{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
躊躇なく、技術の高みに挑戦できる
前職では、セキュリティ専門のコンサルティング会社でTLPT(脅威ベースのペネトレーションテスト)やレッドチーミング、アドバイザリー業務を担当していましたが、エンジニアとして実テストに割ける時間が限られてきたため、「もっとエンジニアリングに軸足を置いて技術を磨き続けたい」という思いが勝り、PwCコンサルティング合同会社のサイバー・セキュリティ・エンジニアリング・チームに転職しました。
現在はレッドチーミングやTLPTを担当していますが、普段は15営業日のテスト期間、その後5営業日のインターバルを経て再びテストの実施というサイクルで、常に実践的な検証に携わっています。PwCではテスターに求められる水準が非常に高く、かつ熱心なエンジニアに囲まれた環境のため、心地よい刺激を受けながら従事しています。特にうれしいのは、常に最新の攻撃手法を学び、技術力をブラッシュアップするという部門の方針です。稼働工数の20〜30%程度を研究・開発に充てられ、技術で勝負したいと考えるエンジニアにとってみれば、最高の環境でしょう。PwCと言えば、コンサルティングの印象が強いとは思いますが、エンジニアの活躍できる環境が整っていることは、声を大にしてお伝えしたいところです。
共鳴する専門性——「レッド×ブルー」で広がる知見
サイバー・セキュリティ・エンジニアリング・チームには、幅広い知識、スキルを備えたエンジニアが集結しています。例えば、ハードウェアのハッキングやWebアプリケーションセキュリティに長けたメンバーが在籍し、私自身で言えば、エンタープライズOA環境を得意な領域としています。日常的なディスカッションを通じて、それぞれの専門性がかけ合わさり、強みはさらに強く、弱点領域も補われて強くなっていきます。加えて、防御を専門とするブルーチームとの連携も取りやすいことも良い点で、例えばSIEM(セキュリティ情報およびイベント管理)やEDR(エンドポイントのセキュリティ検知技術)の視点を取り込みながら攻撃シナリオを詰めていけます。
日々のコミュニケーションはチャットが基本ですが、大手町オフィスに集まる機会も多く、対面で気軽に議論できる文化は特に気に入っています。チームの役割分担も明確で、エンジニアはテストに集中して臨み、その成果をビジネス側のコンサルタントが規制や業界要件の文脈に落とし込んで、実装可能で現実的な解へと導きます。エンジニアリングとコンサルティング、これらが互いに閉じることなく融合して、より質の高い成果物を届けることにコミットする——エンジニアとして、着実な成長を実感しています。
日本企業のセキュリティを底上げしたい
PwCの強みは、TLPTや脅威インテリジェンスの収集方法を標準化した独自のガイドラインに基づき、信頼性を担保したサービスを提供できることです。もちろん、チェックボックスを埋めるだけでは十分ではありませんし、攻撃者の視点で考え抜き、悪用時の影響や是正策まで提示することが、プロフェッショナルとしての責務です。
日本企業のセキュリティレベルを底上げしたい——そのためにも、より多くの企業へのTLPTの実施・導入を目指しています。私が主に担当している金融業界では、業界全体として非常に高いセキュリティ意識を備えていますし、TLPTの実施も浸透しています。一方、他の業界でのTLPTの実施は、ハードルが高いのが現状です。
それでも、サイバー犯罪の多様化、高度化、そして有形無形の被害を鑑みると、やはりTLPTを実施してサイバーセキュリティを高度化することが重要です。サイバーセキュリティの高度化には相応の費用がかかるため、初期段階から少しずつレベルを積み上げていき、導入のハードルを引き下げるサービスを開発していきたいと思います。できるだけ多くのクライアントにアプローチして、日本企業、ひいては日本全体のセキュリティレベルを次のステージに引き上げる。私はここにフォーカスして、これからも前進していきます。
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
