「ホワイトハッカー」と呼ばれる人
ホワイトハッカーとは何か。
日本工業規格(JIS規格)の情報処理用語によると、ハッカーとは"高度の技術をもった計算機のマニアであって、知識と手段を駆使して、保護された資源に権限をもたずにアクセスする人"と定義されている。悪いことをする前提の定義であり、異論を唱えたい人もたくさんいるのではないかと思う。
そこで、最近ではこういう悪意に満ちたハッカーのことを「ブラックハット」と呼び、ブラックハットに対抗する正義のハッカーを「ホワイトハット」と呼ぶようになってきている。「ホワイトハッカー」という言葉も市民権を得つつある。
しかし、何がホワイトで何がブラックであるか、その境界線は曖昧だ。今回は、その実像に迫るべく、多くの人がホワイトハッカーと認めるセキュアスカイ・テクノロジー(以下SST)のはせがわようすけ取締役CTO(最高技術責任者)を訪ねた。
SSTは、セキュリティ診断サービス、防御サービスなどを提供するセキュリティ企業。単なる脆弱性診断だけでなく、時には依頼された企業のシステムに、ブラックハットであればどうするかということを想定し、疑似攻撃をするような攻撃的な脆弱性診断をすることもある。SSTのチームは全員がホワイトハッカーなのだが、ブラックハットの心理や思考法についても熟知しておかなければならない仕事だ。
「僕自身は自分をハッカーだと自称することはあまりないですね。自分から名乗るものではなく、人が既成の概念にとらわれない人を見たときに使う言葉だと思っています」
ましてや職業名として「ホワイトハッカー」という言葉を使うことには違和感があり、SST社内ではごく普通に「セキュリティエンジニア」あるいは単に「エンジニア」と呼んでいるという。
しかし、セキュリティエンジニアといっても毎日同じルーチン作業をこなしているエンジニアと、積極的に脆弱性を発見して対策を講じていくエンジニアでは、だいぶ違いがあるように思う。
「これが一般的な感覚なのかどうかはよくわかりませんが、僕はそこのこだわりもあまりないですね」
単純作業は嫌いではなく、ひたすら大量のダンボール箱から機材を取り出して並べる必要があれば、それをする。それが嫌ではない。
ただし、単純作業であっても、なんらかの工夫をしてしまう。ダンボール箱を畳むのに、紐を使ったほうが効率的なのか、ガムテープを使った方が効率的なのか。単純作業をしながらも、ごく自然に考えてしまうのだという。
ルーチンワークを命じられても、より効率的に行なう方法を模索する。そうして人より早く作業を終わらせ、余った時間でさらに効率化する手立てを考える。あるいは、自分のスキルを磨く時間にあて、さらにできることを増やしていく。
どうも「ハッカー」というのは職業や職位ではなく、その人の資質を指すべき言葉なのかもしれない。物静かだとか、人見知り、理屈っぽい。そういった、人の性質や気質を指す言葉と並べるべき言葉と捉える方がよいようだ。
ハッカーから見た“エスカレーター”
インタビュー中、ちょっとしたいたずら心で、はせがわ氏に「駅のエスカレーター問題、どう思います?」と尋ねた。今、日本の都市鉄道の駅のエスカレーターは、急いでいて歩きたい人のために片側を空ける習慣が定着している。それは便利なところもあるが、立ち止まって乗りたい人は1列に並ぶため、エスカレーターの輸送効率が低下し、ホームにはエスカレーターに乗るための行列ができ、人が溢れてしまう現象が起きている。一部の急ぎたい人を優先するために、全体の輸送効率を下げてしまっているのだ。ちなみに、エスカレーターメーカーや鉄道会社は、歩かずに2列で立ち止まって乗ることを推奨している。
「ステップを1.5倍にしてしまえばいいんですよ」
即答だった。
「いまでも止まって乗る人は、前後の人と接近したくないために1段空けて乗っています。ステップを1.5倍の幅にすれば1段空けをしなくなります」
30ステップのエスカレーターに1段空けなら、15人しか輸送できないが、1.5倍幅にすれば20ステップとなり、20人が輸送できる。輸送効率は33%高くなる。
「段差の高さも1.5倍にします」
そうなれば、エスカレーターを歩いて上る人はとても上りづらくなるので、自然に歩くのをやめる。エスカレーターに止まって乗るか、階段を利用するようになる。こちらでも20人が輸送でき、合計40人を輸送できる。現状の倍以上の輸送効率が実現できる。
もちろん、段差を1.5倍にしたことにより、転落した際にケガをするリスクが高まるのではないかという懸念もあるが、それは本格的にこの問題に取り組んでから考えればいいことだ。重要なのは、はせがわ氏はエスカレーターとはなんの関係もないのに、目に飛び込んでくる不合理な現象について、常日頃から考えているということだ。でなければ即答できるわけがない。
もうひとつ、重要なのが、私たちはエスカレーターを「動く階段」という先入観で捉えている。だからステップの幅や段差というものは、疑問も持たずに階段に近いものに設計してしまう。しかし、そこにロジックの裏付けはない。はせがわ氏は「動く階段」という既成概念から外れて、「人間を輸送する装置」と見ている。だから、ステップ幅を広くし、段差も大きくした方がいいという発想が自然と出てくる。これが「ハッカー資質」なのだ。
詐欺師と俳優と弁護士に共通するもの 白と黒の境界
では、ホワイトハットとブラックハットを分ける分水嶺はどこにあるのか。はせがわ氏はこれも難しい質問だという。
「例えば、サイバー戦争でA国のサイバー兵士がB国のシステムを攻撃する。A国の兵士は、国の正義のためにやっているのですからホワイトです。でも、B国から見たらブラックな行為になってしまう」
法律を遵守するのがホワイトハッカーで、法律を侵すのがブラックハットなのだろうか。それもあまりにも単純すぎる。グーグルは「電子メールの中身を解析する」「地球上の衛星写真を公開する」「図書館の本をスキャンして公開する」というグーグル以前であれば違法行為あるいは問題の多い行為をし続けなから、世界を変えてきた。結局、後から多くの人に支持される行為がホワイトハットであり、支持されない行為がブラックハットであるということにすぎない。
「僕は小さい頃、詐欺師か俳優か弁護士になりたかったんです」
もちろん、詐欺師と言っても、犯罪を犯すことに興味があったわけではない。
「騙された相手が、騙されたことに気づいた瞬間の顔が見るのが楽しいんです」
はせがわ氏がよく口にするキーワードが「出し抜く」だ。人の考えないことを考える。それを使って相手の想像を超えた何かを仕掛ける。それがはせがわ氏のいちばん楽しいことなのだ。だから、会社の取締役となった今でも、会社の中で子どもじみたいたずらをいつも考えている。考えているだけでなく実行してしまう。
「多分、普通の人であれば躊躇してブレーキを踏んでしまうところを、僕はやってしまう。怒られないで笑いになる、怒られるけど、その怒りを受け入れれば許される。だからやってしまう」
もちろん、過去、あまりにラインを超えすぎて、本気で怒られた経験もあったという。人によって許されるラインが違っていることも学んできた。そうやって、ギリギリの線を体感で感じているので、今のいたずらは笑いに結びつき、社内の空気を和らげることにつながっている。
ホワイトとブラックの境界線もまったく同じで、そのラインをあらかじめ設定しておくことは誰にもできない。実際に実行してみて、どこにラインがあるかを体で覚えていくしかないのだ。
これはつまり、ホワイトハッカーを自認している人であっても、常にダークサイドに陥る危険性があるということで、その危機感を日々感じながら生きている人こそ、ホワイトハッカーだと名乗れるのではないだろうか。企業に属しているからホワイト、脆弱性診断をしているからホワイトと、安直に決めつけている人の方が危ういのではないかと思う。
常に背後にあるロジックを考えろ!
はせがわ氏によると、ハッカーとしての資質は、どんな現象、システムを見ても、常にその背後にあるロジックを考えることだという。そして、そのロジックの整合性や合理性について考える。
「適切な例えかどうかわかりませんが、深夜の横断歩道の赤信号を無視してしまう人っていますよね。信号というのはそもそもなんのためにあるのか。横断歩道を渡る歩行者の安全を確保するための仕組みである。だとしたら、自分で確認をして、車が来ていない、安全が確保できると判断したら、赤信号に従う意味はなくなってくるわけです。もちろん、赤信号を守るなと言っているわけではなく、与えられたルールでもその背後にあるロジックを考えるということがとても大切なんです」
それができるようになると、必ず守るべきルールと一定の線までは破っても許されるルールの見極めができるようになり、生き方の幅が広がってくる。
「大企業でホワイトハッカーの仕事をしている方もたくさんいて、みなさん優秀なんです。時々、大企業の中にいて、息苦しかったり窮屈だったりしないのかなと思うことがあるんですけど、そんな感じがまったくないんですね。自由に生き生きとハッカーとして仕事をしている」
はせがわ氏は、彼らが自分にとって本質的なルールと本質的でないルールの分別ができているからではないかと推測する。例えば、「朝は必ず9時に出社すべし」というルールがあると、私たちは反射的に窮屈さを感じてしまう。しかし、その背後にあるロジックを分析してみれば、9時に出社することに合理的な理由があるかもしれない。であれば、それは必要なことだ。あるいは合理的な理由はないが、会社の多くの人が重要なルールだと認識しているのかもしれない。だったら、9時に行った方が、会社や同僚と余計な摩擦を起こさずに済む。自分にとって本質的なことは出社時間などではないのだから、世の中との折り合いをつけるというメリットを享受するために9時に行けばいい。
古いルールだからという理由で、世間にありがちなルールだからという理由で、「そんなルールには従えない!」と力むのは、ただの中二病であってハッカーではない。
このようなハッカーの資質は生まれながらのものという面も大きいだろう。しかし、その資質を育てていく努力も必要だ。はせがわ氏は、とにかくいろいろなコミュニティーに顔を出すことを勧める。エンジニアの集まりでもいい、プログラミング関連でもいい、自分が気になったコミュニティーに片っ端から参加をし、そこでいろいろな人に出会い、優秀なハッカーたちと触れ合う。人付き合いが苦手だというのであれば、黙って、同じ部屋で同じ空気を吸ってみるだけでもいい。
「僕は、ホワイトハッカーを目指していたわけでもなんでもありません。電子回路の設計をしていたこともあるし、学生時代はソーラーカーを作るのに夢中になっていました。自分が好きなことを追求してきたら、いつの間にか今の場所にいて、人からホワイトハッカーを呼ばれるようになっていた。そういう感覚です」
これはどの職業でも同じかもしれない。自分のやりたいことを明確にして、それを追求していれば、流れ流れて、必ず自分のいるべき場所にたどり着く。
ホワイトハッカーは目指すものではなく、たどり着くもの。そのためには、自分がいったい何をしているのが楽しいかを自己分析し、その楽しい時間を少しでも増やすように努力をしていく。小さな努力のひと掻きは、その分だけ自分の居場所に近づけてくれる。
この連載の記事
-
第5回
デジタル
知っておきたい日本のサイバーセキュリティ政策 -
第4回
デジタル
世界で26億円もの金が動く、賞金稼ぎバグハンターという生き方 -
第3回
デジタル
専門学校はホワイトハッカーへの道に続いているか? -
第2回
デジタル
経営寄りの技術者、橋渡し人材の重要性 -
デジタル
ホワイトハッカーのおしごと - この連載の一覧へ