幅広く、独創的な仕事ができる可能性もあるでしょう。

── 世の中ではセキュリティ人材がいっそう求められるということですね。最後に、これからセキュリティでキャリアを形成したいと考える若いエンジニアにアドバイスをお願いします。

はせがわ セキュリティの分野で、技術だけで生きていくのは相当しんどいと思います。セキュリティが扱う対象領域も、付随する技術も、時代とともにコントロールできない形で変わっていきますから。

そういう意味で、セキュリティのほかに軸を何かもう一本持っていると、活躍しやすい状況になっていると思います。何らかの事業領域についてでもいいですし、他の技術でもかまいません。例えば「ゲームに詳しいから、ゲームのセキュリティなら任せておけ」ということでいいんです。セキュリティだけでなく、何かもう1つ切り口を持ってほしいと思います。

── 多要素人材が求められる時代ということですね。さまざまなお話をありがとうございました。

取材中のはせがわようすけさん
※インタビューはWeb会議ツールを用いてリモートで行いました。

取材・構成:高橋睦美
編集:はてな編集部

*1:プログラミング言語Perlの作者であるラリー・ウォールが著書『プログラミングPerl』で語るところによると、プログラマの偉大なる美徳として挙げられるのは「無精(laziness)・短気(impatience)・傲慢(hubris)」の3つだという。詳細は https://cpp.rainy.me/021-three-virtues-of-a-programmer.htmlhttps://blog.magnolia.tech/entry/2020/11/29/213018 などを参照のこと。

*2:2003年11月に、セキュリティ関連イベントのステージ上でWebサイトの脆弱性を突いた不正アクセスが行われ、発表を行った元京大研究員が有罪判決を受けた事件。経緯は https://www.itmedia.co.jp/news/topics/accs.html などを参照。

*3:ネットエージェント株式会社は、2015年にセキュリティ業界大手である株式会社ラックのグループ会社となり、2020年4月に吸収合併されている。

*4:JVN(Japan Vulnerability Notes)とはJPCERT/CCとIPAが管理する脆弱性情報データベースで、CVSS(Common Vulnerability Scoring System)はセキュリティ脆弱性の重大度を評価するオープンな業界標準。

*5:ITシステムにおける多要素認証では、認証の3要素である「知識情報」「所持情報」「生体情報」のうち2種類以上を組み合わせて認証することとされる。例えばパスワードのほかに「秘密の質問」を入力させるシステムは、両方とも知識情報であるため多要素認証を利用しているとは言えない。