｢ホワイトハッカー｣その知られざる実態と任務 ｢四大卒採用｣にこだわる大企業の残念な愚かさ

「サイバー攻撃は毎日と言わず『秒単位』で起きており、自動化されているケースもあります。基本的なサイバーセキュリティ対策を行っていれば、ある程度は安全を保つことができる。しかし、そこに穴があれば当然攻撃を受けてしまうわけです。

また、サイバー攻撃は海外からされる印象がありますが、それ自体が見せかけのケースもある。実際には日本人が日本の企業を攻撃していることもあるのです」

企業のWebページも、リリース前に「穴」がないかホワイトハッカーが必ずテストをしている。このチェックがないと、サイトの安全性はほぼ確実に破られる。われわれが安心してWebページを利用できるのもホワイトハッカーのおかげというわけだ。

そのため企業では大抵、SIerやセキュリティ会社を通してホワイトハッカーを採用・活用している。直接ホワイトハッカーを雇用するのは大企業などに限られるが、国内では金融系やクレジット系の業種ではセキュリティレベルが充実しているようだ。

「外注では即時対応ができないため、大企業は直接雇用が多いのです。ただし、情報セキュリティ業界は比較的給与水準が高いため、総務や事務系の一員として雇用しようとする企業には、直接採用は難しいでしょう。ホワイトハッカーの昇進モデルがない企業も同様です。

それどころか、サイバー攻撃を防げなかった場合に全責任を負って辞めさせられるケースも少なくない。何もない一日一日こそが評価対象であるのに、それを理解してくれる人が組織内にいない点は問題でしょう」

本気を出せば｢社長のパスワードはすぐ割り出せる｣

優秀なホワイトハッカーは、暗号やネットワークなど基本的なセキュリティ対策を積み上げて高度な知識やノウハウを有しており、OSCP（Offensive Security Certified Professional）という資格を持つ者も少なくない。

「ホワイトハッカーが本気を出せば、社長のパスワードはもちろん、システムをハッキングしてスケジュールを簡単に割り出すこともできます。実際にやる人はいませんが、ハッカーの実力とはそれくらいのレベルだと考えていただければいい」

とはいえ、すべての分野を網羅しているホワイトハッカーは必ずしも多くない。当然ながら、得意不得意分野がある。また、世間一般ではサイバー攻撃を受けるとホワイトハッカーが敢然と闘うイメージがあるが、実際には異なる。

「サイバーセキュリティの対策は、攻撃を受けないよう事前対応をしていることが大前提ですから、直前ギリギリで防ぐということはほぼありません。現実には、皆さんが思い描くような派手な場面はあり得ないと言っていいでしょう」