HappyNote3966’s blog

備忘録、作業記録的なことを書きます。低レベル注意。ご指摘等ございましたらやんわりとお願いします(´;ω;`)

サイバーディフェンス研究所見学記

 3月某日、サイバーディフェンス研究所(以下CDI)の方にお邪魔させて頂きました。

www.cyberdefense.jp

見学させてもらうまでの経緯

 私が昨年の8月に参加したセキュリティキャンプ全国大会では、CDIの福森さんが「ZENIGATAになりたくて」という題で講義をされました。

happynote3966.hatenadiary.com

 CDIの福森さんの講義を聞いた後、CDIのポロシャツを欲しいとTwitterで呟いたところ…

 ポロシャツなどCDIグッズを頂きました。夏の間はキャンプTシャツとCDIポロシャツを着て過ごしていました。

 話はそこで終わりではなく、そこでCDIのオフィスに見学に来ませんか?とのお誘いを受けました。滅多にない機会なので、お邪魔させてもらうことに。
(見学の約束は夏にしたのですが、僕の個人的な都合で3月上旬まで伸ばしてもらいました。申し訳ないです…)

 CDIのことを知るようになったのはキャンプに参加してから。あまり詳しくは知らなかったけれども、セキュリティの会社だということは想像が付きました。
きっかけはNHKで放送されていたプロフェッショナル~仕事の流儀~でのこと。名和さんがセキュリティ業務に対してストイックに取り組む姿勢を見てすごいなぁと思い、ちょっとだけ調べてみたら、名和さんがCDIに在籍されていたのを知りました。

ちなみに、見たのはこちら↓

www.nhk.or.jp

オフィスにお邪魔すると

 CDIオフィスの場所は、東京駅前の八重洲センタービル4階。
(正確には〒103-0028 東京都中央区八重洲1-6-6 八重洲センタービル4Fです)

https://goo.gl/maps/h6YLJxCYGNT2

 許可を貰ってるとはいえ、企業のオフィスに一人でお邪魔するなんてことは初めてなので少し緊張しました。
エレベータで4階まで上昇し、案内掲示に従って進むと…CDIのオフィス入り口がありました。そこには、CDIのロゴが壁に埋め込まれています。

f:id:HappyNote3966:20170316155450j:plain

ハッカーが使うプロンプトを連想させるような色の組み合わせ。カッコいいですね…( *´艸`)

f:id:HappyNote3966:20170316155446j:plain

 そこで迎えてくださったのは、CDI営業部の佐藤さん。見学まで何度かやり取りをさせて頂いた方です。また、同じくエンジニアの丑丸さんと松隈さんにも同席して頂いて、CDIの概要などを伺うことができました。

CDIってどんな企業?

 CDIのことを知った時、「CDIはセキュリティの企業」というイメージを持っていても、じゃあ何をやっているかと言われると…「サイバー『ディフェンス』なのだから、守ってる企業なんじゃないのかな」というイメージが強かったのが本音です。

 では実際のところどうなのかな?と、佐藤さんからお話を伺いました。

 CDIは主に4つの活動を中心として、その内訳としては、

  • セキュリティ診断(脆弱性診断)

 自分たちのシステムやサービスがちゃんと安全な状態か実際に確かめるものです。一般的なネットワーク診断やプラットフォームの脆弱性診断は、ホスト単体で安全かどうかを確かめますが、CDIでは複数のホストやネットワーク機器を含む組織のネットワーク全体を対象として診断を実施します。具体的には、ホスト単体への侵入を試行するだけではなく、あるホストから入手した情報に基づき、別のシステムなどに攻撃を仕掛け、新たに情報を入手し、攻撃…といった感じで、実際のハッカーが全力で攻撃を仕掛けたことを想定した診断を行います。びっくりしたのがハードウェアの診断です。製造メーカーからの依頼に基づき、ハードウェアをオシロスコープ、等で何の通信をしているか調べたりもするそうです。

io.cyberdefense.jp

  • トレーニング(人材育成)

 セキュリティの技術的なことを学べる講義です。企業など様々な団体がこれを受講しているそうで、ほとんど定員が埋まるそうです。どんな講義があるかというと、マルウェアやプログラムの解析、Webやネットワークの攻撃、セキュアコーディング、メモリフォレンジックなど、実際に手を動かして学べます。企業によってはプライベートな講義内容にすることもできるそうで、その中で好評だったものが正式なコースになることもあるそうです。

  • インシデントレスポンス(緊急対応支援)

 セキュリティの事故(インシデント)が起こったとしても、その被害を最小限に食い止めたり、再発を防止したりするための対応(レスポンス)活動のことです。セキュリティ診断の時と同様に、ログやマルウェアなど個々の解析だけなく、対象となる全て(ハード・ソフトなど)を調べ、様々な情報を入手・解析します。

 企業や団体に応じた問題を解決・サポートするものです。事例がいくつかあったのでピックアップすると、サイバー攻撃の対処演習や、その演習環境の企画開発、CSIRTの構築や機能の強化などです。面白そうなものになると、組織内でのCTFを実施するための支援や、CDIハッカーによる講演やデモンストレーションなどもあるそうです。そういえば、サイトのなかにMAGUROというオンラインのCTFもあるみたいです。

MAGURO

f:id:HappyNote3966:20170316160631p:plain

 他にも色々ありますが、共通して言えることは、「人間がもたらす脅威には人間しか対処できない」という理念の元で様々なサービスを行っているということです。

CDIってどんな人が集まってるの?

 CDIの企業についてを伺った後、同じくエンジニアの福森さん、ラウリさんと一緒にお話をさせて頂きました。

 いきなり結論ですが、CDIの方はとてもレベルの高い方々の集まりだということが分かりました。お話をしているときは↓の繰り返しです。

 未熟な僕が何かしらの技術的な単語を使って質問を投げる→それに対して濃い内容で返ってくる→理解しきれず圧倒される

 何度か質問しても結果は同じで、今考えてみると貴重な経験をしているんだなぁという気持ちになります。普通の学生が5人の本職の方と同席しているのですから、非日常的な空間を体験してきました。

 でも、みなさん色んな経歴をお持ちでしたが、共通しているのは技術が好きだということ。
分からないなりに話を聞いていてそれは感じました。好きだからこそたくさん話してくださったのだと思います。その話の内容が分かったらもっと楽しいだろうなぁとも思いました。

 …で、やっぱりCDIという企業を知ったからには、採用関係のお話も気になるところ。でもなんだか採用しているイメージがあまりないので、色々と聞いてみることに。

 そもそも採用をしているかということについては、YES。それはウェブサイトを見ても分かるのですが、見たところ募集時期が「随時」となっています。
「ということは、大学を卒業してから就職するのはできないのですか?」
CDIは新卒も求めています」
あっ、新卒も大丈夫なんですね。
ただ、一般のIT企業とは異なり、一定以上の技術力・能力が求められるため、万人受けするような企業ではないとのこと。その逆から言えば、やる気があって、セキュリティで役に立ちたいと思う人であればむしろ来てほしいとも仰っていました。「我こそは!」という方なら新卒でも中途でも挑戦できるということですね。
(いつか会社説明会もやりたいなーとも…)

 また、セキュリティなどの分野に頑張る学生を支援したいとのことです。セキュリティキャンプ全国大会で講演をしたり、今回のように僕が企業の見学をさせてもらえたのもその一環だと思います。

最後に

 色々とお話を聞いて、大切だなぁと思ったことをいくつか取り上げます。

  • 数学、英語は大切

 福森さんは今機械学習を勉強しているのだとか。大学で学んだ微積線形代数などの知識は、当時勉強する理由が分からないまま勉強していましたが、今はその必要性を強く感じているそうです。数学や英語に限らず、大学で学ぶことに無駄なことはないみたいです。

  • ハッキング技術は悪用しない事

 当然といえば当然ですが、ハッキングが成功したときに得られる達成感に魅了されて、悪いことをしない事が大切です。あくまで技術は良い方向に使いましょう。

 全体として、たくさんお話を聞かせて頂いて、普通に勉強するだけでは得られない貴重な経験をさせて頂きました。この場を借りて、佐藤さん、丑丸さん、松隈さん、福森さん、ラウリさんにお礼を申し上げます。ありがとうございました!

おまけ

 お土産を貰いました。夏にCDIグッズを貰っているのに、今回も頂きました。ありがとうございます!

f:id:HappyNote3966:20170316160929j:plain

CDIパーカーです。CDIグッズが充実してきました。春休みはこれを着て過ごします。

 それと、ラウリさんの持っているデバイスの数が多かったです。スマホ×2、タブレット×1、PC×2。計5台を持ち歩いていました。そしてその中のPC一台が異常でした。形がスタイリッシュな湯たんぽかと思うほど大きく、分厚い。そして性能も桁が違いました。メモリが64GBもあるんですよ。64GBもあれば操作が軽快みたいです。この桁違いのPC、お国では普通のことなんだとか。そのPCが入ったカバンは重すぎて持ち上げることができませんでした。